CTF吧

找回密码
加入CTF

快捷登录

查看: 12680|回复: 1

新手入门先要知道什么是CTF?

[复制链接]

22

主题

28

帖子

259

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
259
发表于 2020-6-20 01:58:52 | 显示全部楼层 |阅读模式
0x01: 什么是CTF?
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。

0x02:CTF的目标是什么?
CTF参赛队伍的目标是获取尽可能多的flag旗帜
参赛队伍需要通过技术手段解决问题,来获取题目中设置的flag。flag可能是一台远程的服务器,或是一个web站点、一组网络流量、一个音频、一个图片、一个复杂的软件,也可能是隐藏在一段通过密码算法或协议加密的数据。选手需要通过综合了利用自己掌握的安全技术,并辅以快速学习新知识,通过获取服务器权限,分析并破解软件或是设计解密算法等不限定途径来获取flag

0x03:CTF比赛形式
1,解题模式:通常为在线赛,目前大多数国内的CTF比赛的主流形式,选手自由组队参赛(在线比赛人数一般不做限制)。题目通常在比赛过程中陆续放出。接触一套题后,提交题目对应的flag即可得分,比赛结束时分高者胜。
2,攻防模式:通常为现场赛,多数CTF决赛的比赛形式,选手自由组队参赛,但通长队伍人数会受到限制(3-8人不等)。相比于解题模式,时间更短,比赛中更注重临场放心和解题速度,需要能够快速攻击目标主机并获取主机的权限,考察团队多方面的综合能力。

0x04:CTF解题模式的题目类型
1,web安全:通过浏览器访问题目服务器上的网A站,寻找网站漏洞(sql注入,xss,文件上传,包含漏洞,xxe,ssrf,命令执行,代码审计等),利用网站漏洞获取服务器部分或全部权限,拿到flag,通常包含分值最大的web渗透提;

2,逆向工程(Reverse):题目就是一个软件,但通常没有软件的源代码;需要利用工具对软件进行反编译甚至反汇编,从而理解软件内部逻辑和原理,找出与flag计算相关的算法并破解这个算法,获取flag

3,漏洞挖掘与漏洞利用(pwd,exploit):访问一个本地或远程的二进制服务程序,通过逆向工程找出程序中存在的漏洞,并利用程序中的漏洞获取远程服务器的部分或全部权限,拿到flag;

4,密码学(Crypto):分析题目中的密码算法与协议,利用算法或协议的弱点来计算密钥或对密文进行解密,从而获取flag。

5,调查取证(Misc):利用隐写术等保护技术将信息隐藏在图像、音频、视频、压缩包中、或者信息就在一段内存镜像或网络流量中,尝试将隐藏的信息恢复出来即可获得flag。

6,移动安全(Mobile):对安卓和IOS系统的理解,逆向工程等知识。


回复

使用道具 举报

0

主题

1

帖子

13

积分

新手上路

Rank: 1

积分
13
发表于 2020-8-22 01:00:50 | 显示全部楼层
顶起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入CTF

本版积分规则

');

Archiver|手机版|小黑屋|CTF吧 ( 津ICP备17008032号-5 )

© Copyright 2021 版权所有(一极教育科技有限公司)