【原】CTF奪旗提升黑客技能

祺印說信安 2023-07-11 發(fā)布于河南

展開全文

90個網(wǎng)絡和數(shù)據(jù)安全相關法律法規(guī)打包下載

作為黑客，闖入所有事物是我們的 DNA，而且我們通常具有激烈的競爭天性。那么，如果我們可以磨練自己喜歡的東西，并提高我們的技能呢？這就是網(wǎng)絡安全競賽和奪旗 (CTF) 活動等競賽發(fā)揮作用的地方。CTF 是一種旨在測試網(wǎng)絡安全技能的游戲化練習，其目標與真人戶外游戲非常相似，即通過捕獲最多的旗幟獲得最高分。

CTF 的基礎知識

將 CTF 用于網(wǎng)絡安全培訓目的可以追溯到 1990 年代，最初是在德克薩斯州休斯敦的 HoHoCon 大會上首次亮相；然后在 1996 年，它在拉斯維加斯舉行的第四屆年度 DEFCON（美國最大的黑客聚會的舉辦地）上引起了轟動。現(xiàn)在，CTF 競賽在世界范圍內的會議上定期舉行，由大公司贊助，幾乎任何人都可以通過 Internet 參與。

CTF 活動允許參與者學習新技能、獲得實踐經驗，并幫助推進或提高從業(yè)者已有的工具。參賽者可以選擇單人游玩或組隊游玩，運用不同的技能來應對不同難度的挑戰(zhàn)。一旦他們通過解決挑戰(zhàn)找到自己的旗幟，他們就會獲得積分。以下是常見挑戰(zhàn)類型的示例：

遠程代碼執(zhí)行 ——利用軟件漏洞允許在遠程服務器上執(zhí)行代碼。
密碼學——解決密碼和代碼，從經典密碼（例如凱撒密碼、換位密碼）到現(xiàn)代密碼學，例如 AES、3DES、RC4 和 Twofish。
編程——需要用您選擇的計算機語言編寫解決方案的挑戰(zhàn)。手動解決這些問題通常過于乏味或耗時。
OSINT（開源情報）——尋找隱藏在公共互聯(lián)網(wǎng)和社交媒體平臺上的線索。帶上你最好的 Google-fu 來解決這些問題。
逆向工程——研究二進制可執(zhí)行文件、惡意軟件樣本或其他文件以了解其意圖或行為。
取證——分析日志文件、網(wǎng)絡數(shù)據(jù)包捕獲或其他工件以檢測黑客如何滲透系統(tǒng)。
隱寫術——隱藏（和檢測）圖像、音頻文件等信息的藝術和科學。

專家的視角

如何開始參加 CTF 活動的？

De la Rosa ：我所在的大學向我們發(fā)出了兩個以學生為重點的 CTF（ HackDef和HackMex ）的呼吁。

桑切斯：當我在大學時，這就是我處理網(wǎng)絡安全的方式，特別是在進攻方面。

Santoyo ：我最初是在一個名為 HackMex 的墨西哥 CTF 開始的；我從我的學校了解到這件事，并設法召集了一群也想嘗試一下的朋友和同學。

你為什么喜歡參加他們？你從他們那里得到什么？

De la Rosa ：我總是在 CTF 學到新東西；它可能是一種創(chuàng)建 Web 應用程序攻擊或開發(fā)利用程序使二進制文件緩沖區(qū)溢出的新方法。

桑切斯：我喜歡競爭激烈的環(huán)境，也喜歡你會遇到志同道合的新朋友。另外，CTF 幫助我在大學畢業(yè)后找到了工作。此外，之后的派對、贓物和餐點都很棒！

Santoyo ： CTF 最好的部分是它的挑戰(zhàn)。許多包括像Hack the Box中的經典盒子，但許多其他挑戰(zhàn)需要不同的技能組合并使用您通常不會在盒子上使用的工具；可以幫助您了解很多其他網(wǎng)絡安全分支的東西，而不僅僅是滲透測試。

在 CTF 活動中的工作如何轉化為專業(yè)環(huán)境？

De la Rosa ： CTF 活動幫助我獲得了 Web 滲透測試方面的經驗，這讓我更容易進入工作世界，因為我擁有非常好的知識基礎。

Sanchez ：首先，我通過參加他們的 CTF 獲得了網(wǎng)絡安全公司的知名度，他們將 CTF 視為經驗。在技術方面，CTF 讓我有一個合法和受控的學習環(huán)境，以一種教育和有趣的方式打破事物。

Santoyo ： CTF 有助于將知識付諸實踐。它們是在工作之外獲得網(wǎng)絡安全經驗的好方法，也是在你的簡歷中脫穎而出的東西，因為它讓你看起來既參與社區(qū)又經驗豐富。

您會給其他想通過參加 CTF 活動來提高技能的人提供什么建議/忠告？

De la Rosa ：這樣說似乎很陳詞濫調，但是“更努力地嘗試”，并始終在新漏洞出現(xiàn)時留意它們。

桑切斯：首先，追隨你的熱情，即使你是新手，也沒有解決很多挑戰(zhàn)。您的熱情會促使您學習更多并練習，為下一次 CTF 做好準備。其次，計算機科學（或相關）背景有助于理解一些概念并使事情變得更容易。別忘了玩得開心，畢竟那是游戲的一部分。通過解決過去的 CTF 來練習，因為有時挑戰(zhàn)的解決方案會發(fā)布，如果您在某個時候遇到困難，這是一個很好的資源，可以推動您繼續(xù)應對挑戰(zhàn)。將此作為最后的手段使用，并始終推動自己解決挑戰(zhàn)而不用寫下來！此外，與更多對 CTF 感興趣的人建立聯(lián)系。就我而言，我在我的大學領導了一個網(wǎng)絡安全俱樂部，我們通過會議來解決 CTF 挑戰(zhàn)。與更多人合作將鼓勵創(chuàng)造力并教會您跳出框框思考。此外，“團隊合作”是一項很棒的技能，您將通過作為團隊的一部分參加 CTF 而獲得。

Santoyo :試一試，即使你第一次嘗試沒有贏，你也會學到很多東西。確定您可以改進的領域，并且可能會引起贊助此活動的公司的注意，因為許多公司都從此類活動中招聘潛在客戶。

如果可以在第一次參加 CTF 活動時回過頭來告訴自己一件事，那會是什么？

De la Rosa ：不要錯過這個；CTF 將幫助我們在網(wǎng)絡安全領域的專業(yè)發(fā)展。

桑切斯：如果你獲得第七名，不要失望！相反，為明年做好準備，因為會對結果感到非常驚訝。第二年我們獲得了第一名！

Santoyo ：盡可能多地從這次活動中獲?。?/span>不要非常執(zhí)著于不惜一切代價取勝，當擁有多年經驗的球隊不可避免地獲勝時也不要難過。

CTF 入門

每年都會舉辦數(shù)百場 CTF 活動，這意味著有充足的機會找到適合時機和需求的活動。一些 CTF 是虛擬的，而另一些則在會議現(xiàn)場舉行。我們推薦幾個：

PicoCTF：PicoCTF 非常適合想要將編碼愛好提升到一個新水平的 STEM 年輕人，PicoCTF為所有技能水平的學習者?提供全年的網(wǎng)絡安全教育內容（PicoGym 實踐挑戰(zhàn)）。他們的年度比賽是針對高中隊的。

哈利斯科人才樂園：今年，作為 2022 年 7 月 20 日至 24 日舉行的大會人才黑客馬拉松的一部分，福克斯主教將在哈利斯科人才樂園舉辦奪旗比賽！我們贊助的 CTF 將采用 Jeopardy 風格，CTF 中的每個挑戰(zhàn)都可以讓您獲得一面旗幟。每個標志都有一個相關的分數(shù)。在比賽結束時得分最高的參賽者獲勝。CTF將從Talent Land開始，到活動最后一天結束，活動期間保持活躍狀態(tài)，讓參與者隨時貢獻。獎金是 50,000 墨西哥比索！點擊此處免費注冊。

Red Team Village @ DEF CON： Red? Team Village 網(wǎng)站?每年都會舉辦一些活動。今年在 DEF CON 30 上，Red Team Village CTF 將于 8 月 11 日至 14 日舉行（Bishop Fox 也是贊助商！）。除了 CTF 之外，Village 還將設有紅隊站，其中有許多練習，與會者可以練習他們的技能或學習新技能，以及專注于以下方面的互動研討會：網(wǎng)絡攻擊培訓、HackerOps、黑客 API、OSINT 技能實驗室，以及更多的！

DEF CON ： DEF CON CTF是黑客最精英的競賽之一。2022 年 5 月，超過 1,200 支隊伍參加了 DEF CON 30 CTF 預選賽，其中 200 多支隊伍解決了兩個或更多挑戰(zhàn)。他們在 8 月 11 日至 14 日的決賽中淘汰了 16 支世界上最優(yōu)秀的黑客隊伍——去年決賽中的頂級隊伍 Katzebin，以及 2022 年 5 月的 15 支頂級隊伍。這些團隊將在面對面的競爭中進行逆向工程、攻擊和推動其他黑客擺脫困境，以直接展示對未來的有效利用。

探索執(zhí)行 OSINT 和偵察、主機枚舉和后期開發(fā)、安全樞轉（隧道）和滲漏的技術和捷徑。

會在里面找到的其他東西包括：