我知道这个问题可能已经被问到烂掉了...
但是我还是觉得自己在做的事不知道是不是正确的...
就我所知资安有很多方面
网络，网页，逆向工程，密码学，数位鉴识等等
目前我想从网络安全着手
因此我去读了电脑互联网的知识
现在也正开始学Socket programming
有写了个TCP port80的小scanner
也开始在摸组合语言
但是当我拿到了kali 这种东西却完全不知道怎么用
顶多只会namp之类的...
对于metasploit 的payload也不会用
但我的想法是当我会用的时候应该要去看他的原始码对吧？
还是我应该要从CTF或是wargame的游戏开始着手会比较好？

可以载靶机metasploitable2练习，网络上有不少demo

好的，我会试试看，但我想问就算会用了metasploit 感觉也只是用到工具而已？想要更深入的了解是要去看他怎么运作跟开源的程式码吗

那些东西是"工具"，让你练习入侵与攻击手法，进而学会防御，一般都是拿来用比较多不过如果你就是想学自己写工具来用，也是可以看程式码

书是个好东西 你可以先看看 那些都有书

其实很多时候工具毕竟是工具，重要的是如何跳脱User思维，看到开发团队或其他用户想不到的问题，一不小心就破台了..很多时候用到的工具就真的只是Chrome，连F12都未必要押..