未分类 · 2022年8月2日

CTF入门指南 2.0

前提

首先贴上并且致敬Wankko Ree师傅写的1.0版本,本文会在此基础上进行增删改查以及细化


TIPs:以下内容来源于互联网,仅作分享用途,如有侵权,请联系删除

首先

CTF是什么? 这里要提一点,只要是学计算机,不管是开发也好、安全也好、运维也好,都要善用搜索引擎,有问题先去谷歌一下会从容很多,不建议直接开问,我这里帮大家baidu一下,点一下就好了。

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。CTF已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。

误区:

  • 不一定非要网络攻防方向的同学才可以加入CTF实验室
  • CTF选手并不是黑客,如果硬要叫的话,可以叫白帽

学习方向

这里以入门的角度来谈一下几个方向

  • Misc 杂项,入门必修课,简单的加密隐写等,其他类型也都会结合这个出题
  • Pwn 二进制漏洞,不建议入门就学,不过Pwn选手不管到哪都是很受欢迎的
  • Crypto 密码学,入门相对简单,但题目难度都很大,现阶段挺缺此方向的人
  • Web 作为入门最简单、就业最广的方向,实用性会非常强,教程也会较多
  • Reverse 逆向,包含win32程序、ELF、安卓等逆向,入门需要有简单的语言能力,也缺人
  • Blockchain 区块链,新型题型,近几年才出现,不过并不是每场比赛都会有的,作为了解内容

个人建议:1必修+1主修+1辅修

也就是MISC一定要学,因为其他方向都会牵涉到,再选一个必修方向+辅修方向

关于主修

PWNWeb较为适合作为主修,因为赛事中的题量几乎都是这俩最多,更能够拿分;另外,Web作为AWD赛制的必考题型,想要打线下的话不主修也可以辅修一下哦;PWN的话AWD赛制中虽然也有,但是打的人不多,如果有自信的话甚至可以打爆全场。

若对CryptoReverse特别感兴趣,可以作为主修,因为这两方向的往后就业相对Web来说更加高精尖,几乎和高薪挂钩。

关于辅修

PWN因为也会涉及到Reverse的部分知识面,所以两个方向可以择一主修再择一辅修。

觉得除了自己主修的以及必修的还有哪个方向比较感兴趣的话,就作为辅修吧。

刚入门如何学习

如果是刚被录取的同学,对计算机相关方面基础不是很扎实,建议可以先学一下基本知识

首先MISC你是一定要学的,CTF友商ACM不同,各种太碎太灵活,所以建议先以自己做题为主

推荐从校平台开始,刚开始不会很正常,几道题后你就会比较熟手,攻防世界的题都可以搜到,搜不到的在群里问学长也行

至于MISC学的差不多想要开始学主修的:

  • 想走Reverse逆向或是Pwn方向的,可以简单学一下C语言
  • 想走Web方向的,可以先学一下基本的网站知识和通信方式
  • 想走密码学方向的,先学习基本的加密方式,也可以学一下Python

两个方向大概知识点

可以参考下面一些问题辅助学习:

Reverse:

  • 怎么判断一个程序加没加壳,X86还是X64
  • 加密方式你了解几种
  • IDA工具如何使用

Web:

  • 什么是Post和Get,如何在浏览器模拟Post请求
  • PHP的函数你了解多少
  • 如何使用工具进行抓包

CTF有啥用

这是一个功利性的话题,但是大学生功利点没啥不好的,毕竟都要出社会的人儿了。

首先,CTF在国内CS相关赛事中作为与ACM看齐的新兴赛事,相比ACM来说入门难度更小,提升自身水平的难度也更小,对于广大CS学生来说更具有普适性,是个人人都有机会成为大牛的赛事。

其次,因为CTF的相关赛事随着近些年政策的推广而越来越多,基本上可以做到月月有比赛,季季有线下的开赛周期,赛事的高活跃也让以赛促学成为可能。

最后,CTF赛事(线下)几乎都有奖金、就业机会,对于没打算考研、只想要抢跑同龄同行业的同学十分有帮助。

如何加入CTF实验室

开学我们会举办一场CTF新生赛,想加入的同学一定不要错过哦

我们招新会参考:新生赛成绩、个人简历和基础、各个平台刷题量

感觉自己能力不是很强的同学也不要气馁,招新不会只看新生赛成绩

新生赛结束我们会正式开放加入申请,从现在开始学习,加油吧!