那什麼是CTF呢?
CTF(奪旗)是一種資訊安全競賽,挑戰參賽者解決各種任務,從維基百科上的尋寶遊戲到基本程式設計練習,再到入侵伺服器竊取資料。在這些挑戰中,參賽者通常被要求找到可能隱藏在伺服器上或網頁後面的特定文字。這個進球被稱為旗幟,因此得名!
與許多比賽一樣,CTF 的技能水平因賽事而異。有些針對的是具有網路安全團隊營運經驗的專業人士。這些通常會提供大量現金獎勵,並且可以在特定的實體位置舉行。其他活動針對高中生和大學生範圍,有時為那些在比賽中名列前茅的人提供教育金錢支持!
CTFtime詳細介紹了不同類型的 CTF。總而言之,Jeopardy 風格的 CTF 為完成挑戰的個人或團隊提供了一系列挑戰和獎勵積分,得分最高的團體獲勝。攻擊/防禦類型的 CTF 專注於攻擊對手的伺服器或防禦自己的伺服器。這些 CTF 通常針對那些經驗豐富的人,並在特定的物理位置進行。
CTF 可以以個人或團隊形式進行,因此請隨時邀請您的朋友加入!
我想強調的是,CTF 可供所有人使用。許多挑戰不需要程式設計知識,而只是解決問題和創造性思考的問題。
挑戰類型
Jeopardy 風格的 CTF 挑戰通常分為幾類。我將嘗試簡要介紹常見的內容。
-
密碼學 - 通常涉及解密或加密一段資料
-
隱寫術 - 任務是尋找隱藏在文件或圖像中的訊息
-
二進位 - 逆向工程或利用二進位文件
-
網路 - 利用網頁找標誌
-
Pwn - 利用伺服器來找標誌
我該從哪裡開始?
如果我設法激起您的好奇心,我已經編制了一份資源列表,可以幫助我開始學習。 CTF 老手,請隨時在下面的評論中加入您自己的資源!
學習
-
http://ctfs.github.io/resources/ - 介紹常見的 CTF 技術,例如密碼學、隱寫術、Web 漏洞利用(不完整)
-
https://trailofbits.github.io/ctf/forensics/ - 與典型 CTF 挑戰/場景相關的提示和技巧
-
https://ctftime.org/writeups - 過去 CTF 挑戰的解決方案說明
資源
-
https://ctftime.org - CTF 事件追蹤器
-
https://github.com/apsdehal/awesome-ctf - 工具綜合清單和進一步閱讀
工具(我常用的)
-
binwalk - 分析與擷取文件
-
burp suite - 功能豐富的 Web 滲透測試框架
-
stegsolve - 在圖像上傳遞各種過濾器以查找隱藏文字
-
GDB - 二進位偵錯器
-
命令列:)
實踐
許多大學和公司主辦的「官方」CTF 都是限時比賽。然而,有許多 24/7 在線的 CTF 可以用作練習和學習工具。以下是我發現對初學者友好的一些內容。
-
https://ctflearn.com - 針對新人的各種使用者提交的挑戰的集合
-
https://overthewire.org/wargames/ - 一系列難度逐漸增加的 pwn 風格挑戰。 (從強盜系列開始)
-
https://2018game.picoctf.com/ - 年度限時 CTF 現已可供練習
結論
對於那些對解決問題和/或網路安全感興趣的人來說,CTF 是一個很好的愛好。社區總是很熱情,與朋友一起應對挑戰會很有趣。這是我的第一篇文章,如果我能夠激起哪怕一個人的興趣,我就認為它是成功的😊。感謝您的閱讀!
原文出處:https://dev.to/atan/what-is-ctf-and-how-to-get-started-3f04
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式