尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
一、CTF是什麼?
對於第一次接觸「CTF競賽」這個名詞的人來說,電視劇裡描繪的世界包含了太多美好的事物:戰鬥、團隊、青春、榮譽…一瞬間能讓人燃起來為之打call。然而現實中的CTF競賽,卻遠沒有這麼多光環和濾鏡。
網友用來調侃現實與電視劇中CTF大賽差距的表情包
CTF,全稱"Capture The Flag",又被稱為「奪旗賽」。
起源: CTF起源於1996年在拉斯維加斯舉辦的DEFCON全球駭客大會,最早是交流安全技術的重要途 徑,發展至今已有20多年的歷史,目前全球最高技術水平和影響力的CTF競賽。
性質: 網路安全領域中,一項網路安全技術人員進行技術比拼的賽事。通過各種攻擊手段,獲取服務器後,尋找指定的字段或文件中的某一個格式的字段, 這一字段為flag, 即獲取旗幟奪得分數。
二、CTF比賽模式
高光的賽場,頂配的設備和每個選手精心打理的發型讓很多自稱「現女友」的姑娘們覺得這些白帽子駭客簡直就是帥炸了,但真實的CTF和劇中李現呈現出的「電競化」的訓練和比賽還是很不同的。
那麼CTF是怎麼進行比賽的呢?
CTF競賽一般可分為解題模式、攻防模式和混合模式三大模式。
1解題模式(Jeopardy)
在解題模式中,參賽隊伍可以通過互聯網或者現場網路參與。這種模式以解決網路安全技術挑戰題的分值和時間排名,通常用於在線選拔賽。
2攻防模式(Attack-Defense)
在攻防模式中,參賽隊伍在網路空間互相攻擊和防守,可以實時通過得分反映比賽情況,最終也以得分直接分出勝負。
3混合模式(Mix)
混合模式結合了解題模式和攻防模式,參賽隊伍通過解題可以獲取初始分數,然後通過攻防對抗 進行得分增減的零和遊戲,最終以得分高低分出勝負。
三、常見題型簡介
●Web
Web 是CTF 的主要題型,題目涉及到許多常見的Web漏洞,如XSS、文件包含、 代碼執行、 上傳漏洞、SQL 註入等。也有- -些簡單的關於網路基礎知識的考察,如返回包、TCP/IP、 數據包內容和構造。可以說題目環境比較接近真實環境。
所需知識: PHP、Python、 TCP/IP、 SQL
●Crypto
題目考察各種加解密技術,包括古典加密技術、現代加密技術甚至出題者自創加密技術,以及一些常 見編碼解碼,主要考核參賽選手密碼學相幹知識點。通常也會和其他題目相結合。
所需知識:矩陣、數論、密碼學
●Misc .
Misc即安全雜項,題目涉及隱寫術、流量分析、電子取證、人肉搜索、數據分析、大數據統計 等,覆蓋面比較廣,主要考核參賽選手的各種基礎綜合知識。
所需知識:常見隱寫術工具、Wireshark 等流量審查工具、編碼知識
●Reverse
題目涉及到軟體逆向、破解技術等, 要求有較強的反匯編、反編譯功底。主要考核參賽選手的逆向分析能力。
所需知識:匯編語言、加密與解密、常見反編譯工具
●Pwn
Pwn在駭客俚語中代表著攻破,獲取權限,在CTF比賽中它代表著溢出類的題目,其中常見類型溢出漏洞有整數溢出、棧溢出、堆溢出等。主要考核參賽選手對漏洞的利用能力。
所需知識: C, OD+IDA,數據結構,操作系統
四、國內外賽事
DEFCON CTF: CTF賽事中的「世界杯」
Hack.lu CTF:盧森堡駭客會議同期舉辦的CTF
RuCTF:由俄羅斯Hackerdom組織的在線攻防賽
XXC3 CTF:歐洲歷史最悠久CCC駭客大會舉辦的CTF
UCSB iCTF:來自UCSB的面向世界高校的CTF
XCTF全國聯賽:國內最權威、最高技術水平與最大影響力的網路安全CTF賽事平臺
AliCTF:阿裡巴巴公司組織,面向高校學生的CTF競賽
WCTF:世界駭客大師賽始辦於2016年,立足於高水平的網路安全技術對抗和交流,由 360Vulcan團隊組織,360公司獨家讚助的國際CTF挑戰賽。
.........
講了這麼多,大家有對CTF了解一點麼,雖然可能無法置身比賽裡和各位大佬同臺競技,但是學習學習知識也是非常不錯滴。或許某一天,你也能站在CTF的領獎臺上,為國爭光哦~
>當偶像劇遇上CTF——讓韓商言上頭的CTF到底是什麼?