1. 瀏覽HTB Academy

了解每個課程的主題和實用度，經過篩選後進行課程分類（下圖一），共有11種類型，分別為HTB Fundamentals, Attack, Bash, File, Operating System, Passwords, Penetration, JavaScript, Network, SQL, Web，總計32門課程。課程方塊右上角有黑色方框代表該課程有實作題目。接下來進行課程學習，學習過程中會同步進行PPT製作。

 

 

 

 

 

 

 

 

 

​

 

​

 

 

圖1 專題所學課程

​

2.課程分類&PPT製作

​以下將介紹課程分類:

• Attack:

專注於網站和API層面的各種攻擊手法，包括實用框架和特定攻擊並學習識別與防範方法。課程涵蓋Attacking Web Applications with Ffuf、Cross-Site Scripting (XSS)、 Session Security、Using the Metasploit Framework、Web Attacks、Web Service & API Attacks。

​

• Bash:

學習Bash基礎語法和命令，包括腳本編寫與實用命令列工具的應用。課程為Introduction to Bash Scripting。

 

• File:

介紹與文件相關的安全議題介和權限，並學習文件的加密與保護方法。課程包含File Inclusion、File Transfer、File Upload Attacks。

 

• HTB Fundamentals:

針對Hack The Box（HTB）平台的基礎教程，介紹如何開始、學習過程以及環境設置。課程有Intro to Academy、Getting Started、Learning Process、Setting Up。

 

• JavaScript  

專門處理JavaScript代碼的安全性，特別是去混淆技術和相關的防禦機制。課程為JavaScript Deobfuscation。

 

• Network:

探討網絡安全的基礎、網路協議，介紹網絡監控與防火牆設定，以及VPN的應用。課程涵蓋Intro to Network Traffic Analysis、Introduction to Networking、Network Enumeration with Nmap。

 

• Operating System:

涉及操作系統的基礎安全概念，包括不同操作系統的核心知識，並提供權限管理技巧。課程包含Linux Fundamentals、Windows Fundamentals。

 

• Passwords:

介紹密碼安全基礎，並集中在密碼相關的攻擊和防禦，包括破解技巧和暴力破解手法。。課程有Cracking Passwords with Hashcat、Login Brute Forcing、Password Attacks。

 

• Penetration:

學習滲透測試的方法和工具，包括測試方法、有效載荷使用以及漏洞評估。課程涵蓋Penetration Testing Process、Shells & Payloads、Vulnerability Assessment。

 

• SQL:

解釋SQL基礎和防禦SQL注入攻擊的方法，並涉及資料庫權限管理。課程包含SQL Injection Fundamentals、SQLMap Essentials。

 

• Web:

涵蓋網站應用的全面安全知識提，包括HTTP Header和Cookie設定，以及網站安全最佳實踐。課程有Information Gathering - Web Edition、Introduction to Web Applications、Using Web Proxies、Web Requests。

​

3.題目設計&上傳

學習完所有課程並製作成PPT後，進行題目的策劃和設計。大部分的題目源自Academy中，但我也對其中一些題目進行了調整和修訂(下圖 2) 。當所有題目設計完成，我便開始將它們上載至CTFd平台並進行相應的分類(下圖 3) 。

​

​

​

​

​

​

​

​

​

​

 

 

 

圖2 ​題目設計

​

​

​

​

​

​

 

 

 

 

 

 

 

 

 

圖3 題目上傳