CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全范畴中指的是网络安全技能人员之间举行技能竞技的一种比赛情势。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击举行技能比拼的方式。发展至今,已经成为全球范围网络安全圈盛行的竞赛情势,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技能程度和影响力的CTF竞赛,类似于CTF赛场中的“天下杯” 。
一、赛事介绍
CTF是一种盛行的信息安全竞赛情势,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过举行攻防对抗、步伐分析等情势,率先从主办方给出的比赛情况中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
二、竞赛模式
CTF竞赛模式具体分为以下三类:
1、解题模式(Jeopardy)
在解题模式CTF赛制中,参赛队伍可以通过互联网大概现场网络到场,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比力类似,以办理网络安全技能挑衅题目标分值和时间来排名,通常用于在线选拔赛。题目主要包罗逆向、漏洞挖掘与使用、Web渗透、密码、取证、隐写、安全编程等类别。
2、攻防模式(Attack-Defense)
在攻防模式CTF赛制中,参赛队伍在网络空间互相举行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞举行防御来避免丢分。攻防模式CTF赛制可以及时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技能,也比体力(由于比赛一般都会连续48小时及以上),同时也比团队之间的分工共同与合作。
3、混淆模式(Mix)
联合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗举行得分增减的零和游戏,最终以得分高低分出胜负。接纳混淆模式CTF赛制的典型代表如iCTF国际CTF竞赛。
三、CTF各大题型简介
PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,此中常见范例溢出漏洞有栈溢出、堆溢出。在CTF比赛中,线上比赛会有,但是比例不会太重,进入线下比赛,逆向和溢出则是战队实力的关键。主要考察参数选手漏洞挖掘和使用能力。
MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比力广。我们寻常看到的社工类题目;给你一个流量包让你分析的题目;取证分析题目,都属于这类题目。主要考察参赛选手的各种基础综合知识,考察范围比力广。
CRYPTO(密码学):全称Cryptography。题目考察各种加解密技能,包括古典加密技能、当代加密技能甚至出题者自创加密技能。实验吧“角斗场”中,这样的题目汇集的最多。这部门主要考察参赛选手密码学相关知识点。
WEB(web类):WEB应用在今天越来越广泛,也是CTF夺旗竞赛中的主要题型,题目涉及到常见的Web漏洞,诸如注入、XSS、文件包罗、代码审计、上传等漏洞。这些题目都不是简单的注入、上传题目,至少会有一层的安全过滤,需要选手想办法绕过。且Web题目是国内比力多也是各人比力喜欢的题目。由于大多数人开始安全都是从web日站开始的。
REVERSE(逆向):全称reverse。题目涉及到软件逆向、破解技能等,要求有较强的反汇编、反编译踏实功底。需要掌握汇编,堆栈、寄存器方面的知识。有好的逻辑头脑能力。主要考察参赛选手的逆向分析能力。此类题目也是线下比赛的考察重点。
PPC(编程类):全称Professionally Program Coder。题目涉及到步伐编写、编程算法实现。算法的逆向编写,批量处理惩罚等,偶尔候用编程行止理惩罚问题,会方便的多。当然PPC相比ACM来说,还是较为轻易的。至于编程语言嘛,保举使用Python来实验。这部门主要考察选手的快速编程能力。
STEGA(隐写):全称Steganography。隐写术是我开始打仗CTF以为比力神奇的一类,知道这个东西的时间感觉好神奇啊,黑客们真是聪明。题目标Flag会隐蔽到图片、音频、视频等各类数据载体中供参赛选手获取。载体就是图片、音频、视频等,可能是修改了这些载体来隐蔽flag,也可能将flag隐蔽在这些载体的二进制空缺位置。偶尔候需要你侦探精神足够的强,才气发现。此类题目主要考察参赛选手的对各种隐写工具、隐写算法的认识程度。实验吧“角斗场”的隐写题目在我看来是比力全的,以上说到的都有涵盖。新手盆友们可以去了解下。
四、赛题情况分析
- PWN、Reserve 侧重对汇编、逆向的理解
- Crypto 侧重对数学、算法的深入学习
- Web 编程对技巧沉淀、快速搜索能力的挑衅
- Misc 则更为复杂,所有与盘算机安全挑衅有关的都算在此中
五、常规解法
方向A:PWN+Reserver+Crypto随机搭配
方向B:Web+Misc组合
Misc所有人都可以做
六、基础知识&信息安全专业知识
保举图书:
A方向:
RE for Beginners(逆向工程入门)
IDA Pro权威指南
揭秘家庭路由器0day漏洞挖掘技能
本身动手写操作体系
黑客攻防宝典:体系实战篇
B方向:
Web应用安全权威指南
Web前端黑客技能揭秘
黑客秘籍——渗透测试使用指南
黑客攻防宝典WEB实战篇
代码审计:企业级Web代码安全架构
七、刷题网站
- i春秋练习平台:https://www.ichunqiu.com/battalion
- XCTF(攻防天下)竞赛平台:https://adworld.xctf.org.cn/
- 网络信息安全攻防学习平台:http://hackinglab.cn/
- OWASP 中国:http://www.owasp.org.cn/
- RedTigers-Hackit:http://redtiger.labs.overthewire.org/
- 实验吧CTF练习营:http://www.shiyanbar.com/
- 全国大弟子信息安全竞赛官方网站:http://www.ciscn.cn/
- 合天网安实验室 :https://www.hetianlab.com/CTFrace.html
- 封神台:https://hack.zkaq.org/?a=battle
- We Chall: http://www.wechall.net/sites.php
- SQL Fiddle在线练习:http://www.sqlfiddle.com/
- BUUCTF:https://buuoj.cn/faq
- CTFHUB:https://www.ctfhub.com/#/skilltree
- 游戏化平台:https://microcorruption.com/login
- SMASH THE STACK: http://smashthestack.org/
- Wargames:http://overthewire.org/wargames/
八、工具集
https://github.com/P1kachu/v0lt
https://github.com/truongkma/ctf-tools
https://github.com/zardus/ctf-tools
九、参考
攻防天下XCTF黑客笔记刷题记载
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |