Wie findet ihr mein 12 Wochen Plan zum CTF Kandidat?

1 Antwort

Vom Beitragsersteller als hilfreich ausgezeichnet
DummeStudentin
20.02.2025, 19:46
  • Du brauchst für CTFs kein Kali Linux, nmap oder Metasploit. Das sind Tools für Pentester und Skriptkiddies, aber sie werden dir bei einem CTF nicht helfen. "Normale" Linux Distributionen wie Arch oder Fedora sind völlig ausreichend. Aus den Paketquellen kann man alles installieren, was man braucht. Portscanning o.ä. ist bei manchen CTFs sogar gegen die Regeln, weil es die Infrastruktur unnötig belastet, und würde nur dazu führen, dass man rate limited wird. Es ist aber auch gar nicht notwendig. Die verwendeten Ports werden i.d.R. bekanntgegeben.
  • Python ist sinnvoll, aber vergiss Portscanner (siehe oben) und Codeoptimierung. Das ist kein Leetcode. Exploitcode ist i.d.R. nicht sehr komplex, und wenn dein Exploit funktioniert, interessiert sich niemand mehr für den Code. Das ist kein Softwareprojekt, das über Jahre weiter gepflegt werden muss. An deiner Stelle würde ich mir die pwntools Library ansehen, die ist sehr nützlich bei CTFs.
  • Thema Web klingt soweit gut, wobei ich die genannten Dienste alle nicht kenne. Ich würde mich eher auf Exploittechniken konzentrieren (z.B. SQLi, XSS, SSTI) statt auf bestimmte Dienste.
  • Burp Suite ist ok, aber ich würde OWASP ZAP empfehlen. Erfüllt den gleichen Zweck, ist aber Open Source und du musst nicht bezahlen oder dich über eine eingeschränkte Gratisversion ärgen.
  • Falls du dich für rev oder pwn Challenges interessierst, ist Ghidra o.ä. nicht optional.

Insgesamt finde ich deinen Plan solide, aber das ist definitiv nichts für 12 Wochen. Um gut in CTFs zu werden, braucht man Jahre (ich bin immer noch schlecht, lol). Lass dir Zeit für die Grundlagen und versuche daneben, einfache Challenges zu lösen. Wenn du beginnst, dich zu langweilen, erhöhe den Schwierigkeitsgrad.

Das ist kein Sprint, sondern ein Marathon!
Woher ich das weiß:Hobby – Ich interessiere mich für Hacking, Pentesting und CTF