记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

10个问题帮您厘清什么是CTF

2016-03-03 15:15

1. 什么是CTF?

Capture The Flag(简称CTF),直译为“夺旗赛”,起源于1996年举办的DEF CON全球黑客大会,最早是交流安全技术的重要途径。

随着时间的推移,CTF竞赛逐渐演变成为信息安全技术竞赛的一种形式,发展成为全球范围网络安全圈的流行比赛,但其比赛形式与内容依然拥有浓厚的黑客精神和黑客文化。近年来,CTF竞赛活动蓬勃发展,国内外各类高质量的CTF竞赛层出不穷,CTF已经成为了学习锻炼信息安全技术,展现安全能力和水平的绝佳平台。

5.png

2. CTF的目标是什么?

从字面上来看,CTF参赛队伍的目标是获取尽可能多的flag(旗帜)。参赛队伍需要通过解决信息安全的技术问题来获取flag。flag可能来自于一台远端的服务器,一个复杂的软件,也可能隐藏在一段通过密码算法或协议加密的数据,或是一组网络流量及音频视频文件中。选手需要综合利用自己掌握的安全技术,并辅以快速学习新知识,通过获取服务器权限,分析并破解软件或是设计解密算法等不限定途径来获取flag。

3. CTF比赛的形式是?

a. 解题模式: 通常为在线比赛,目前大多数国内外CTF比赛的主流形式 ,选手自由组队参赛(在线比赛人数一般不做限制)。题目通常在比赛过程中陆续放出。解出一道题目后,提交题目对应的flag即可得分,比赛结束时分高者胜。

b. 攻防模式: 通常为现场比赛,多数CTF决赛的比赛形式,选手自由组队参赛,但通常队伍人数会受到限制(3~8人不等)。相比于解题模式,时间更短,比赛中更注重临场反应和解题速度,考察团队多方面的综合安全能力。

55.png

4. 比赛的题目类型是?

a. web安全:通过浏览器访问题目服务器上的网站,寻找网站漏洞,利用网站漏洞获得服务器的部分或全部权限,拿到flag;

b. 逆向工程:题目就是一个软件,但通常没有软件的源代码;需要利用工具对软件进行反编译甚至反汇编,从而理解软件内部逻辑和原理,找出与flag计算相关的算法并破解这个算法,获取flag;

c. 漏洞挖掘与漏洞利用:访问一个本地或远程的二进制服务程序,通过逆向工程找出程序中存在的漏洞,并利用程序中的漏洞获取远程服务器的部分或全部权限,拿到flag;

d. 密码学:分析题目中的密码算法与协议,利用算法或协议的弱点来计算密钥或对密文进行解密,从而获取flag。

e. 分析取证:利用隐写术等保护技术将信息隐藏在图像、音频、视频中,或者信息就在一段内存镜像或网络流量中,尝试将隐藏的信息恢复出来即可获得flag。

f. 其他:ACM算法题,游戏或其他安全常识题目,需要一定的编程基础。

5. 哪些人在参与CTF?

a. 大学生:上海交通大学、清华大学、复旦大学、浙江大学、台湾大学、卡内基梅隆大学、加州大学圣巴巴拉分校等国内外名校都有实力非常强劲的CTF队伍;

b. 安全公司:Google Project Zero等知名安全团队的研究人员;

c. 信息安全爱好者:个人或者用户单位也有组队参与CTF。

6. 怎么开始参与CTF?

高难度的CTF竞赛对选手的知识积累与技术熟练度要求非常高,因此如果想要能够在CTF竞赛中取得好成绩,需要首先具备扎实的计算机理论和实践基础。其中涉及到的重要基础课程包括:计算机系统与结构、操作系统、编译原理、数据结构、计算机网络、密码学、离散数学、数论、近世代数、数字电路等。

互联网上有许多CTF竞赛相关的练习资源,都可以针对性地帮助提高自身的安全技术以及解决实际安全问题的能力,其中具有代表性的网站列举如下:

逆向工程:bbs.pediy.com,www.52pojie.cn, crackmes.de,reversing.kr

漏洞挖掘与漏洞利用:smashthestack.org,pwnable.kr,overthewire.org/wargames/vortex/

网络渗透:www.wechall.net,pentesterlab.com

CTF竞赛题目汇编:github.com/ctfs,shell-storm.org/repo/CTF/

此外有一些高质量的书籍对于参与CTF竞赛的帮助也非常大,例如:《程序员的自我修养》、《深入理解计算机系统》、《算法导论》、《密码学应用》、《编译原理(龙书)》、《鸟哥的私房菜》、《白帽子讲Web安全》等。

当然最重要的是寻找一些志同道合的小伙伴们尽快参与到实际的CTF竞赛中来,队员之间多交流,多总结,从而迅速熟悉当下CTF竞赛的题目风格和形式,通过实战获得能力上的最大提升,同时也能够促进团队的默契与凝聚力。

7. 国内外知名CTF战队?

0ops(上海交通大学),blue-lotus(清华大学),217(台湾大学),PPP(卡内基梅隆大学),Dragon Sector(波兰)等。

555.png

8. 国内外知名CTF比赛?

国际:DEF CON CTF,Codegate CTF,PlaidCTF,Ghost In The Shellcode,Boston Key Party CTF,Hack.lu CTF等,

您可以在 https://ctftime.org/ 获得更多的比赛信息。

国内:0CTF(2016年 DEF CON CTF 七大全球外卡赛之一),BCTF等。

您可以在 https://time.xctf.org.cn/ 获得更多的比赛信息。

5555.png

9. 0ops是谁?

0ops成立于2013年9月,是一支由上海交通大学本科生、硕士和博士研究生组成的CTF战队。队伍组建近两年半的时间里,先后获得2014年“百度杯”全国网络安全技术对抗赛初赛冠军及决赛亚军,第一届阿里巴巴安全技术竞赛二等奖,2014年德国Hack.lu CTF亚军,2015年韩国Codegate CTF冠军,2015年DEF  CON CTF总决赛第六名等多项战绩。队伍在2015年终 ctftime官方权威排名中高居第三,并仍在快速进步和发展中。 近两年,0ops团队举办了多场高水平国内外信息安全竞赛,包括0CTF 2014和0CTF 2015,同时为ISG 2014和ISG 2015提供了技术支撑,培养和选拔了一批国内优秀的信息安全人才。

6.png

10. 0CTF 是一场怎样的 CTF 比赛?

0CTF(0ops国际信息安全技术挑战赛)2016是由0ops 团队主办的一场高水平国际CTF 比赛,是2016年 DEF CON CTF 的七大外卡赛之一,也是XCTF(国际网络安全技术对抗联赛)上海分站赛。

0CTF决赛的第一名将直接晋级2016年8月在美国拉斯维加斯举行的DEF CON CTF全球总决赛,获得与全球最高水平黑客团队进行对抗的资格。

0CTF 分为线上预选赛和线下决赛。

66.png

线上预选赛采用在线解题的比赛模式,于北京时间3月12日早上八点到3月14日早上八点进行,持续48小时,预选赛面向全球范围,预选赛最终排名前十的队伍将直接晋级0CTF 决赛。除此之外,XCTF北京分站 BCTF 的中国队伍第一名和西安分站 SSCTF 的中国队伍第一名亦可获得一张晋级0CTF 决赛的外卡门票。

线下决赛采用更为激烈和精彩的现场攻防比赛模式,将于北京时间4月23日到4月24日举办,届时晋级0CTF决赛的12支国内外高水平安全团队(每队6人)将汇聚黄浦江之滨——上海,展开对第24届DEF CON CTF 总决赛最后一张外卡门票的争夺。

比赛同期将举办持续三天的国际安全论坛0CON,邀请国内外各安全领域顶尖专家演讲,同时也组织互联网安全投资国际交流,预计将吸引国内外信息安全领域超过500名嘉宾到场。

666.png

* 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/fevents/97519.html

阅读:103713 | 评论:0 | 标签:活动 CTF

想收藏或者和大家分享这篇好文章→复制链接地址

“10个问题帮您厘清什么是CTF”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云