酷播亮新聞
最棒的知識補給站

CTF老賽棍退休簡述

文章摘要: 參加CTF比賽能夠鍛鍊自己賽棍進階 參加了大大小小的數個線上CTF解題賽

前言

CTF,全稱 Capture The Flag,即奪旗賽,起源於 1996 年 DEFCON 全球黑客大會,是網路安全技術人員進行技術競技的一種比賽。

balabala~

賽棍入門

自2015年起,一次偶然,我參加了「第三屆-360資訊保安大賽」,還取得了不小的成績。自那個時候起,我就一發不可收拾,徹底愛上了她。

CTF,這是一個新世界,每次參加比賽,都熱血沸騰,很多時候爲了解出一個題目而通宵達旦的戰鬥,瘋狂的測試,尋找突破口,各種百度、谷歌搜尋題目相關的資訊。

那個時候的CTF遠不如現在的多,等待比賽開啟的時候如同心裏有無數只螞蟻在爬。

後來,國內打CTF比賽的潮流逐漸風靡,各大賽事如雨後春筍般競相出現。

賽棍進階

參加了大大小小的數個線上CTF解題賽,技術經驗都有了一個長足的進步。

又一次偶然的機會,參加了「第六屆全國網路安全攻防大賽總決賽」。

以一個萌新的身份,參加一次全新賽制的比賽,毫無準備,懵懵懂懂的看著比賽規則,一臉懵逼。

在捱打中站起來,逐漸瞭解了AWD的競賽模式。

不懂得第一時間修改預設密碼,被其他選手刪庫跑路,不得不向主辦方申請重置。

手忙腳亂之中,憑藉還算可以的程式碼基礎,通過審計和抓取別人的流量發現漏洞,勉強修補了Web題目的漏洞,做到不在Web題目中失分。

快速寫完自動化攻擊指令碼後,也開始了坐享得分的成果。

當然,由於缺乏Pwn選手,二進制方面還是不斷失分的。

下午,主辦方開啟獨立新題,我在比賽結束前成果拿下,得到了一定的分數,最後取得三等獎的成績。

賽棍養成

不論是線上Jeopardy解題還是線下AWD攻防,她的魅力都讓人無法自拔,深深的沉迷進去。

作為一名純Web的CTF選手,其實還是很苦逼的。即使AK了所有的Web也不可能拿到進入決賽的名次,更別提都沒有AK了。

所有,線下比賽的機會少得可憐,同時,受限於專業問題,參賽時間也有限。

雖然如此,2016-2017年間,大大小小的賽事還是參加了不少的。

逐漸完成了賽棍的自我修養!

做題的胃口也養刁了不少,太次的腦洞題目一般跳過不做,做題只是爲了學習最新的,我不會的技術。

賽棍退休

CTF是入門學習的興趣所在,通過解題提高技術,通過解題的過程學會如何學習,參加CTF比賽能夠鍛鍊自己,並提高對安全技術的學習興趣。

名次榮譽,獎金都是動力。

其實吧,還是我老了,腦子不夠用了,髮際線上升,髮色漸變。做不動題目了,也丟失了當年的熱血。

當然,也有一部分原因是題目基本上都做的差不多了,來來回回都是那些套路在不斷重複。題目的重心也從Web轉移到了Bin。作為一個Web狗,實在是無能為力。

畢竟不是每個人都是全棧大佬復旦劉大爺,一個人硬肛兩千多隊伍,又不眠不休32小時硬肛23支隊伍,懟到強網杯亞軍!我反正只是菜雞一枚。

現在偶爾也是做題的,好的比賽也都有關注,發現有意思的題目也會做一做的,學一學新技術,大多數只是看看一笑而過。

賽棍總結

CTF賽棍生涯基本上到這裏了,其實吧,我覺得現在的線下賽更有意思。當然也不否認還是有一些好的線上題目,比如Orange大佬出的綜合滲透環境。

雖然套路簡單,安全運維->查詢並修復漏洞->針對漏洞寫自動化攻擊指令碼。但是更能讓人學習更多的技術。

打了一次CTF比賽,除了名次,更重要的是學到新東西新技術。而不是如何猜測一個無腦的腦洞題純屬浪費時間浪費精力。

好的CFT題目應該有好的技術點:

  • 學會某個函式的特殊利用方式
  • 學會快速挖掘漏洞
  • 知道某個漏洞的原理和利用方式
  • 知道某個程式,某個框架存在一個怎樣的漏洞或缺陷
  • 學習如何編寫一些指令碼
  • 學會如何安全運維
  • 團隊如何配合、分工
  • 中介軟體的黑科技
  • 做題的思路和滲透經驗

當然還有其他的知識。

另外,希望以後的線下賽名額不要被線上賽阻擋吧。一堆亂七八糟的Misc,Crypto等題目線下是沒有的。線上打不好不代表線上不牛逼。

線上線下應該分離並獨立起來。

攪屎棍

不攪屎的賽棍不是好賽棍

Web懟多了,也總結出了一些經驗。比如,不死馬、通防Waf、流量記錄。雖然我貢獻的只是PHP的,但是其他語言也是可以有相類似的技巧。

有一點聽自豪的,某次有人問我是不是參加XXX比賽了,因為上次的Shell都變成了「Virink」。

其實我並沒有參賽,而是有選手用了我的Waf。

我在某個最大CTF同性交流群問他們,為啥不改了。他們的回答是尊重原創。

開心,裝個逼就跑。(不要打臉!!!不要打臉!!!不要打臉!!!)

自己寫的東西能夠被認可,還是蠻開心的。

通防成為過去式了,Checker有了新的姿勢檢測通防,希望更牛逼的攪屎棍玩出更厲害的花樣。

我覺得,CTF並不只是解題,出題人與解題人的博弈也是關鍵點。懟出非預期的也是大佬!!!

另外,技術性(非DDOS)日穿平臺也是技術牛B啊,為啥要限制。平臺做的不好還不準人日?

結束語

其實吧,我是個假的賽棍。以上都是假的,我瞎編的。

希望大家CTF快樂!

如有侵權請來信告知:酷播亮新聞 » CTF老賽棍退休簡述