Menu目录

CTF到底是干嘛的?

作者:Carl Zhang | 更新时间:2019-01-19 | 分类:科技

几个月前分享了一篇文章,叫《一张图片居然能隐藏这么多东西!》,讲述了一个看上去是个图片文件,实际上里面隐藏了很多很多其他信息的例子。其实这是一道CTF的Misc杂项题,在上文的开头也简要的提到了。这篇文章就来简单介绍一下CTF比赛。

一、什么是CTF/CTF的历史

CTF,英文全称是:Capture The Flag,中文翻译为夺旗赛,顾名思义,就是要获取Flag(旗)。比赛的主要形式是通过团队内部的交流,挖掘题目中的漏洞,隐藏信息,从而获取最终的Flag值,提交得分,不同难度的题目/Flag会有不同的分值。

CTF的模式[1]:

  • 解题模式 - Jeopardy
  • 战争分享模式 - Belluminar
  • 攻防模式 - Attack & Defense

其中解题模式就是比较常见的比赛,主要包含了Web 网络攻防 、 RE 逆向工程 、 Pwn 二进制漏洞利用 、 Crypto 密码攻击 、 Mobile 移动安全 以及 Misc 安全杂项 这六个类别[1]。

至于中间那种,我没有接触过,所以我也不好给大家伙儿科普了,大家有兴趣可以去了解一下~

攻防模式则是所有队伍在一个封闭的网络环境中,守护自己队伍的服务器安全,同时尽可能多的抓取其他队伍服务器的漏洞,挖取其中蕴藏的flag。

CTF 的前身是传统黑客之间网络技术比拼的游戏,起源于 1996 年第四届 DEFCON[2]。

CTF

(历年DEFCON CTF总决赛举办情况[3])

作者注:实在找不到更新的表格了大家将就着看吧

DEF CON会议官网:https://www.defcon.org/html/links/dc-archives.html

二、CTF比赛

据参加比赛的朋友不完全统计,就去年(2018年)一整年,国内大大小小的CTF比赛就有几十场,较17年比呈现一个井喷式的增长趋势(数据不确保正确)。从比赛场次的增多,可以看出来,国内的网络安全意识开始迅速的提升,越来越多的企业/网络管理员/学生甚至是单纯的计算机爱好者,开始重视网络安全。

CTF比赛真正的意义是为了让大家能够提高计算机网络安全意识,同时比拼大家对于网络攻击的防御技能。随着互联网的发展,网络环境却日益恶化,用户的隐私信息/公司的商业机密等都是非常重要的部分。因此,不管是程序员也好,网络管理员也罢,都需要不断地提升自身的网络安全意识。

前段时间华住被“脱裤”(业内术语,表示数据库的数据被黑客拿走了)的事情,被爆出疑似是程序员将数据库连接方式直接传到github(开源代码托管平台,上传以后大家都能看到具体的代码)上了,导致数据库地址用户名密码全部泄露。讲道理,如果这个是真的,这个程序员给你个忠告,换职业吧,真的,程序员不适合你。

CTF

(source: Freebuf[4])

三、我与CTF

我首次接触CTF,是在18年中旬,公司组织内部的网络安全技能大赛,荣幸参加比赛,以及赛前的培训/训练。为了更有把握,提前还参加了绿盟在我们城市举办的第一届网络安全大赛,不过那时候的我们甚至说是连网络安全的门都没入,自然战绩惨不忍睹。

后来接触了几位参加过很多次比赛的老师/朋友,慢慢的找到了一些套路,以及方式方法,虽然在公司内部的比赛中只排到了中上的名次,毕竟也只能算是个刚刚入门的小学生而已。不过这几次比赛下来,提升了我很多对于网络安全方面的意识。也希望能够通过自己的这一微薄的力量,给周围的家人朋友们,普及一下网络安全方面的知识,避免中招。

四、举几个CTF的例题

1. Misc杂项题:

这个题型文章开头就提到过,大家有兴趣可以点文章开头的链接查看(我知道你们懒得往上翻,这里再放一边吧:《一张图片居然能隐藏这么多东西!》),其实这个题算是我做过的Misc题中比较复杂的题了。

2. Web题:

这是一道非常简单的题,来源:BugKu(https://ctf.bugku.com/challenges#web2

CTF

因为是个Web题,因此就肯定是个网页啦~首先我们打开网页看一下:

CTF

哎呀我的天,这么多滑稽,弄得我眼花缭乱的。。。这表面看也看不出什么东西啊。祭出神器F12,浏览器自带的调试功能:

CTF

唉这不就有东西了~看到源代码里包含了一串flag值,复制下来,提交即可。

CTF

这就是一道非常简单的Web题啦,这题考察的就是你的源代码审查能力。当然啦,比赛的时候难度自然就没有这么简单了~(可能会作为比赛的签到题来作为热身,以及起到告知选手flag格式的作用)

3. 加解密题:

常见的加解密题,用到的加解密方式大概包含了Base64,Base32,Hex,RSA,再加上一些古典密码学,比如摩斯密码,凯撒密码,维吉尼亚密码,猪圈密码,希尔密码,波利比奥斯棋盘等。

举个例子,题目同样来自于BugKu(https://ctf.bugku.com/challenges#滴答~滴

CTF

一看到题目中给的是".", "-",以及标题滴答滴,瞬间就想到摩斯电码,转换一下(答案同样也被我打了码):

CTF

于是我们就拿到了真正的结果,按照题目要求的格式提交即可。

CTF

好了,篇幅有限,CTF的例子就举这几个吧,大家如果有兴趣的,下方推荐几个CTF联系平台,有兴趣可以去自己玩一玩~

五、CTF练习平台

i春秋:https://www.ichunqiu.com/

BugKu:https://ctf.bugku.com/challenges

新BugKu(CTF-论剑场):https://new.bugku.com/challenges

实验吧:http://www.shiyanbar.com/ctf/practice

浙大的Jarvis OJ:https://www.jarvisoj.com/login

墨者学院:https://www.mozhe.cn/

看雪CTF:https://ctf.pediy.com/(这个好像是比赛为主,暂时没找到练习的题)

六、引用 (Reference)

[1] "CTF 竞赛模式简介 - CTF Wiki", Ctf-wiki.github.io. [Online]. Available: https://ctf-wiki.github.io/ctf-wiki/introduction/mode/. [Accessed: 19- Jan- 2019]

[2] "CTF 历史 - CTF Wiki", Ctf-wiki.github.io. [Online]. Available: https://ctf-wiki.github.io/ctf-wiki/introduction/history/. [Accessed: 19- Jan- 2019]

[3]"Defcon黑客大会CTF夺旗赛历史", Defcon黑客大会CTF夺旗赛历史|Defcon黑客大会|CTF夺旗赛_滚动新闻_新浪科技_新浪网, 2014. [Online]. Available: http://tech.sina.com.cn/roll/2014-08-21/17429566710.shtml. [Accessed: 19- Jan- 2019]

[4]"华住开房数据泄露,下一个可能就是你! - FreeBuf互联网安全新媒体平台", Freebuf.com, 2018. [Online]. Available: https://www.freebuf.com/company-information/182475.html. [Accessed: 19- Jan- 2019]


作者注:本文最早发布于我的公众号Carl中,感兴趣的小伙伴们可以关注一下我的二维码:

我的公众号二维码

(本文为作者原创。转载请注明:转自carlzhang.xyz





*昵称:

*邮箱:

*留言: