【CTF-WEB】WEB小伎俩 _CTF自学纪实

本文链接：https://blog.csdn.net/okcd00/article/details/46345107

CTF什么的，以前就略有耳闻，然而较为具体的是在360的GeekGame宣讲会上得知的。

这次试了试，写一些关于这次【第一次CTF自学纪实】

什么是CTF:

CTF全称Capture The Flag，即夺旗比赛，衍生自古代军事战争模式，两队人马前往对方基地夺旗，每队人马须在保护好己方旗帜的情况下将对方旗帜带回基地。在如今的计算机领域中，CTF已经成为安(hei)全(ke)竞赛的一种重要比赛形式，参赛选手往往需要组队参加，通过团队之间的相互合作使用逆向、解密、取证分析、渗透利用等技术最终取得flag。

CTF的比赛形式:

CTF夺旗赛通常有两种形式，解题模式（Jeopardy）和攻防模式（Attack-Defense）。在解题模式的比赛中，主办方会提供一系列不同类型的赛题，比如上线一个有漏洞的服务、提供一段网络流量、给出一个加密后的数据或经过隐写后的文件等，他们将 flag 隐藏在这些赛题中，选手们通过比拼解题来一决高下；在攻防模式比赛中，主办方会事先编写一系列有漏洞的服务，并将它们安装在每个参赛队伍都相同的环境中，参赛队伍一方面需要修补自己服务的漏洞，同时也需要去攻击对手们的服务、拿到对手环境中的 flag 来得分，攻防模式的竞赛往往比解题模式的竞赛更接近真实环境，比赛过程也更加激烈。

CTF的常见题型:

一般在CTF比赛中，会涉及MISC，PPC，CRYPTO，PWN，REVERSE，WEB，STEGA这几种题目。
MISC(miscellaneous)类型的题目比较杂乱，可能要分析数据，可能需要百度一下，还可能需要脑筋急转弯；PPC(Professionally ProgramCoder)会考察一些编程类的题目；是CRYPTO是密码学，考察各种加解密技术，当然这和软件加密解密的REVERSE技术是两码事。PWN在黑客俚语中代表着，攻破，取得权限，多为溢出类题目。STEGA(Steganography)会将flag隐藏到各种有码无码高清不高清的图片和音像制品中；WEB题目不用多说，大家都懂的。。

国内外有哪些著名的CTF比赛:

      国内：当然是最近炒得火热的XCTF全国联赛了！
      国外：
                PHDays CTF全称Positive Hack Days CTF，是一个国际性信息安全竞赛，竞赛规则基于CTF，但更贴近网络实战环境。
                iCTF国际黑客竞赛是一个面向全球信息安全专业研究学生团队的大型在线黑客竞赛。清华blue-lotus实验室在上届（2011）竞赛中排名第23位（共87个参赛团队）。
                DEFCON是世界上最大、最古老的地下黑客大会，和Black Hat的创始人相同，但相比于Black Hat要随意得多。DEFCON以小规模讨论及技术切磋为主，会上最流行的活动是若干人组成一个局域网，然后互打攻防战（CTF），参赛者的目标是进攻对手的网络，但同时保护好自己的地盘。由于想参赛的队伍都得经过会前淘汰赛，因此参赛者都有相当高的实力。

被这些所吸引，作为爱好我也尝试了一下CTF，也就是浅尝辄止的级别吧，待ACM、CISCN、暑期实习之类的压力变得小一些之后，再来继续玩~

作为第一次尝试，于此做一下记录，以便日后查看以及拾起再续。