您的位置:首页 > 活动

【一个真实CTFer的自我修养 | 避坑指南】

时间:2019-07-21
澳门在线威尼斯

《亲爱的,热爱的》播出后,网络安全圈诞生了一个新词:你像CXK一样打篮球,你就像HYT一样玩CTF。

XSWL。

对于上述大米圈的话,读者应该搜索自己的内容。

最初,每个人都认为网络安全的春天就在这里,甚至偶像剧都爱上了网络安全领域的大“CTF”背景。

这个行业将成为一场火灾!

没想到,电视剧实际上是高端黑色。

image.php?url=0MYvRAJiPs

CTFer是中国顶级的CTF团队,也是腾讯的一个团队,他不想透露姓名,他告诉雷锋网络:“做什么,我已经有六年多了。我不能去上?“

不可靠的电视剧,你知道你伤害了多少CTFers吗?

太多的秸秆,我们不吐,这篇文章的目的是好好看看科学,真正的CTF和真正的CTF球员是什么。白帽黑客TK曾经来到雷锋的现场直播讲座,并好好看看CTF。我们先来重新审视一下:

什么是CTF?

这个概念是从欧洲和美国传来的,字面意思是“夺旗”,原本是西方传统的户外游戏,相当于我们的沙袋或跳绳。最初的CTF每个团队都有一面旗帜。游戏的目标是捕获另一方的“基地”的旗帜,并用旗帜安全地返回基地。当然,实际的规则更复杂,例如“监狱”的概念。

后来,“夺旗”的概念也被引入信息安全进攻和防御竞争。因为在游戏中,玩家需要解决问题,或者打破目标以赢得“旗帜”。

现在,我们使用CTF来指代信息安全领域的旗帜游戏。

CTF竞赛有几种形式:

1.它实际上是一个解决问题的“主题”模型,包括反向,漏洞利用,密码学,网络,杂项,不同难度,不同分数,以及问题分数越难。

反向问题通常是二进制程序。标志隐藏在此文件中。玩家需要具备出色的反向技能才能找到旗帜。

漏洞问题通常提供给二进制程序。玩家需要从程序中找到漏洞并编写利用漏洞利用代码。虽然漏洞问题通常需要反向技能,但漏洞的技术要求更高,并且使用书面漏洞利用代码获取Flag的实际漏洞利用是成功的。

算法问题是指算法分析问题,?阋桓鲇赡持炙惴ù淼氖荩婕倚枰硪桓龌蚨喔鏊惴ā?

审计问题中提供的文件各不相同。它可能是隐藏信息的图片,看起来像风景或肖像,但有线索指向旗帜。您还可以为您提供一个网络数据包,其中包含您需要分析的大量网络通信数据。

还有一些难以归类的主题,或几种类型的问题的组合,称为综合问题。

问题解决模式是一种比较常见的模式,许多CTF选择这种模式,特别是在预赛中。

2.攻防模式。

这种模式更加激烈和削减。因为,球队之间真的是进攻和防守。攻击和防御模式一般可分为三种类型:

首先,每个团队攻击同一目标并测试攻击能力;

其次,所有参赛队伍都具有防守,攻击和防守能力;

第三种类型,结合前两种,全面测试进攻和防守能力。该模型需要更多的技术,战术和战略要求。通常是一个回合制的系统,一轮五分钟。您可以根据自己的策略选择优先级攻击或防御。无论谁不参赛,球队都会自己决定,并且在一轮比赛中暂停一次。

在中国也有一种称为“山丘之王”的模式。我把它称为“山王”。每个人都同时攻击服务器,这比服务器服务器并保持对服务器的控制要长。不被别人杀害。这实际上更像是传统的旗帜捕捉,保护他们抢夺的东西,也被称为“懒惰的CTF”,因为占领方有很大的优势,有时候可以更悠闲地玩。

CTF状态

近年来,国际和国内CTF的种类越来越多。法典信托基金的组织者有自己的目的,有些人有政府背景,例如韩国的Codegate CTF;有些是由团队运营的,例如,PPP的PlaidCTF,这是更常见的;有些是由腾讯的TCTF等公司经营的;它由安全会议领导,如着名的DEF CON CTF,实际操作也是团队。 DEFCON CTF是目前仍在运行的最古老的CTF。最早的DEFCON CTF成立于1996年。

这些只是公共CTF。还有一类非公开法典信托基金将不会开放注册和预备。例如,一些国内外公司为内部员工持有CTF。

此外,从公共信息中可以看出,美国国防部自2014年以来组织了一个名为“CyberStakes”的法典信托基金。美国国防部有一个针对网络安全人才的培训计划。目标是花3000年时间培训美国军方的4,000名安全专家。而且标准非常具体,请求会挖洞,会写Exploit。培训的一部分是CyberStakes。“他们邀请David Brumley教授来教学。这位教授是ForAllSecure的创始人,这是2016年CGC最后七位入围者之一.CGC是CTF历史上的一个转折点,不再仅仅是人类和人民的斗争,而是与机器作斗争。他们招募了一些团队来设计一个系统并与人类团队一起玩CTF。就像阿尔法狗和人类围棋一样,但CGC的最终胜利仍然是人类团队。虽然机器团队没有扫过军队,但它不是最后一个。还有两支人员输给了机器。

在安全进攻和防守领域,至少在法典信托基金领域,尽管人类仍然保持着自己的优势,但毕竟还有两支失败的球队,所以每个人都必须努力工作。

了解CTF的好处

即使您将来不进行网络安全,研究安全技术过程中培训的思维技能也很有用。我经常告诉你的一个案例是,至少1996年成立的黑客技术组“w00w00”的成员包括:

WhatsApp联合创始人

Jan KoumNapster(世界上第一个音乐共享平台的联合创始人)

Shawn Fanning Arbor Networks的联合创始人

Dug SongNmap的开发者

Gordon Fyodor LyonCounterTack的首席技术官Michael A. Davis Google老将

David McKayYammer安全总监

Josha Bronson Accuvant Labs的Joshua J. Drake

Veracode的Andrew Reiter

这个群体并不是特别大,但有这么多人才。有些人没有做网络安全工作,但他们在工作中做得很好。

如果您不仅对安全感兴趣,而且希望将来安全工作,那么您必须了解CTF中的技术是安全工作的一部分,而不是全部。工作中遇到的一些问题可以通过法典信托基金所涉及的知识来解决。仍有许多问题需要法典信托基金以外的技能。

玩CTF是培养安全技能的一种非常好的方法。优秀的CTF参与者在安全技术方面也具有很大的优势。但是大多数现实世界的安全技术工作并不像CTF中的问题那么困难,但它们要复杂得多。此外,打CTF的目的是得分。在处理真正的安全问题时,请考虑更多因素,例如在保持业务运行的同时解决问题。

除了与CTF相关的技术能力之外,从职业角度来看,多功能性也很重要。例如,有三个基本点:你可以清晰地思考,写清楚,并使其清楚。这表明您的逻辑是否严格,语句是否流畅,以及表达式是否清晰。一般的能力也有助于提高专业能力,如分析能力,判断能力,计划能力,收集能力,学习能力和提炼能力。无论你将来想做什么,在学生时代加强这些能力对你的一生都有很大的帮助。

CTF共同条款和规则

“One Blood”指的是在CTF及相关衍生比赛中解决新头衔的“行动”。在一些比赛中,比赛冠军的“一血”可能会有额外的分数,但更多时候,它证明问题已经解决,第一个问题解决者是快速思考并且是荣誉的象征。在2017年6月的TCTF中,赢得“一血”的玩家将获得红色“旗帜”,然后成功的回答者将赢得绿旗。

在“一滴血”问世之后,尚未解决问题的其他团队也将关注这个问题。 “国旗在飘扬,红旗不会落下。”在这里,这绝对是一个好词。

是的,令人惊讶的是,在你解决问题之后,如果其他主人也解决了这个问题,那么你得到的分数将根据相应的比例减少.你要问,相应的比例是多少?看看组织者的心情和喜好。

内部人士将经常参加CTF比赛的球员称为“体育棒”。这被称为无辜,纯粹荒谬。

通常,CTF有两种常见的游戏模式。一个是进攻和防守战斗模式,这是主PK。看谁将首先攻击对手的“主巢”,并且有一个解决问题的模式,虽然它也是一个主要的摊牌,看看谁得分最多。

还有一种“激动的撬棍”,指的是在比赛期间攻击平台的玩家。这种攻击通常属于破坏。为此,在CTF等事件的过程中,必须有维修人员“冲击场”,及时发现“搅拌撬棍”线索,维护平台稳定和事件的正常进行。

纳尼?黑客大师也有“隐藏的规则”。是!

严格的规则是,在CTF中,黑客团队不会像比赛前的武术大师那样“回复名字”,甚至不会进行沟通。直接在游戏标题“杀”。

其中一个“隐藏的规则”是,虽然在CTF比赛中,DEFCON CTF比赛并不限制球队球员的数量,但其他比赛将限制球员的数量,例如四个。

然而,平均CTF竞争通常为24小时至36小时。几个“老司机”无法在短时间内解决一些难题。因此,当你在线玩游戏时,你无法了解外援。在线下比赛中,有时候球员会发送主题并要求外援。

这是一些组织者的默许,一些组织者当然被拒绝。例如,一旦一支球队在一场比赛中因为“外援”,原本取得了第一名,被发现取消了一些成绩,很难成为.第二名。

如果对手真的很强大并且解决了你无法解决的问题,你就不需要像武术大师一样鞠躬并承认失败。只是说另一边是“结束茶,倒水”和“摇动风扇”。表达崇拜。

无论是24小时,48小时,甚至72小时来挑战玩家的身体限制,在游戏中,它必定是一个“继续进入”的不眠之夜。

真正的CTFer快速问雷锋:你有团队制服吗?有专车吗?你真的戴着耳机和耳机坐在舒适的电子运动椅上吗?

小A:当然不是。我们通常会派出最多4名玩家在现场玩游戏。其他人都在酒店房间,穿着拖鞋和玩游戏,团队制服,呵呵。我们不化妆或头发。耳机,可能会戴,但每个人都太吵了,走现场环境,戴耳机听歌,戴耳机有点夸张,我们一般在现场沟通,或在线沟通,我们不带电子竞技主席,但如果组织者热情,您可以优化配置。

哦,制服就在那里,当你合影时就穿上它。

雷锋你真的可以用三行阻止对服务器的攻击吗?

小A:记住电视剧中的三行命令,你可以扫描自己的端口(笑脸),事实上,如果你真的想要阻止它,请使用一行

Iptables -I INPUT -p tcp -s 192.168.233.0/24 --dport 10000 -j DROP。

雷锋网:影片结尾处显示的三位法典信托基金顾问的名字,我从来没有听说过,你呢?

小A:我没有(微笑)。

雷锋网:真正的CTFer真的想早上起床和训练吗?

小A:我只能说它是一个相对健康的CTFer。我整晚都在玩,我的头发没梳,我的脸没洗过,我们都轮流睡觉了,你怎么说?

小阿的一些朋友:

“加班是一种祝福”

“虫子无法修复和锻炼”

“写完一个wp之后,下面没有评论。这是我家人写的exp,请单独推动”

参考文章:黑客大师使用常用的术语和规则,我不告诉他普通人

一些信息可以帮助您跳转到原始文本

日期归档
  • 友情链接:
  • 澳门威尼斯人注册 版权所有© www.salgadofest.com 技术支持:澳门威尼斯人注册| 网站地图