酷播亮新聞
文章摘要: 參加CTF比賽能夠鍛鍊自己賽棍進階 參加了大大小小的數個線上CTF解題賽
前言
CTF,全稱 Capture The Flag,即奪旗賽,起源於 1996 年 DEFCON 全球黑客大會,是網路安全技術人員進行技術競技的一種比賽。
balabala~
賽棍入門
自2015年起,一次偶然,我參加了「第三屆-360資訊保安大賽」,還取得了不小的成績。自那個時候起,我就一發不可收拾,徹底愛上了她。
CTF,這是一個新世界,每次參加比賽,都熱血沸騰,很多時候爲了解出一個題目而通宵達旦的戰鬥,瘋狂的測試,尋找突破口,各種百度、谷歌搜尋題目相關的資訊。
那個時候的CTF遠不如現在的多,等待比賽開啟的時候如同心裏有無數只螞蟻在爬。
後來,國內打CTF比賽的潮流逐漸風靡,各大賽事如雨後春筍般競相出現。
賽棍進階
參加了大大小小的數個線上CTF解題賽,技術經驗都有了一個長足的進步。
又一次偶然的機會,參加了「第六屆全國網路安全攻防大賽總決賽」。
以一個萌新的身份,參加一次全新賽制的比賽,毫無準備,懵懵懂懂的看著比賽規則,一臉懵逼。
在捱打中站起來,逐漸瞭解了AWD的競賽模式。
不懂得第一時間修改預設密碼,被其他選手刪庫跑路,不得不向主辦方申請重置。
手忙腳亂之中,憑藉還算可以的程式碼基礎,通過審計和抓取別人的流量發現漏洞,勉強修補了Web題目的漏洞,做到不在Web題目中失分。
快速寫完自動化攻擊指令碼後,也開始了坐享得分的成果。
當然,由於缺乏Pwn選手,二進制方面還是不斷失分的。
下午,主辦方開啟獨立新題,我在比賽結束前成果拿下,得到了一定的分數,最後取得三等獎的成績。
賽棍養成
不論是線上Jeopardy解題還是線下AWD攻防,她的魅力都讓人無法自拔,深深的沉迷進去。
作為一名純Web的CTF選手,其實還是很苦逼的。即使AK了所有的Web也不可能拿到進入決賽的名次,更別提都沒有AK了。
所有,線下比賽的機會少得可憐,同時,受限於專業問題,參賽時間也有限。
雖然如此,2016-2017年間,大大小小的賽事還是參加了不少的。
逐漸完成了賽棍的自我修養!
做題的胃口也養刁了不少,太次的腦洞題目一般跳過不做,做題只是爲了學習最新的,我不會的技術。
賽棍退休
CTF是入門學習的興趣所在,通過解題提高技術,通過解題的過程學會如何學習,參加CTF比賽能夠鍛鍊自己,並提高對安全技術的學習興趣。
名次榮譽,獎金都是動力。
其實吧,還是我老了,腦子不夠用了,髮際線上升,髮色漸變。做不動題目了,也丟失了當年的熱血。
當然,也有一部分原因是題目基本上都做的差不多了,來來回回都是那些套路在不斷重複。題目的重心也從Web轉移到了Bin。作為一個Web狗,實在是無能為力。
畢竟不是每個人都是全棧大佬復旦劉大爺,一個人硬肛兩千多隊伍,又不眠不休32小時硬肛23支隊伍,懟到強網杯亞軍!我反正只是菜雞一枚。
現在偶爾也是做題的,好的比賽也都有關注,發現有意思的題目也會做一做的,學一學新技術,大多數只是看看一笑而過。
賽棍總結
CTF賽棍生涯基本上到這裏了,其實吧,我覺得現在的線下賽更有意思。當然也不否認還是有一些好的線上題目,比如Orange大佬出的綜合滲透環境。
雖然套路簡單,安全運維->查詢並修復漏洞->針對漏洞寫自動化攻擊指令碼。但是更能讓人學習更多的技術。
打了一次CTF比賽,除了名次,更重要的是學到新東西新技術。而不是如何猜測一個無腦的腦洞題純屬浪費時間浪費精力。
好的CFT題目應該有好的技術點:
- 學會某個函式的特殊利用方式
- 學會快速挖掘漏洞
- 知道某個漏洞的原理和利用方式
- 知道某個程式,某個框架存在一個怎樣的漏洞或缺陷
- 學習如何編寫一些指令碼
- 學會如何安全運維
- 團隊如何配合、分工
- 中介軟體的黑科技
- 做題的思路和滲透經驗
當然還有其他的知識。
另外,希望以後的線下賽名額不要被線上賽阻擋吧。一堆亂七八糟的Misc,Crypto等題目線下是沒有的。線上打不好不代表線上不牛逼。
線上線下應該分離並獨立起來。
攪屎棍
不攪屎的賽棍不是好賽棍
Web懟多了,也總結出了一些經驗。比如,不死馬、通防Waf、流量記錄。雖然我貢獻的只是PHP的,但是其他語言也是可以有相類似的技巧。
有一點聽自豪的,某次有人問我是不是參加XXX比賽了,因為上次的Shell都變成了「Virink」。
其實我並沒有參賽,而是有選手用了我的Waf。
我在某個最大CTF同性交流群問他們,為啥不改了。他們的回答是尊重原創。
開心,裝個逼就跑。(不要打臉!!!不要打臉!!!不要打臉!!!)
自己寫的東西能夠被認可,還是蠻開心的。
通防成為過去式了,Checker有了新的姿勢檢測通防,希望更牛逼的攪屎棍玩出更厲害的花樣。
我覺得,CTF並不只是解題,出題人與解題人的博弈也是關鍵點。懟出非預期的也是大佬!!!
另外,技術性(非DDOS)日穿平臺也是技術牛B啊,為啥要限制。平臺做的不好還不準人日?
結束語
其實吧,我是個假的賽棍。以上都是假的,我瞎編的。
希望大家CTF快樂!