Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

CTF夺旗赛线上系统已进入测试阶段

 Share


Recommended Posts

简介

中文一般译作夺旗赛(对大部分新手也可以叫签到赛),在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式
CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

CHT 目前开发的是跟S2eTo共同研发的一套线上黑客攻防夺旗赛系统,截图如下。为了方便小白更好的学习进阶渗透测试,我们会不断更新。

竞赛模式

  • 解题模式:
    在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛ACM编程竞赛信息学奥赛比较类似,以解决网络安全技术挑战题目的分值时间来排名,通常用于在线选拔赛。题目主要包含逆向漏洞挖掘与利用Web渗透密码、取、隐安全编程等类别。

image.png

  • 攻防模式:
    在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击防守,挖掘网络服务漏洞并攻击对手服务得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。

image.png

  • 混合模式:
    结合了解题模式与攻防模式CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

image.png

总结

  • 预选赛
    都是线上比赛,比赛形式几乎都是解题模式。进入官方提供的网站,登录账号密码后会到一个页面,题目按类别分类(后续会讲有什么类别),点击后提供题目链接题目信息题目提示flag(答案)提交,提交后会得到分数。其中,一血、二血、三血拿的分数比较高,后面答该题的队伍拿的分数就一样了,答题的队伍越少,分数就越多,然后按分数排名,确定进入决赛的队伍。

如:一道签到题,开始定的分为500,当有队伍提交正确的flag,那么分数就会下降,下降到470/450这样的,人数越多,分数下降幅度越大。而一血二血三血获得分数会高于后续答题正确的

  • 总决赛
    几乎都是线下赛,进行混合模式,因为攻防模式的题目容易出现易守难攻比速度节题这种学习不到知识的问题,也因为这样,大部分的总决赛都是以逆向为主,很容易变成逆行大赛。那么像web选手去干吗呢?喝茶打杂去吧!刚学没多久,又比较懒,关于总决赛的都是在网上获取信息的,想了解详细的参考
    第五届XCTF总决赛的赛制以及新型攻防赛题之探索

题目分类

题目一般为6大类:

1.Web(网络安全)

  • Web是CTF竞赛中主要的题型之一,题目涉及到许多常见的WEB漏洞,诸如XSS文件包含代码执行上传漏洞SQL注入。也有一些简单的关于网络基础知识的考察,例如返回包、TCP-IP、数据包内容构造。可以说题目环境比较接近真实环境
  • 所需知识点:PHP、Python、SQL(以mysql为主)、TCP-IP、linux命令、html、javascript等。

2.MISC(安全杂项)

  • MISC是大型CTF竞赛的题目难度很大,是一个可以拉开分数的类型,而在小型竞赛和题库中却难度不大。题目涉及隐写术流量分析电子取证人肉搜索数据分析大数据统计等等,覆盖面比较广,主要考查参赛选手的各种基础综合知识。
  • 所需知识点:熟悉使用众多隐写工具、流量审查工具、了解编码等。

3.Crypto(密码学)

  • 主要包括古典密码学现代密码学两部分内容,古典密码学趣味性强,种类繁多,现代密码学安全性高,对算法理解的要求较高。
  • 所需知识点:矩阵、数论、古典密码学、算法等。

4.Reverse(逆向)

  • 题目涉及到软件逆向破解技术等,要求有较强的反汇编反编译扎实功底。主要考查参赛选手的逆向分析能力。
  • 所需知识点:汇编语言加密与解密常见反编译工具

5.PWN(二进制安全)

  • PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出堆溢出。主要考察参数选手对漏洞的利用能力
  • 所需知识点:C,OD+IDA,数据结构,操作系统

6.Mobile(移动安全)

  • 主要介绍了安卓逆向中的常用工具和主要题型,安卓逆向常常需要一定的安卓开发知识,iOS 逆向题目在 CTF 竞赛中较少出现,因此不作过多介绍。

7.(区块链)

-近来多个CTF比赛均出现区块链题目,区块链应用越来越成为热门应用,在未来区块链会成为一个重点。因为没有接触过,这里不详细讲。


查看完整article

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...