抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

1.什么是CTF

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

2.什么是红帽杯

红帽杯是由广东省计算机信息网络安全协会将于2019年11月在广州举办第三届红帽杯网络安全攻防(CTF)大赛。

  • 报名时间
    10月10日00:00 - 11月07日24:00
  • 初赛时间
    11月10日09:00 - 11月11日09:00

报名官方网站 https://www.cinsa.org.cn/2019redhat

欢迎咨询佛大信息安全协会

  • 微信号:
    • 范同学:fjw712452
    • 刘同学:Glan5812
    • 徐同学:Gtari720

3.入门CTF,你需要什么

  • 快速学习新事物的能力
    一个不一样的思考方式
    一颗乐于解决问题的心
    一些有趣的网络安全技术
    一段充实奋斗的时光

  • 在这里,我们希望能给予你一些建议:

    善用 Google 搜索可以帮助你更好地提升自己
    掌握至少一门编程语言,比如 Python
    实践比什么都要管用
    保持对技术的好奇与渴望并坚持下去

4.CTF是怎么比赛的

由于 CTF 的考题范围其实比较宽广,目前也没有太明确的规定界限说会考哪些内容。但是就目前的比赛题型而言的话,主要还是依据常见的 Web 网络攻防、RE 逆向工程、Pwn 二进制漏洞利用、Crypto 密码攻击、Mobile 移动安全 以及 Misc 安全杂项 来进行分类。

Web - 网络攻防

主要为 Web 安全中常见的漏洞,如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等,Web 安全中常见的题型及解题思路,并提供了一些常用的工具。

Reverse Engineering - 逆向工程

主要为逆向工程中的常见题型、工具平台、解题思路,进阶部分介绍了逆向工程中常见的软件保护、反编译、反调试、加壳脱壳技术。

Pwn - 二进制漏洞利用

Pwn 题目主要考察二进制漏洞的发掘和利用,需要对计算机操作系统底层有一定的了解。在 CTF 竞赛中,PWN 题目主要出现在 Linux 平台上。

Crypto - 密码攻击

主要包括古典密码学和现代密码学两部分内容,古典密码学趣味性强,种类繁多,现代密码学安全性高,对算法理解的要求较高。

Mobile - 移动安全

主要为安卓逆向中的常用工具和主要问题类型,安卓逆向常常需要一定的安卓开发知识,iOS 逆向题目在 CTF 竞赛中较少出现,因此不作过多介绍。

Misc - 安全杂项

以诸葛建伟翻译的《线上幽灵:世界头号黑客米特尼克自传》和一些典型 MISC 题为切入点,内容主要包括信息搜集、编码分析、取证分析、隐写分析等。

5.CTF方向那么多,我选择那一条呢

  • 这需要你自己选择一个适合的方向,下面是各个方向的介绍。

    • A方向:PWN+Reverse+Crypto随机搭配
      IDA工具使用(f5插件)、逆向工程、密码学、缓冲区溢出等

    • B方向:Web+Misc
      网络安全、内网渗透、数据库安全等

    • 公共部分:Linux基础、计算机组成原理、操作系统原理、网络协议分析

  • 这是简单的介绍,去选择一条属于自己的路吧!

    • PWN、Reverse偏重对汇编、逆向的理解
    • Crypto偏重对数学、算法的深入学习
    • Web偏重对技巧沉淀、快速搜索能力的挑战
    • Misc比较复杂,所有与计算机安全挑战有关的都算在其中

6.我选好了路,但是怎么去学习呢

下面推荐几本书:

  • A方向:
    IDA pro权威指南(重要)
    揭秘家庭路由器0day漏洞挖掘技术
    RE for Beginners(逆向工程入门)
    自己动手写操作系统
    黑客攻防技术宝典:系统实战篇

  • B方向:
    Web应用安全权威指南(适合小白入门对WEB安全进行宏观的理解)
    黑客攻防技术宝典 Web实战篇
    Web前端黑客技术揭秘
    黑客秘籍-渗透测试实用指南
    代码审计:企业级Web代码安全架构

7.web、Reverse、PWN、Crypto和Misc的详细入门指导请戳我!

8.总结

CTF可能门槛比较高,但是入门之后你会发现其乐趣 在学习过程中遇到挫折不要轻易放弃,建议先谷歌查找相关资料,实在查不到再求助他人。 关于如何提问,建议阅读这篇文章:提问的智慧

有任何问题欢迎到群里或联系协会成员。

补充

  • Q1: 要是我技术不好或者基础不太好怎么办?你们会教吗?

  • A1: 不用担心,我们会根据你们大部分人的基础,给予你们相关资料和多次线下培训。不用担心自己什么都不会,一开始谁都是小白,本次红帽杯参赛匆忙怕取得不了好成绩的,也可以为12月份百度杯,明年1月份安恒杯做准备喔!

  • Q2: 教练,我迫不及待想看看ctf大概是怎样的

  • A2: 这个是中科大的新生ctf赛。相对会简单些的。如果有迫不及待想了解ctf是怎样的同学可以注册个账号玩玩,不懂的可以百度或者群上问喔!

    https://hack.lug.ustc.edu.cn/
    2019 年度中国科学技术大学第六届信息安全竞赛即将开幕,科大信息安全大赛自 2014 年起已经连续举办五届,往届比赛均顺利举行,规模盛大,影响甚广。

    赛制:个人线上比赛,解题模式,约 25 道题目;
    比赛题目分为 4 类,分类如下:综合技能(general)、程序逆向与漏洞利用(binary)、密码学与数学(math)、网站安全(web)

评论