2. 程式人生 > >CTF學習規劃————1、如何入門CTF

CTF學習規劃————1、如何入門CTF

阿新 發佈:2019-01-07

CTF簡介

CTFCapture The Flag)中文一般譯作奪旗賽,在網路安全領域中指的是網路安全技術人員之間進行技術競技的一種比賽形式。CTF起源於1996DEFCON全球黑客大會,以代替之前黑客們通過互相發起真實攻擊進行技術比拼的方式。發展至今,已經成為全球範圍網路安全圈流行的競賽形式,2013年全球舉辦了超過五十場國際性CTF賽事。而DEFCON作為CTF賽制的發源地,DEFCON CTF也成為了目前全球最高技術水平和影響力的CTF競賽,類似於CTF賽場中的世界盃

CTF競賽模式

1)解題模式(Jeopardy在解題模式CTF賽制中,參賽隊伍可以通過網際網路或者現場網路參與,這種模式的

CTF競賽與ACM程式設計競賽、資訊學奧賽比較類似,以解決網路安全技術挑戰題目的分值和時間來排名,通常用於線上選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全程式設計等類別。2)攻防模式(Attack-Defense在攻防模式CTF賽制中,參賽隊伍在網路空間互相進行攻擊和防守,挖掘網路服務漏洞並攻擊對手服務來得分,修補自身服務漏洞進行防禦來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況,最終也以得分直接分出勝負,是一種競爭激烈,具有很強觀賞性和高度透明性的網路安全賽制。在這種賽制中,不僅僅是比參賽隊員的智力和技術,也比體力(因為比賽一般都會持續48小時及以上),同時也比團隊之間的分工配合與合作。
3)混合模式(Mix結合瞭解題模式與攻防模式的CTF賽制,比如參賽隊伍通過解題可以獲取一些初始分數,然後通過攻防對抗進行得分增減的零和遊戲,最終以得分高低分出勝負。採用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。

CTF各大題型簡介

MISC(安全雜項):全稱Miscellaneous。題目涉及流量分析、電子取證、人肉搜尋、資料分析、大資料統計等等,覆蓋面比較廣。我們平時看到的社工類題目;給你一個流量包讓你分析的題目;取證分析題目,都屬於這類題目。主要考查參賽選手的各種基礎綜合知識,考察範圍比較廣。

PPC(程式設計類):全稱Professionally Program Coder。題目涉及到程式編寫、程式設計演算法實現。演算法的逆向編寫,批量處理等,有時候用程式設計去處理問題,會方便的多。當然

PPC相比ACM來說,還是較為容易的。至於程式語言嘛,推薦使用Python來嘗試。這部分主要考察選手的快速程式設計能力。

CRYPTO(密碼學):全稱Cryptography。題目考察各種加解密技術,包括古典加密技術、現代加密技術甚至出題者自創加密技術。實驗吧角鬥場中,這樣的題目彙集的最多。這部分主要考查參賽選手密碼學相關知識點。

REVERSE(逆向):全稱reverse。題目涉及到軟體逆向、破解技術等,要求有較強的反彙編、反編譯紮實功底。需要掌握彙編,堆疊、暫存器方面的知識。有好的邏輯思維能力。主要考查參賽選手的逆向分析能力。此類題目也是線下比賽的考察重點。

STEGA(隱寫):全稱Steganography。隱寫術是我開始接觸CTF覺得比較神奇的一類,知道這個東西的時候感覺好神奇啊,黑客們真是聰明。題目的Flag會隱藏到圖片、音訊、視訊等各類資料載體中供參賽選手獲取。載體就是圖片、音訊、視訊等,可能是修改了這些載體來隱藏flag,也可能將flag隱藏在這些載體的二進位制空白位置。有時候需要你偵探精神足夠的強,才能發現。此類題目主要考查參賽選手的對各種隱寫工具、隱寫演算法的熟悉程度。實驗吧角鬥場的隱寫題目在我看來是比較全的,以上說到的都有涵蓋。新手盆友們可以去了解下。

PWN(溢位):PWN在黑客俚語中代表著攻破,取得許可權,在CTF比賽中它代表著溢位類的題目,其中常見型別溢位漏洞有棧溢位、堆溢位。在CTF比賽中,線上比賽會有,但是比例不會太重,進入線下比賽,逆向和溢位則是戰隊實力的關鍵。主要考察引數選手漏洞挖掘和利用能力。

WEBweb類):WEB應用在今天越來越廣泛,也是CTF奪旗競賽中的主要題型,題目涉及到常見的Web漏洞,諸如注入、XSS、檔案包含、程式碼審計、上傳等漏洞。這些題目都不是簡單的注入、上傳題目,至少會有一層的安全過濾,需要選手想辦法繞過。且Web題目是國內比較多也是大家比較喜歡的題目。因為大多數人開始安全都是從web日站開始的。


學之前的思考:分析賽題情況

PWN、Reserve偏重對彙編、逆向的理解

Crypto偏重對數學、演算法的深入學習

Web程式設計對技巧沉澱、快速搜尋能力的挑戰

Misc則更為複雜,所有與電腦保安挑戰有關的都算在其中

常規做法

A方向:PWN+Reserver+Crypto隨機搭配

B方向:Web+Misc組合

其實Misc所有人都可以做

惡補基礎知識&資訊保安專業知識

推薦圖書:

A方向:

RE for Beginners(逆向工程入門)

IDA Pro權威指南

揭祕家庭路由器0day漏洞挖掘技術

自己動手寫作業系統

黑客攻防寶典:系統實戰篇

B方向:

Web應用安全權威指南

Web前端黑客技術揭祕

黑客祕籍——滲透測試使用指南

黑客攻防寶典WEB實戰篇

程式碼審計:企業級Web程式碼安全架構

從基礎題目出發

i春秋訓練平臺:https://www.ichunqiu.com/battalion


We Chall:   http://www.wechall.net/sites.php


很炫酷遊戲化————https://microcorruption.com/login


http://smashthestack.org/


http://overthewire.org/wargames/


https://exploit-exercises.com/(A方向)


工具集:

https://github.com/P1kachu/v0lt

https://github.com/truongkma/ctf-tools

https://github.com/zardus/ctf-tools

相關推薦

CTF學習規劃————1如何入門CTF

CTF簡介CTF(Capture The Flag)中文一般譯作奪旗賽,在網路安全領域中指的是網路安全技術人員之間進行技術競技的一種比賽形式。CTF起源於1996年DEFCON全球黑客大會,以代替之前黑客們通過互相發起真實攻擊進行技術比拼的方式。發展至今,已經成為全球範圍網路

openGL學習筆記1入門----如何繪製 直線多邊形利用圖片繪製圖形等)

#include <GL/glut.h> void myDisplay(void) { glClear(GL_COLOR_BUFFER_BIT);//GL_COLOR_BUFFER_BIT表示清除顏色 glRectf(-0.5f, -0.5f, 0.5f,

第一階段Python學習1基礎知識if語句循環

定義變量 assert loop 所有 方法 right 源碼 under 速度 本文內容:   一、Python介紹級應用方向   二、Python 特性   三、hello world 程序   四、Python 格式化輸出   五、變量、數據類型、註釋   六、表達

前端學習筆記 1 - 職業入門

圖表 art 網絡 easyui 統計 one cap man mysql 1. Web的發展歷程 Web 1.0 -> 共享 Web 2.0 -> 交互 Web 3.0 -> 聚合 Web 1.0 只讀的互聯網時代 門戶網站為主,大多為靜態頁面(只讀瀏覽

Docker學習筆記1入門使用

一、Docker簡介 Docker (訪問官網) 是一個開源的應用容器引擎,讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中,然後釋出到任何流行的 Linux 機器上,也可以實現虛擬化。容器是完全使用沙箱機制,相互之間不會有任何介面。(以上資訊來源於百度百科)好吧,讀完之後,

git學習筆記1-剛剛入門(霜之小刀)

git學習筆記1-剛剛入門(霜之小刀) 歡迎轉載和引用,若有問題請聯絡 若有疑問,請聯絡 Email : [email protected] QQ:2279557541 1、git中檔案的狀態 這個一開始我都挺難理解的,因為我以前是使用sv

TensorFlow學習筆記(1) TensorFlow入門

一、TensorFlow計算模型——計算圖(Computational Graph) TensorFlow——Tensor和Flow。Tensor意為張量,可以理解為多維陣列。Flow意為流,表達了張量之間通過計算相互轉化的過程。TensorFlow中每一個計算都是計算圖上的一個節點,節點之間的

圖解機器學習總結——1基本概念

序言:近期主要幫同事講解《圖解機器學習》,剛拿到這本書覺得內容相比較平常使用的機器學習演算法,很多地方講解得比較奇怪,在認真的讀完後,覺得還是有很多重要的東西,因此讀了書就想把知識點整理出來,加上一些自己對各種演算法的認識,因此這個系列裡面有一些個人的理解,若有

【深入理解JVM】學習筆記——-1JVM基本結構

轉載自:https://blog.csdn.net/singit/article/details/54920387?utm_source=blogkpcl11   什麼是jvm?JVM的基本結構, 也就是概述。說是概述,內容很多,而且概念量也很大, 不過關於概念方面,你不用擔心,我完全有信心

機器學習之—1線性代數

線性代數是機器學習的基礎,早在半年前我們就開展了線性代數的學習,當然對於機器學習而言,線性代數並非達到精通的程度才可以,更多的是對概念的理解和認知。因此學習起來很輕鬆。今天又做了一下簡單的總結,把第一遍的思維導圖畫在這裡,後續還會繼續優化和完善,隨著學習機器學習的深入,對線性

Ehcache學習總結(1)--Ehcache入門介紹

1、快速輕量 過去幾年,諸多測試表明Ehcache是最快的Java快取之一。 Ehcache的執行緒機制是為大型高併發系統設計的。 大量效能測試用例保證Ehcache在不同版本間效能表現得一致性。 很多使用者都不知道他們正在用Ehcache,因為不需要什麼特別的配置。 API易於使用,這就很容易部署上線和執行

Beego學習筆記(1)--快速入門

本筆記是筆者根據官網的文件加上自己的理解所整理出來的,如果有不正確的地方請指出,歡迎大家一起探討學習! 先說明一下,寫本筆記時的環境,可能環境不同,操作和反饋會有所不同 1.快速入門中的“新建專案”和“路由設定”在這裡就不贅述了,官網講的很詳細了, 傳送門:新建專案

Angular2學習筆記.1環境部署,基本概念,HelloAngular2

前言 作為本系列筆記的第一篇文章,在開頭要說一些閒言碎語。 首先我是一個Angular2的初學者,這個系列文章不是教程或其他一切厲害的東西,僅僅是作為我學習過程的一個記錄,我在編輯和排版後將它作為資料儲存並分享給其他人。也希望大家和我共同以學習的態度探討技術

機器學習12)預備知識

摘要:機器學習一直是電腦科學中非常熱門的領域。本文對過去幾十年中被普遍認可的機器學習演算法進行了概括,包括線性模型、決策樹、支援向量機、貝葉斯分類器、聚類、整合學習、神經網路、強化學習等(由於是我個人的理解,所以可能有些是錯的)。演算法和公式是機器學習的核心,但是本文企圖使

weui學習總結——1weui表單常用標籤

前言:weui是一個專門用於開發手機移動web或微信的樣式庫。但是官方只提供了demo沒有提供相關文件,所以這篇部落格就當是方便以後開發而使用吧。 weui資源下載(也可以從官網下載): http:

比特幣學習筆記——————1比特幣簡介

1.1 什麼是比特幣比特幣是由一系列概念和技術作為基礎構建的數字貨幣生態系統。狹義的“比特幣”代表系統中的貨幣單位,用於儲存和傳輸價值。使用者主要通過網際網路使用比特幣系統,當然其他網路也可以使用。比特幣協議以各種開源軟體的形式實現,這些軟體可以在膝上型電腦、智慧手機等多種裝

Asp.Net Core 學習教程1初始.Net Core與VS Code 第一個web程式

1、.Net Core介紹     .NET Core是.NET Framework的新一代版本, 是微軟開發的第一個具有跨平臺(Windows、Macosx、Linux) 能力的應用程式開發框架,未來也將會支援FreeBSD與Alpine平臺,是微

1spring-boot學習筆記(一)簡單入門

ava project nal run plugin mailto 5.4 安全 class a 一、新建普通Maven工程 pom.xml <parent> <groupId>org.springframework.boot</gr

SSH框架學習之Spring ----1Spring入門和IOC

一、 spring概述 開源的輕量級框架(不依賴很多其他東西–輕量級) 兩部分核心 aop 面向切面程式設計:擴充套件功能不是修改原始碼來實現 ioc 控制反轉:把物件的建立交給spring,通過配置代替之前的new物件操作。

Redis學習筆記1--入門

ase list ica cati ctu apple string replace first 一、Redis簡介: Redis(http://redis.io)是一款開源的、高性能的鍵-值存儲(key-value store),它是用ANSI C來編寫。Redis的項目