什麼是 CTF Catch The Flag 如何開始安全攻防大戰！

Home >> Blog >> 什麼是 CTF Catch The Flag 如何開始安全攻防大戰！

什麼是 CTF Catch The Flag 如何開始安全攻防大戰！

CTF 是我們最喜歡的愛好之一。我們喜歡解決一項特別困難的任務並看到所有拼圖拼湊在一起的感覺。希望這篇文章可以作為對 dev.to 社群中可能不知道它是什麼的人的 CTF 介紹。

那麼什麼是CTF？

CTF（Catch The Flag-奪旗）是一種資訊安全競賽，挑戰參賽者解決各種任務，從維基百科上的尋寶到基本寫程式練習，再到侵入伺服器竊取數據。在這些挑戰中，通常要求參賽者找到可能隱藏在伺服器上或網頁後面的特定文本。這個目標被稱為旗幟，因此得名！

與許多比賽一樣，CTF 的技能水平因賽事而異。有些針對具有在網絡安全團隊工作經驗的專業人士。這些通常會提供大量現金獎勵，並且可以在特定的物理位置舉行。其他活動針對高中和大學生範圍，有時會為那些在競爭中排名靠前的人提供教育資金支持！

CTFtime詳細介紹了不同類型的 CTF。總而言之，Jeopardy 風格的 CTF 為完成挑戰的個人或團隊提供挑戰列表和獎勵積分，得分最高的小組獲勝。攻擊/防御風格的 CTF 專注於攻擊對手的伺服器或防禦自己的伺服器。這些 CTF 通常針對具有更多經驗並在特定物理位置進行的人員。

CTF 可以作為個人或團隊進行，所以請隨時讓您的朋友加入！

我們想強調的是，每個人都可以使用 CTF。許多挑戰不需要寫程式知識，只是解決問題和創造性思維的問題。

挑戰類型

Jeopardy 風格的 CTF 挑戰通常分為幾類。我們將嘗試簡要介紹常見的。

• 密碼學 - 通常涉及解密或加密一段數據
• 隱寫術 - 負責查找隱藏在文件或圖像中的資訊
• 二進制 - 逆向工程或利用二進製文件
• Web - 利用網頁來查找標誌
• Pwn - 利用伺服器查找標誌

我從哪說起呢？

如果我們設法激起了您的好奇心，我們已經編制了一份有助於開始學習的資源列表。CTF 資深人士，請隨時在下面的評論中添加您自己的資源！

學習

• http://ctfs.github.io/resources/ - 常見的 CTF 技術介紹，如密碼學、隱寫術、網絡漏洞利用（不完整）
• https://trailofbits.github.io/ctf/forensics/ - 與典型 CTF 挑戰/場景相關的提示和技巧
• https://ctftime.org/writeups - 過去 CTF 挑戰的解決方案說明

資源

• https://ctftime.org - CTF 事件跟踪器
• https://github.com/apsdehal/awesome-ctf - 工具的綜合列表和進一步閱讀

工具（我經常使用的）

• binwalk - 分析和提取文件
• burp 套件- 功能豐富的 Web 滲透測試框架
• stegsolve - 在圖像上傳遞各種過濾器以查找隱藏的文本
• GDB - 二進制調試器
• 命令行:)

實踐

許多由大學和公司主辦的“官方”CTF都是限時比賽。然而，有許多 CTF 可以 24/7 全天候在線，可以用作練習和學習工具。這裡有一些我們發現對初學者很友好的。

• https://ctflearn.com - 針對新手的各種用戶提交的挑戰的集合
• https://overthewire.org/wargames/ - 一系列越來越困難的 pwn 式挑戰。（從強盜系列開始）
• https://2018game.picoctf.com/ - 年度限時 CTF 現在可用作練習

結論

對於那些對解決SEO問題和/或網絡安全感興趣的人來說，CTF 是一個很好的愛好。社群總是很受歡迎，與朋友一起應對挑戰會很有趣。