Тут не всё так просто. Веб СТФ — штука разная, и без базового понимания веба и хотя бы одного из языков с первых же задач не получится. Многие просто лезут сразу в сложные уязвимости, а потом горят. Лучше сначала разобраться с HTTP, понять, как работают куки и сессии, а потом уже практиковаться на простых платформах. Инструменты тоже важны, но сначала хоть разбираться в задачах, а не нажимать кнопки.