少年,上车! 来打CTF!

于 2024-05-21 14:06:42 发布
阅读量1k 收藏 17
点赞数 18
文章标签: web安全 网络安全 渗透测试 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wly55690/article/details/139091115
版权

什么是CTF?

CTF(Capture The Flag)中文一般译作夺旗赛在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式CTF起源于1996年DEFCON全球黑客大会以代替之前黑客们通过互相起真实攻击进行技术比拼的方式发展至今,已经成为全球范围网络安全圈流行的竞赛形式

CTF比赛通过什么方式进行 ?

CTF 题目类型一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译,有志于渗透测试的同学一开始建议从 Web 渗透的题目开始,辅以 Misc 杂项和 Crypto 密码学。

CTF 主要分为两种模式,一是解题模式。对于 Web 安全来说,会要求你入侵网站或者靶机,攻击成功后系统会显示flag或者在某个目录 文件 数据库寻找 Flag,提交到答题系统得分。逆向工程题目一般形式是破解注册机、动态调试、dump 内存等等。这些题目可以百度或谷歌别人的解题报告( 关键字:CTF writeup)来认识一下。

这种模式的缺点是类似于“应试教育”,当前的趋势是注重出题难、出题偏,没有考虑实际,就跟奥数似的。而且这种模式只有攻击,却没有防守,而在企业中工作更多的还是考虑如何防护的问题,这个时候 AWD 攻防赛模式就应运而生了。

二是攻防赛,也叫 AWD(Attack With Defense,攻防兼备)模式。你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说,攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主机不被别人得分,以防扣分。

这种模式非常激烈,准备要非常充分,手上要有充足的防守方案和 EXP 攻击脚本。我第一次参加这种比赛的时候就被人打惨了QWQ,不过后面参赛越多,积累的经验就会越多。所以说,这种比赛不用慌,多打多学多积累就好了。

CTF 里面也有一血之说,谁第一个交 Flag 能获得分数加成,所以说手快也很重要。不过一般来说是没有别的大佬手快的。

至于每个类型有什么题目,你可以去参加一个 CTF 赛事,打了一次之后你就会有所了解了。

夺旗赛,旗在哪里?

flag译为旗帜,题中隐藏有一定格式的字符,这些字符没有规律,全看出题者想写什么,可能写上自己的名字,也可能写上与题目相关的信息,但是一般该字符是能使解题者联想到是答案的字符串,夺旗就是得到该字符串。

解出的答案一般格式为flag{***},即字符flag加一对大括号,大括号里面是一定格式的字符串。例如:flag{GZCCCTF_666}

举一个简单的Web题例子。题目给了一个链接,打开后就是这样了,这是提示你提交一个get请求,参数为num,参数的值要检查,检查的代码如图中所示。is_numeric() 函数用于检测变量是否为数字或数字字符串。

直接传数字1是不行的,但是可以传一个表达式过去,1*1等于1,把1传过去后就显示num的值和flag。

主要考察什么知识 ?

解题模式通常用于选拔赛,题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。一般比赛中将他们融合为五项:PWN、逆向(Reverse)、密码学(Crypto)、Web、杂项(Misc)

攻防模式通常与解题模式对应作为决赛,考察对以上知识的掌握程度和实操能力。

PWN、Reverse偏重对汇编、逆向的理解和对底层的理解

Crypto偏重对数学、算法的深入学习,密码学更是重中之重

Web偏重对技巧的沉淀、快速在互联网搜索能力,对底层只需了解,重在理解代码的效果,对漏洞有一定的积累

Misc是最复杂的,所有与计算机安全挑战有关的都在其中,如图片、音频、流量和数据等等

比赛一般由三个人组队(你无敌一个人也行),所有的题目不是一个人能完成的,因此要找两个志同道合的盆友,分工合作,选择自己适合或感兴趣的方向,并为之努力。

最后希望你是抱着学习和提高的目的踏入CTF的坑,不要一味为了比赛而比赛迷失其中,勿忘初心,方得始终,与君共勉。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

图片

同时每个成长路线对应的板块都有配套的视频提供:

图片

实战训练营

在这里插入图片描述

面试刷题

在这里插入图片描述

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

图片
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

程序员橘子
关注
  • 18
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFCTF(夺旗赛)介绍_ctf比赛(2),2024互联网大厂网络安全面经合集
m0_61331491的博客
04-07 1224
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CTF内存取证入坑指南!稳!题目
03-28
总的来说,Volatility是内存取证领域的一个强大工具,通过熟练掌握其用法,可以有效地在CTF竞赛中寻找线索,解决网络安全问题。通过深入分析内存映像,安全专家可以揭露攻击者的行动,防止和对抗未来可能出现的威胁...
网络安全CTF夺旗赛入门到入狱-入门介绍篇
喜欢Python编程的程序员柚柚呀
06-09 8184
网络安全CTF夺旗赛入门到入狱-入门介绍篇
解密开展夺旗(CTF)竞赛前需要了解的十大问题
yy1715713348的博客
07-03 2249
解密开展夺旗(CTF)竞赛前需要了解的十大问题
ctf夺旗赛
m0_63017769的博客
11-12 5698
好久以前做过的ctf
2022年ctf强网青少年题目
09-16
2022年ctf强网青少年题目
CTF-6#SYSTEM!POWER!-WP
10-23
CTF WP SYSTEM!POWER! CTF(Capture The Flag)竞赛题目6#SYSTEM!POWER!的WP(Write-up)解析。 CTF WP CTF竞赛是信息安全领域中的一种比赛形式,旨在评估参与者的安全技能。WP是Write-up的缩写,指的是CTF...
CTF安全工具包大全!
12-11
CTF工具合集包括了CTF相关的各种工具,包括逆向,解密,WEB,密码学等等,相当有用,可以方便地准备各种CTF比赛。使用指南:解压后打开Rolan.exe即可。温馨提示:建议关闭防火墙和安全扫描,原因你懂的。
ctf:炫酷的ctf WIP立即尝试!
05-11
ctf 一个很酷的ctf
网安学习-CTF夺旗
weixin_44770698的博客
08-26 2194
网安学习-CTF(Python反序列化+JWT)
CTFCTF(夺旗赛)介绍_ctf比赛(1),一起看看这些大厂面试真题查漏补缺吧
2401_84164527的博客
04-09 1132
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CTF 夺旗 Capture the Flag(探测可存储的flag)
qq_43613772的博客
06-08 5415
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。 信息探测: 扫描主机开放的端口号: nmap -p- -T4 靶场IP地址 和前几次一样的快速...
网络安全、夺旗赛(CTF)技能汇总
hanjingjava的专栏
10-22 6094
本文综合博主参赛准备经历,总结介绍了过程中了解的网络安全、夺旗赛(CTF)相关知识及资源,分为资料篇、工具篇、解题思路篇。
2024年最新CTFCTF(夺旗赛)介绍_ctf比赛(1),网络安全开发面经分享
最新发布
2401_84264583的博客
05-11 449
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
CTF夺旗赛开始了!!!!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
04-23 923
CTF 是 Capture The Flag 的简称,中文咱们叫夺旗赛,其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜,当有一方的旗帜已被敌军夺取,就代表了那一方的战败。在信息安全领域的 CTF 是说,通过各种攻击手法,获取服务器后寻找指定的字段,或者文件中某一个固定格式的字段,这个字段叫做 flag,其形式一般为 flag{xxxxxxxx},提交到裁判机就可以得分。信息安全的 CTF 的历史可以说很长了,最早起源于 96 年的 DEFCON 全球黑客大会入门渗透,那肯定得各种练手对不对?但因为由
网络安全、夺旗赛(CTF)技能汇总_ctf夺旗赛
qq_44005305的博客
06-12 1084
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!本文综合博主参赛准备经历,总结介绍了过程中了解的网络安全、夺旗赛(CTF)相关知识及资源,分为资料篇、工具篇、解题思路篇。我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~:加解密挑战及学习站点,难得的是循序渐进,教程亲民(小白),建议学习。对CTF整体介绍,各个方向的介绍,有例题,入门必备。⑥HW护网行动经验总结。
少年ctf shellcode
03-15
少年CTF(Capture The Flag)是一种网络安全竞赛,旨在培养年轻人的网络安全技能和解决问题的能力。Shellcode是一段用于利用计算机系统漏洞的机器码,通常用于执行特定的操作或获取系统权限。在青少年CTF中,学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值