Zum Inhalt springen

CTF für Anfänger: Empfehlungen?


 Teilen

Empfohlene Beiträge

Hallo liebe Forenmitglieder,

 

Ich habe demnächst 2 Wochen Pause, bis ich nach Ausbildungsende bei meinem neuen AG ab Februar anfange. Ich möchte mich in dieser Zeit an neuen IT Themen ranprobieren, mit denen ich bisher überhaupt keine Erfahrung habe. Als erstes würde ich gerne mit dem Bereich Pentesting/CTF/ Red Team anfangen.

 

Welche Anbieter sind da speziell für Anfänger, die überhaupt keine Erfahrung damit haben, zu empfehlen? Ich kenne tryhackme, hackthebox, habe aber bisher immer den Eindruck gehabt, dass man da schon grundlegende Kenntnisse mitbringen muss.

Kennt jemand von euch eventuell Pico CTF? Was könnt ihr zu diesem Anbieter sagen?

 

Vielen Dank im voraus :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wie kommst du darauf, dass man bei tryhackme Erfahrung braucht? Da gibt es eigentlich einen recht schönen Anfänger-Path ... sogar erstmal einen Path nur um Linux etwas zu lernen soviel ich weiß.

 

Und vor allem wie viel willst du für den Spaß zahlen? Es gibt kaum Virtual Labs die kostenlos sind.

Vlt. ist ja hacker101 was für dich, dass scheint alles kostenlos zu sein https://www.hacker101.com/

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich wäre schon bereit ein wenig zu zahlen, tryhackme zb soll anscheinend 8£ im Monat kosten, was ich definitiv zahlen würde.

 

Ich schaue mich mal auf Tryhackme um, hatte aber (weiß selbst nicht warum) den Eindruck, dass man da ein wenig Erfahrung benötigt.

 

Hast du Erfahrungen mit hacker101? Würdest du es jemandem empfehlen der überhaupt keine Erfahrung in dem Bereich hat und auch mit Coding nichts am Hut hat? ( Coding muss man ja glaub ich oft draufhaben innder offensiven Security)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nein, aber Hacker101 scheint HackerOne zu gehören, also sollte es durchaus Qualität haben.

TryHackMe habe ich ne Zeit gemacht, hat Spaß gemacht. Ich würde aber selbst ein System aufsetzen, statt mit der Website zu arbeiten. Kannst ja via OpenVPN und SSH mit der VM arbeiten. War recht easy, aber als Entwickler war das nur ne Spielerei für nebenbei.

Persönlich gucke ich oft John Hammond https://www.youtube.com/c/JohnHammond010/videos

wie er Malware auseinander nimmt und CTFs macht. Da wird meist TryHackMe oder HTB verwendet.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Mal ne allgemeine Frage nebenbei:

 

Macht es denn überhaupt Sinn, sich in dem Bereich weiterzubilden, ohne Coding Kenntnisse etc? Ich muss ehrlich sagen , ich kann absolut nicht Coden. Maximal ein wenig HTML CSS , aber das wars auch schon. Sollte ich lieber erstmal Kenntnisse im Coding aufbauen bevor ich mich auf das Thema Pentesting etc stürze?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich als Anfänger bin bisher mit dem kostenlosen Angebot von TryHackMe sehr zufrieden. 
Die Guides sind verständlich und interessant.

Ab und zu versuche ich mich an den Virtuellen Maschinen von vulnhub. Diese liegen dort meistens als .ova oder .iso zum Download bereit.
Wenn man mal irgendwo nicht weiterkommt gibt es auch zu so gut wie jeder Maschine ein Write-Up, sodass man ein wenig cheaten kann ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Die Frage lässt sich ja kaum beantworten ohne zu wissen, was du machen willst. Ich habe jetzt bisher in keiner TryHackMe Aufgabe etwas Coden müssen. Du musst vielmehr mit den Tools umgehen können und verstehen, was du da gerade machst.

Ich würde es so formulieren: Du bist im Nachteil wenn du keine Zeile Code schreiben kannst.

Nehmen wir an du entdeckst Schadcode auf einem System, kannst aber keine Zeile lesen...tja Pech.

Dazu braucht man nicht jede Sprache lernen, sondern hauptsächlich eine, denn die Basics erkennt man dann überall.

Python ist "relativ" einfach zu erlernen und kann recht gut helfen. Es gibt da ganze Reihen "Python for Cyber Security".

Genauso sollte man sich etwas mit Powershell auskennen, da viele Malware einfach mit PS AMSI, Smartsceen, Defender uvm umgeht (siehe https://news.sophos.com/en-us/2021/06/02/amsi-bypasses-remain-tricks-of-the-malware-trade/) z.B. via https://amsi.fail/

Ich sehe aber keinen Grund, warum du das Handtuch werfen musst, nur weil du dich mal hinsetzen solltest und mal nen Python Kurs durchziehst.

Bearbeitet von KeeperOfCoffee
Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi Whitehammer,

ich bin in einer ähnlichen Lage wie Du: FISI-Ausbildung mit Schwerpunkt IT-Sicherheit, eine Woche vor Ausbildungsende und danach weiterhin im Bereich IT-Sec tätig.

TryHackMe kann ich definitiv (insb. für den Anfang empfehlen). Dort gibt es zahlreiche Räume/Trainings, die man zum Teil komplett kostenlos machen kann und dadurch, dass es i.d.R. interaktiv/praktisch ist, lernt man auch sehr gut dabei. Der Kontent ist auch nach Schwierigkeitsgrad gegliedert, daher schau am besten einfach mal, wie Du mit den "Easy"-Sachen zurechtkommst. Den Raum "Complete Beginner" kann ich Dir wärmstens ans Herz legen. Ist ziemlich umfangreich (Alles von Linux über Web-Exploitation bis hin zu Kryptographie). Solltest Du Dich auf THM wohlfühlen, empfehle ich zusätzlich noch HackTheBox. Hier ist das Niveau schon höher und demnach sollte man etwas Vorerfahrung mitbringen. Das Abo kann ich bei beiden Plattformen empfehlen. Auf YouTube findet man oftmals Walkthroughs, bzw. auf anderen Webseiten passende WriteUps der Challenge. Es gibt noch viele weitere Plattformen wie VulnHub oder PenTesterLab, aber diese kenne ich nur grob und kann daher nicht viel zu sagen.

Was das Thema Coding angeht, kann ich mich dem Vorredner nur anschließen. Im Bereich IT-Sicherheit gibt es Stellen für die man gar keine einzige Zeile Code benötigt, aber auch welche, bei denen man sehr vertraut mit mind. einer Sprache sein sollte. Es geht auch oftmals (zumindest im klassichen PenTesting/Ethical Hacking) nicht darum, tausende Zeilen von Code zu schreiben, sondern vorhandene Skripte anzupassen (bspw. eine Remote Shell) oder allgemeine Konzepte zu verstehen (und die damit verbundenen Risiken/Lücken). Falls Du Dich dem Thema Coding annähern möchtest, kann ich Dir ebenfalls Python und ansonsten Bash empfehlen. Je nach Angriffsvektor kämen aber noch weitere Sprachen hinzu: SQLi -> SQL, XSS -> JavaScript usw...

Abseits dieser Thematik empfehle ich Dir noch, Dich mit Linux auseinanderzusetzen. Du wirst oftmals um eine Distro wie Kali oder Parrot nicht rumkommen (außer Du willst es Dir unnötig schwer machen). Da sollte ein grundlegendes Verständnis für übliche Operationen (im Dateisystem navigieren, Berechtigungen verwalten, Dateien erstellen/bearbeiten/ausgeben etc.) schon bestehen. Vor allem das Terminal wird Dein bester Freund sein, da hierüber nunmal die meisten (vorinstallierten) Tools ausgeführt werden und Du eben nicht immer eine passende GUI zur Verfügung hast.

Viel Erfolg 🙂

Link zu diesem Kommentar
Auf anderen Seiten teilen

@ZeroZeroZX

 

Vielen Dank für deinen ausführlichen Beitrag! Unsere Situationen scheinen echt sehr ähnlich zu sein. Erstmal wünsche ich dir viel Glück bei der mündlichen AP :)

 

Ich denke dann werde ich tatsächlich mit THM starten. Ich bin betrieblich zwar eher im Blue Team Bereich ( wenn man Firewalling so nennen kann) aber Hacking hört sich Natürlich ziemlich spannend an 😉

 

Was machst du so im Betrieb? Gehörst du zur offensiven Security oder auch eher zur defensiven ? 

Link zu diesem Kommentar
Auf anderen Seiten teilen

@Whitehammer03Danke Dir! :)

Da haben wir ja sogar mehr gemeinsam als ich eigentlich dachte, denn ich bin ebenfalls im Bereich Firewalling tätig. Noch ein Funfact: Ich komme auch aus Deiner Nähe ;) Als würde ich hier mit meinem Spiegelbild reden.

Firewalling ist aber nur ein Teil des Ganzen, was ich so mache. Das Ganze drum herum wie IDS/IPS, DMZ, VPN gehört auch mit dazu. In absehbarer Zukunft wechseln wir aber auf eine moderne Zero Trust Lösung, die Dinge wie VPN und Firewalls ablösen wird. Das wird dann mein neues, spannende Aufgabengebiet.

Langfristig möchte ich aber (wahrscheinlich) gerne ins Red Teaming/Penetration Testing gehen. Deshalb daddel ich u.a. auch auf Plattformen wie THM und HTB und plane noch die ein oder andere relevante Zertifizierung abzuschließen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Guten Morgen zusammen,

also ich kann mich dem @ZeroZeroZX nur anschließen! 
Für mich persönlich war TryHackMe der richtige Weg. Hack the Box war einfach viel zu schwer und hat mich nahezu erschlagen! 
Solltest du deinen Weg zu Cyber Sec noch nicht ganz kennen dann kannst du dich auf YT umsehehn, da gibt es ein sehr geile Interviews und Erfahrungsberichte. Coden konnte ich vorher auch nur seeehr wenig, was jedoch alles in THM abgearbeitet wird und es gibt dort unzählige Module wie "Coding for Pentesters" und "What the Shell" also im Grunde lernst du jeden Tag etwas übers scripting oder coden, ob du willst oder nicht.

Den comlete beginner path gibts ab den14.1. nicht mehr, der wurde ersetzt durch der Jr Pentester Path (etwas interessanter aber ohne OWASP oder Kryptografie) 

Aber eines vorab! Mach dich darauf bereit viiieel zu googlen und dich erstmal mit Linux und den ganzen Tools auseinander zu setzten bevor du ins "Hacker-Dojo" (King of the Hill) gehst! Es dauert eben seine Zeit bis die Routine eintritt und man wirklich versteht was man tut.

Fazit: THM und "Over the Wire Bandit" ist ein guter Einstieg (für mich gewesen). Die 8€ lohnen sich voll! Nach 6 Monaten kontinuierlichem lernen, rüber zu HTB! 

Viel Erfolg! 

Link zu diesem Kommentar
Auf anderen Seiten teilen

@ToxaM0x

 

Danke dir auch für deinen Beitrag. Ich habe nun gestern Abend mit THM "pre Security" angefangen und bin schon mit ca 2/3 fertig. Hält sich von der Tiefe her natürlich noch stark in Grenzen, aber macht trotzdem bisschej Spaß :) bin gespannt ob ich noch mit dem Stoff klarkomme, sobald es ans Eingemachte geht :D

Link zu diesem Kommentar
Auf anderen Seiten teilen

@Whitehammer03An sich gerne, jedoch habe ich noch keinen LinkedIn-Account. Werde ich mir aber wahrscheinlich bald zulegen und dann würde ich auf das Angebot nochmal zurückkommen. :)

Und mit dem Pre Security Kurs machst Du definitiv nichts verkehrt. Dort sind viele Inhalte des von mir eingangs empfohlenen Kurs auch enthalten. Wenn die Grundlagen sitzen und Du Dich dann langsam mit den verschiedensten Security-Tools in praktischen Test-Szenarien vertraut machst, sollte der Spaß-Faktor auch nochmal erheblich steigen. Einfach fleißig dran bleiben :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Deine Meinung

Schreibe jetzt und erstelle anschließend ein Benutzerkonto. Wenn Du ein Benutzerkonto hast, melde Dich bitte an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen

Fachinformatiker.de, 2021 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung