【愚公系列】2023年06月 网络安全高级班 095.CTF黑客比赛（CTF入门简介）

文章目录

前言

一、CTF入门简介

1.CTF简介

CTF（Capture The Flag）

• 中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行攻防竞技的一种比赛形式。
• 2019年国产电视剧《亲爱的，热爱的》，首次将CTF赛事搬进荧幕，通过李现扮演的“韩商言”，让网络安全攻防技术正式进入大众视野。
• CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

2.CTF赛事

随着安全攻防技术的发展，CTF 竞赛也逐渐演变成为信息安全技术竞赛的一种形式，发展成为全球网络安全圈最流行的一种竞赛模式，其比赛形式与内容拥有浓厚的黑客精神和黑客文化。

2.1 国际知名CTF赛事

DEFCON CTF：CTF赛事中的“世界杯”

UCSB iCTF：来自UCSB的面向世界高校的CTF

Plaid CTF：包揽多项赛事冠军的CMU的PPP团队举办的在线解题赛

Boston Key Party：近年来崛起的在线解题赛

Codegate CTF：韩国首尔“大奖赛”，冠军奖金3000万韩元

Secuinside CTF：韩国首尔“大奖赛”，冠军奖金3000万韩元

XXC3 CTF：欧洲历史最悠久CCC黑客大会举办的CTF

其中，DEFCON CTF 及具影响力认可度非常高。

DEFCON极客大会是全球顶级的安全会议，诞生于1993年，被称为极客界的“奥斯卡”。

每年7月在美国的拉斯维加斯举行，近万名参会者除来自世界各地的极客、安全领域研究者、爱好者，还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。

2.2 国内知名CTF赛事

XCTF联赛：国内最权威、最高技术水平与最大影响力的CTF赛事平台

强网杯：最权威的国家级安全比赛，中央网信办网络安全协调局指导

红帽杯：广东省公安厅、广东省计算机网络安全协会举办

AliCTF：阿里安全技术竞赛，由阿里巴巴公司组织

TCTF： 腾讯信息安全争霸赛，由腾讯安全联合实验室主办

BCTF：百度全国网络安全技术对抗赛，由百度安全主办

WCTF：世界黑客大师赛，由360Vulcan团队组织

HCTF：由杭州电子科技大学信息安全协会主办的CTF

ISCC：全国大学生信息安全与对抗技术竞赛，由北理工组织

XCTF联赛是由清华大学蓝莲花战队发起组织，网络空间安全人才基金和国家创新与发展战略研究会联合主办

XCTF联赛是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。

强网杯由中央网信办网络安全协 调局指导举办，是面向高等院校 和国内信息安全企业的一次国家 级网络安全赛事。

旨在通过激烈的网络竞赛对抗， 培养和提高国家网络安全保障能 力和水平，发现网络安全领域优 秀人才，提升全民网络空间的安全意识和能力水平。

红帽杯由广东省公安厅指导，广东省 计算机网络安全协会主办，是面向党 政机关、企事业单位、高等院校、安 全企业对外的大型网络安全赛事。

推进广东省“红帽先锋”人才培养计 划，锻炼网络安全技术人员的实战能 力，提高网络安全防护技术的应用水 平，促进广东省网络安全事业发展。

3.CTF意义

网络安全的学习非常需要实践来促进，而真实环境不具备这样的条件，CTF 恰恰是一种锻炼和学习信息安全技术的训练场。

CTF 近期在国内的发展非常迅猛，认可程度也非常高，这证明了CTF存在的合理性和必要性。

国家层面，通过CTF比赛，可以以赛代练，培养国内出一批优秀的网络安全人才。

高校层面，通过CTF比赛，让在校大学生较早接触安全知识，在实战中成长，弥补了目前高校安全专业建设滞后的问题。

企业层面，通过CTF比赛，可以更好的练兵，让相关信息安全部门的人员，有效提高安全意识，持续学习安全技能。

4.CTF学习

4.1 竞赛模式

解题模式（Jeopardy）

• 在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场 网络参与，以解决网络安全技术挑战题目的分值和时间来排 名，通常用于在线选拔赛。
• 题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取 证、隐写、安全编程等类别。

攻防模式（Attack-Defense）

• 在攻防模式CTF赛制中，参赛队伍在网络空间互相进行攻击 和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自

  身服务漏洞进行防御来避免丢分。

• 攻防模式CTF赛制可以实时通过得分反映出比赛情况，最终 也以得分直接分出胜负，是一种竞争激烈，具有很强观赏性 和高度透明性的网络安全赛制。

混合模式（Mix）

• 结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过 解题可以获取一些初始分数，然后通过攻防对抗进行得分增

  减的零和游戏，最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

4.2 题目类型

4.2.1 Reverse（逆向工程）

• 题目涉及到软件逆向、破解技术等，要求有较强的反汇编、反编译功底。
• 主要考查参赛选手的逆向分析能力。
• 所需知识：汇编语言、加密与解密、常见反编译工具。

4.2.2 Pwn（破解）

• Pwn 在黑客俚语中代表着攻破，获取权限，在 CTF 比赛中它代 表着溢出类的题目，其中常见类型溢出漏洞有整数溢出、栈溢 出、堆溢出等。
• 主要考查参赛选手对二进制、漏洞挖掘和利用能力。
• 所需知识：C/C++、OD+IDA、数据结构、操作系统、汇编原理。

4.2.3 Web（Web安全）

• Web 题目涉及到许多常见的 Web 漏洞，如 XSS、文件包含、代 码执行、上传漏洞、SQL 注入等。也有一些简单的关于网络基础知识的考察，如返回包、TCP/IP、数据包内容和构造。
• 主要考察选手Web站点漏洞挖掘和利用能力。
• 所需知识：PHP、Python、TCP/IP、SQL、OWASP TOP10。

4.2.4 Crypto（加解密）

• 题目考察各种加解密技术，包括古典加密技术、现代加密技术甚 至出题者自创加密技术，以及一些常见编码解码。
• 主要考查参赛选手密码学相关知识点。
• 所需知识：矩阵、数论、密码学。

4.2.5 Misc（杂项）

• Misc 即安全杂项，题目涉及信息搜集、隐写术、流量分析、数字 取证、编码转换等，覆盖面比较广。
• 主要考查参赛选手的各种基础综合知识。
• 所需知识：常见隐写术工具、Wireshark 等流量审查工具、编码知识等。

4.2.6 Mobile（移动安全）

• 主要分为 Android 和 iOS 两个平台，以 Android 逆向为主， 破解 APK 并提交正确答案。
• 主要考察选手APP 漏洞挖掘和利用能力。
• 所需知识：Java，Android 开发

4.3 学习建议

在掌握一定的基础知识的前提下，动手去做题

在能力范围的题目，尽可能自己解出

能力范围外的题目，参考writeup(题解)并亲手实践也非常有意义。

相关靶场：

CTF Wiki： https://ctf-wiki.github.io/ctf-wiki/

CTF time: https://ctftime.org/

CTF Writeups： https://github.com/ctfs

CTF 靶场： https://www.vulnhub.com/

Docker漏洞靶场： https://vulhub.org/