CTF網絡安全比賽簡介

https://blog.csdn.net/whatday/article/details/103045896

 

CTF簡介

CTF（Capture The Flag）中文一般譯作奪旗賽，在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。CTF起源於1996年DEFCON全球黑客大會，以代替之前黑客們通過互相發起真實攻擊進行技術比拼的方式。發展至今，已經成爲全球範圍網絡安全圈流行的競賽形式，2013年全球舉辦了超過五十場國際性CTF賽事。而DEFCON作爲CTF賽制的發源地，DEFCON CTF也成爲了目前全球最高技術水平和影響力的CTF競賽，類似於CTF賽場中的“世界盃” 。

 

CTF競賽模式

（1）解題模式（Jeopardy）在解題模式CTF賽制中，參賽隊伍可以通過互聯網或者現場網絡參與，這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似，以解決網絡安全技術挑戰題目的分值和時間來排名，通常用於在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。
（2）攻防模式（Attack-Defense）在攻防模式CTF賽制中，參賽隊伍在網絡空間互相進行攻擊和防守，挖掘網絡服務漏洞並攻擊對手服務來得分，修補自身服務漏洞進行防禦來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況，最終也以得分直接分出勝負，是一種競爭激烈，具有很強觀賞性和高度透明性的網絡安全賽制。在這種賽制中，不僅僅是比參賽隊員的智力和技術，也比體力（因爲比賽一般都會持續48小時及以上），同時也比團隊之間的分工配合與合作。
（3）混合模式（Mix）結合瞭解題模式與攻防模式的CTF賽制，比如參賽隊伍通過解題可以獲取一些初始分數，然後通過攻防對抗進行得分增減的零和遊戲，最終以得分高低分出勝負。採用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。

 

CTF各大題型簡介

MISC（安全雜項）：全稱Miscellaneous。題目涉及流量分析、電子取證、人肉搜索、數據分析、大數據統計等等，覆蓋面比較廣。我們平時看到的社工類題目；給你一個流量包讓你分析的題目；取證分析題目，都屬於這類題目。主要考查參賽選手的各種基礎綜合知識，考察範圍比較廣。

PPC（編程類）：全稱Professionally Program Coder。題目涉及到程序編寫、編程算法實現。算法的逆向編寫，批量處理等，有時候用編程去處理問題，會方便的多。當然PPC相比ACM來說，還是較爲容易的。至於編程語言嘛，推薦使用Python來嘗試。這部分主要考察選手的快速編程能力。

CRYPTO（密碼學）：全稱Cryptography。題目考察各種加解密技術，包括古典加密技術、現代加密技術甚至出題者自創加密技術。實驗吧“角鬥場”中，這樣的題目彙集的最多。這部分主要考查參賽選手密碼學相關知識點。

REVERSE（逆向）：全稱reverse。題目涉及到軟件逆向、破解技術等，要求有較強的反彙編、反編譯紮實功底。需要掌握彙編，堆棧、寄存器方面的知識。有好的邏輯思維能力。主要考查參賽選手的逆向分析能力。此類題目也是線下比賽的考察重點。

STEGA（隱寫）：全稱Steganography。隱寫術是我開始接觸CTF覺得比較神奇的一類，知道這個東西的時候感覺好神奇啊，黑客們真是聰明。題目的Flag會隱藏到圖片、音頻、視頻等各類數據載體中供參賽選手獲取。載體就是圖片、音頻、視頻等，可能是修改了這些載體來隱藏flag，也可能將flag隱藏在這些載體的二進制空白位置。有時候需要你偵探精神足夠的強，才能發現。此類題目主要考查參賽選手的對各種隱寫工具、隱寫算法的熟悉程度。實驗吧“角鬥場”的隱寫題目在我看來是比較全的，以上說到的都有涵蓋。新手盆友們可以去了解下。

PWN（溢出）：PWN在黑客俚語中代表着攻破，取得權限，在CTF比賽中它代表着溢出類的題目，其中常見類型溢出漏洞有棧溢出、堆溢出。在CTF比賽中，線上比賽會有，但是比例不會太重，進入線下比賽，逆向和溢出則是戰隊實力的關鍵。主要考察參數選手漏洞挖掘和利用能力。

WEB（web類）：WEB應用在今天越來越廣泛，也是CTF奪旗競賽中的主要題型，題目涉及到常見的Web漏洞，諸如注入、XSS、文件包含、代碼審計、上傳等漏洞。這些題目都不是簡單的注入、上傳題目，至少會有一層的安全過濾，需要選手想辦法繞過。且Web題目是國內比較多也是大家比較喜歡的題目。因爲大多數人開始安全都是從web日站開始的。

 

學之前的思考：分析賽題情況

PWN、Reserve偏重對彙編、逆向的理解

Crypto偏重對數學、算法的深入學習

Web編程對技巧沉澱、快速搜索能力的挑戰

Misc則更爲複雜，所有與計算機安全挑戰有關的都算在其中

 

常規做法

A方向：PWN+Reserver+Crypto隨機搭配

B方向：Web+Misc組合

其實Misc所有人都可以做

 

惡補基礎知識&信息安全專業知識

推薦圖書：

A方向：

RE for Beginners（逆向工程入門）

IDA Pro權威指南

揭祕家庭路由器0day漏洞挖掘技術

自己動手寫操作系統

黑客攻防寶典：系統實戰篇

B方向：

Web應用安全權威指南

Web前端黑客技術揭祕

黑客祕籍——滲透測試使用指南

黑客攻防寶典WEB實戰篇

代碼審計：企業級Web代碼安全架構

 

從基礎題目出發

i春秋訓練平臺：https://www.ichunqiu.com/battalion

 

We Chall:   http://www.wechall.net/sites.php

 

很炫酷遊戲化————https://microcorruption.com/login

 

http://smashthestack.org/

 

http://overthewire.org/wargames/

 

https://exploit-exercises.com/（A方向）

 

工具集：

https://github.com/P1kachu/v0lt

https://github.com/truongkma/ctf-tools

https://github.com/zardus/ctf-tools