萌新们,你们好呀!正式开学已经一个月了,你们对崭新的大学生活适应吗?在这一个月的时间里,你是否对众多学科竞赛有了大致的了解?啊?学科竞赛太多了,还没了解得过来?没关系,今天就由小编为大家带来信息安全竞赛(技能赛)——CTF竞赛。
什么是CTF竞赛呢?
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
其起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。
嗷,明白了,简而言之,CTF就是网络安全领域的学科专业竞赛是吗?
是,但也不是,由于网络安全领域的特殊性,CTF竞赛在形式上与其他学科竞赛的答卷模式有着很大的不同。
• 解题模式
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,通常用于线上选拔赛。题目主要包含逆向、Pwn、Web渗透、密码、杂项等类别。
• 攻防模式
在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。
• 混合模式
结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。
这样子啊!那我该如何参加比赛?我又该如何入手呢?
当然是参加由50net永乐高信息安全协会主办的moectf比赛啊,比赛一向坚持着“以赛促学,以赛代练”以及“题目难度梯度较缓,方便新手快速入门”的原则,简直就是为萌新的你而量身打造的比赛!比赛有平缓的学习梯度,参与比赛,可以逐步了解学习CTF比赛大致分类与相关内容,并通过实战在进行尝试与训练。
• “题目主要包含逆向、Pwn、Web渗透、密码、杂项等类别。”这些方向都是什么啊?
• Web安全 Web security
Web审计与渗透测试着重于Web应用程序,框架,浏览器以及各类Web服务器的安全问题;挖掘/利用/研究各类Web系漏洞,探究其形成原理,利用方式及修补方案。带你从Web安全入手,了解对一个网站进行完整的渗透测试的流程,同时也参与CTF大赛的Web环节,走上人生巅峰!
• 二进制Binary
下属分支二进制漏洞审计(pwn)和软件逆向工程(reverse),研究各类操作系统,编译器,虚拟机的底层架构;以Windows和Linux为平台,学习可执行程序的逆向分析技术,如软件调试与破解,以及程序漏洞利用技术,例如栈溢出、堆管理器的漏洞利用和其他高阶技巧;挖掘和分析各类基于编译型语言的漏洞。
• 密码学 Cryptography
从古典密码起步,学习各类现代密码的数学原理,应用及其攻击方式;研究生产环境中各类加密存储,加密通信的解决方案,以及加密算法的安全使用。
不论你是想探索古典密码的发展历史,一探先人智慧,还是想深究现代密码学的严密逻辑,了解保障通信安全密码体系,又或者你是计算机大类的新生,想要了解信安方向,亦或是已经进入密码学专业的学长学姐,渴求提前应用密码知识,这里都将向你提供学习交流探索密码学的舒适氛围。
• 安全杂项 Misc
Misc是Miscellaneous的缩写,意思是杂项、混合体,它涉及安全技能的各个层面,但会有较为宏观的分块,例如Recon(信息搜集)、Encode/Decode(编码)、Archives(压缩包)、Steganography(隐写)、Forensic(取证)、Traffic(流量分析)、古典密码、以及近年来出现的区块链、AI安全等,对知识的广度和深度都有所要求,也是需要各方向队友合作完成的题目所在地。
今年的moectf比赛时间是8月20日~10月20日,共计时长两个月,在这两个月的时间内均可报名参赛,赛事组也会将题目逐批放出,现在对比赛情况进行介绍与阶段总结:
本届moectf共有题目76道(现已全部放出),分为“计算机技术基础”、“古典密码学”、“软件逆向工程”、“Web审计与渗透测试”、“现代密码学”、“软件逆向工程”、“隐写等杂项”共7大类别。本届比赛是历届比赛中题目覆盖最全、分类最细,题量最多的一届,吸引了全国各个高校的CTF爱好者,现已注册用户达2000余人,其中我校新生用户200余人,共产生4万余次答案提交记录,15000余次题目解答记录。其中参赛选手们解出最多的题目统计如下:
题目所属类别 |
题目名称 |
解答次数 |
Web审计与渗透测试 |
web安全之入门指北 |
799 |
Web审计与渗透测试 |
ezhtml |
745 |
计算机基础技术 |
run me |
661 |
计算机基础技术 |
CCCCC |
639 |
隐写等杂项 |
Hide-and-seek |
632 |
计算机基础技术 |
Python |
610 |
二进制漏洞审计 |
二进制漏洞审计之入门指北 |
606 |
古典密码 |
ABCDEFG~ |
595 |
软件逆向工程 |
逆向工程之入门指北 |
571 |
而参赛选手们解出最少的题目统计如下:
题目所属类别 |
题目名称 |
解答次数 |
现代密码学 |
LittLe_FSR |
2 |
现代密码学 |
knapsack |
7 |
二进制漏洞审计 |
syscall |
11 |
二进制漏洞审计 |
ret2libc |
14 |
二进制漏洞审计 |
S1MPLE_HEAP |
14 |
现代密码学 |
MiniMiniBackPack |
15 |
二进制漏洞审计 |
rop64 |
16 |
现代密码学 |
不止一次 |
16 |
软件逆向工程 |
broken hash |
24 |
软件逆向工程 |
gogogo |
25 |
从统计结果来看,可以很明显的看出各个方向题目均有设置较为简单的题目,方便新手入门比赛;同时也有较难的题目用于对选手的水平进行提高。
目前校内参赛选手前10名榜单排名如下:
选手ID |
选手得分 |
ExceptionB |
7150 |
Staticccccccc |
5700 |
Θ |
5500 |
doctor3 |
4850 |
TssunShine |
4725 |
J4m |
3300 |
DeW |
2950 |
ZeroAurora |
2900 |
xlccccc |
2900 |
naopoqiagev |
2650 |
恭喜以上参赛选手,希望他们可以再接再厉,突破自我,在比赛中享受网络安全的乐趣。同时也希望所有参赛选手能在比赛中收获知识,训练能力、增长见闻,欣赏独特的风景,感受CTF比赛独一无二的魅力!
最后,欢迎没有参加比赛的你,加入比赛,跟着我们一同学习、一同进步吧!
比赛赛事群:807440879
参赛地址:https://ctf.xidian.edu.cn
(通讯员 张宁 吕明远 王默轩)
