下载掌阅APP,畅读海量书库
立即打开
随着网络安全问题的日益凸显,作为提升安全技术能力的重要途径,CTF竞赛也有泛化的趋势。不同竞赛的组织水平参差不齐,一些中低水平的 CTF 竞赛只需要参赛者了解网络安全的基础知识、掌握安全工具的一般用法即可参加,而一些高水平的 CTF 竞赛则要求参赛者深入理解当前主流的网络、系统、信息、编码、控制、管理等技术原理及技术方法,并能将其运用于实战。由此可见,只有进行长期不懈、科学系统的学习和练习,才能较好地掌握参加高水平CTF竞赛所需要的知识和技能。普通的网络安全专业学生如何入门CTF竞赛并逐步提升技术水平?本书给出了一些建议。
网络安全具有非常突出的多学科交叉的特点,因此在日常的学习中读者要注意夯实理论基础,包括高等数学、离散数学、代数学、数论、群论等数学基础;C/C++语言、Python语言、PHP语言等高级程序设计语言和汇编语言基础;数据结构、算法设计、计算机体系结构、计算机网络、操作系统、数据库系统等计算机专业基础;对安全工具软件的使用等。
CTF竞赛考查的主要是动手实践、解决问题的能力,因此将理论联系实际、勤于动手实践是十分必要的。下面列出一些质量较高的资料供读者参考。
① CTF Wiki:强大的CTF知识库,目前仍在不断更新完善中。对于一些禁止访问互联网的CTF竞赛,可以将该知识库提前离线到本地,便于在比赛中查阅。
② XCTF攻防世界:在线刷题平台,除CTF赛题外也提供部分WP。
③ CTFHub:在线刷题平台,除CTF赛题外也提供部分WP和安全工具。
④ BugKu:在线刷题平台,除CTF赛题外也提供部分WP和安全工具。
⑤ BUUCTF:在线刷题平台,除CTF赛题外也提供部分WP和学习资源。
⑥ CTFWP:与BUUCTF联动的WP资源收集项目,共提供17场CTF赛事的WP信息,包括赛题下载链接、难度参考、WP及外站WP链接等。
⑦ hackme.inndy:由个人维护的在线刷题平台,题目经典且基础。
⑧ Jarvis OJ:由个人维护的在线刷题平台,题目经典且基础。
⑨ Root Me:由法国安全研究人员维护的在线刷题平台,提供高质量CTF赛题和WP ,但需要成功解题后才能看到WP。
⑩ CTF Show:商业化在线刷题平台,主要聚焦Web题型。
⑪ i春秋:商业化线上培训平台,主要提供CTF视频课程,也有少量赛题和WP。
CTF 毕竟是一种基于仿真环境的竞技,相对于完全真实的网络环境或多或少都有些简化,主要目的是对安全技术的掌握情况进行检验,因此多做些题目是很有帮助的。在做题的同时一定要注意领悟安全问题的本质和技术方法的原理,这样,在较短的时间(3个月左右)内就可以达到参加CTF竞赛的最低要求。
CTF竞赛说到底是实战技术的竞争和较量,这是它不同于传统计算机学科竞赛的特色,也是它最吸引广大网络爱好者参与的原因。技术的直接对抗降低了人为评判的主观性,很好地体现了参与者的真实水平,因此以赛代练是一种很好的学习方式。学员可以完全放下“包袱”,积极参与到比赛当中,由易到难,挑战自我,不断前进。
下面介绍一些水平较高的CTF赛事供读者参考。
① 全国大学生信息安全竞赛创新实践能力赛:简称国赛,是由中央网信办网络安全协调局、教育部高等教育司、共青团中央学校部指导、教育部高等学校网络空间安全专业教学指导委员会主办的大型CTF赛事,旨在为选拔、推荐、培养优秀的安全专业人才创造条件,促进高校网络安全专业课程体系建设和教学改革,培养学生的创业实践能力和团队合作精神,提高学生的网络空间安全创新实践能力和技能。国赛面向全国高等院校的学生,分为东北、华北、西北、西南、华中、华南、华东北、华东南8个赛区,按照线上初赛、分区赛、全国总决赛的流程举办,其中分区赛和全国总决赛由各赛区内的全国知名高校申请轮流承办。国赛参与覆盖面广、赛题质量高,是一项参与难度不大但极具含金量的CTF竞赛。
② 强网杯全国网络安全挑战赛:是由中央网信办指导,信息工程大学主办,教育部高等学校网络空间安全专业教学指导委员会协办的全国性CTF竞赛,永信至诚提供竞赛平台,旨在促进网络安全技术交流,提升全民网络安全意识和防护技能。与国赛不同,强网杯全国网络安全挑战赛面向国内高校、研究机构、企业等单位的安全技术人员,按照线上赛、线下赛和精英赛的程序举办,并且每年还会尝试一些新的竞赛模式,如Real World模式、人工智能挑战模式等。强网杯全国网络安全挑战赛比较强调贴近实战,注重考查二进制程序漏洞挖掘与利用、设备固件漏洞挖掘与利用、物联网设备破解等能力,赛题整体质量较高,在行业内影响力较大。
③ XCTF 国际网络安全技术对抗联赛:简称 XCTF 联赛,是由网络空间安全人才基金和国家创新与发展战略研究会主办,清华大学蓝莲花战队发起组织,赛宁网安总体承办的CTF竞赛,旨在通过竞赛公开选拔奖励具有全面且深入的网络安全技术对抗实践能力的参赛团队,并鼓励高校及科研院所学生、企业技术人员和网络安全技术爱好者在竞赛过程中锻炼实际网络安全对抗技能与团队协作能力,提升中国网络安全技术人才水平,进而增强我国网络空间安全防御能力。XCTF联赛由选拔阶段和总决赛阶段两个部分组成,选拔阶段通过多个由高校、科研院所、业界公司技术团队协办的分站选拔赛,遴选出技术能力水平较高的参赛队伍进入总决赛阶段;入围总决赛的参赛队伍通过竞赛,角逐出冠、亚、季军和其他奖项获得者并获得相应的奖励。XCTF联赛及其衍生出的*CTF、SCTF、RCTF、ByteCTF等分站选拔赛,时间跨度较长,赛题资源丰富,能够起到很好的学习、练习效果。
④ TCTF腾讯信息安全争霸赛:简称TCTF,TCTF是由腾讯安全发起,腾讯安全学院、腾讯安全联合实验室主办,腾讯安全科恩实验室承办,上海交通大学0ops 安全团队协办的CTF竞赛,旨在联合网络安全行业力量建立国内首个专业安全人才培养平台,发掘、培养有志于安全事业的年轻人,帮助他们实现职业理想,站上世界舞台。TCTF 分为国际赛0CTF和新星邀请赛RisingStar CTF两个赛道,其中,0CTF面向全球所有战队,对团队人数和规模没有任何限制,分为线上预赛和线上决赛两个阶段;RisingStar CTF则定向邀请国内高校战队参加,仅限高校在校学生参与,直接进入0CTF的线上决赛并单独排名。TCTF的赛题质量较高,比赛有一定的含金量及国际影响力,目前已成为DEF CON CTF的外卡赛,其线上决赛的冠军可以得到DEF CON CTF的外卡。
此外,还有湖湘杯、网鼎杯、黄鹤杯、WCTF、RWCTF、第五空间、虎符大赛等国内CTF 竞赛和 UCSB iCTF、Plaid CTF 等国际 CTF 竞赛,以及被称为 CTF 世界杯的 DEF CON CTF,都很值得关注和学习。
由于参与CTF竞赛所需要的知识储备十分丰富,CTF竞赛中不同类型的题目也各有特点,单靠一个人很难完全掌握所有方面的知识和技能,因此大部分 CTF 竞赛需要参赛者以战队的形式来参加。
好的 CTF 战队,队友之间既要有相近的学习观念,又要有互补的技术专长,还要有长期共同训练、比赛形成的默契配合。一种比较好的方式就是聚集一批对 CTF 感兴趣的爱好者组成具有一定规模的大战队,在没有比赛的时候也可以朝着一个共同的目标不断学习进步,并定期轮流分享学习的心得,在参加比赛的时候则可以根据赛事要求、赛题特点、个人兴趣、技术专长、时间安排等因素灵活组成小战队。采用这种大战队、小战队结合的组队方式,既可以对战队成员起到相互学习、相互了解、相互激励的作用,又可以兼顾人员搭配的稳定性和适应性,使得技术扎实的“突击手”、永不言弃的“攻坚者”、思维灵活的“游侠”、出其不意的“刺客”等不同风格的爱好者,在学习时能够齐聚一堂,在比赛时能够各显神通。
CTF已经走过了20多年的历程,在国内发展壮大的时间也接近10年,逐渐涌现出来一批比赛风格鲜明、自身特点突出、令人印象深刻的战队,了解和借鉴他们的学习和训练方法,也能受到很多启发。下面介绍一些有代表性的CTF战队。
① 蓝莲花:2010年在清华大学成立的网络安全技术竞赛和研究团队,是我国参与国际CTF竞赛最早、最知名的一支战队。2013年成为历史上首支成功闯入DEF CON CTF总决赛的中国战队,并在决赛中获得第11名。在2014年和2015年,连续两次参加DEF CON CTF总决赛并两次获得第5名。CTFTIME全球排名最高达到第6位。自2013年开始发起组织XCTF联赛,并负责举办XCTF联赛的分站选拔赛BCTF。
② A*0*E:2017年由腾讯eee战队、上海交大0ops战队、复旦大学******战队和浙江大学AAA战队联合组成,是一支典型的联合了企业安全研究人员与高校安全人才的战队。2017年至2020年连续4次参加DEF CON CTF总决赛,分别获得第3名、第4名、第4名和第1名。2021年战队主要成员组成新的Katzebin战队,再次闯入DEF CON CTF总决赛并蝉联冠军。CTFTIME全球排名最高达到第11位。
③ Tea Deliverers:2017年以长亭科技的安全研究人员为主要成员建立,之后连续5次参加DEF CON CTF总决赛,共获得两次第3名、一次第4名、一次第5名、一次第6名。CTFTIME全球排名最高达到第6位。
④ NuLL:成立于2015年的联合战队,成员分布于国内外各大高校和安全著名企业,队名源于计算机语言中经常出现的NULL。获得过许多国内CTF竞赛的冠军,并在2021年闯入DEF CON CTF总决赛,最终获得全球第7名。CTFTIME全球排名最高达到第10位。
⑤ r3kapig:2018年由老牌战队Flappypig和新锐战队Eur3k联合组成,成员是一群对Web安全、软件安全、物联网安全、密码学等领域感兴趣的网络安全爱好者。曾蝉联XCTF联赛总决赛冠军,并在成立后连续4次参加DEF CON CTF总决赛,最佳战绩为第10名。CTFTIME全球排名最高达到第12位。
⑥ 0ops:于2013年在上海交通大学成立,整合了上海交大各安全实验室资源和计算机相关专业的学生,并得到腾讯安全科恩实验室的支持。曾获得过许多 CTF 竞赛的冠军,包括以联合战队的身份夺得DEF CON CTF两连冠。参与举办的TCTF竞赛国际赛0CTF以其过硬的赛质成为DEF CON CTF的外卡赛。CTFTIME全球排名最高达到第3位,是中国战队目前达到的最高世界排名。
⑦ Sixstars:2014年由复旦大学不同专业的本科生、研究生和博士生共同成立。曾在多项CTF竞赛中取得过优异的成绩,包括以联合战队身份夺得DEF CON CTF两连冠。参与举办了 XCTF 联赛的分站选拔赛*CTF。复旦大学的另一支著名战队是由复旦大学系统软件与安全实验室于2018年4月成立的白泽(Whitzard)战队。
⑧ AAA:意为Azure Assassin Alliance,于2013年在浙江大学成立,由浙江大学爱好信息安全的学生自发组织,并得到浙江大学计算机学院的支持。曾在多项 CTF 竞赛中取得过优异的成绩,并以联合战队的身份夺得DEF CON CTF两连冠。
⑨ NeSE:意为Never Stop Exploiting,象征着永不停止钻研的极客精神,2015年在中国科学院信息工程研究所成立。曾在多项 CTF 竞赛中夺冠或取得优异成绩,并有队员随联合战队Katzebin夺得2021年的DEF CON CTF冠军。CTFTIME全球排名最高达到第9位。
⑩ 天枢战队:由来自北京邮电大学的学生组成的安全团队。队名“天枢”是北斗七星的第一颗星,它代表了聪慧和才能。核心团队有15人左右,活跃在国内外大大小小的CTF竞赛上。队员们专精的技能多种多样:手捏网线就能发包,口算sha256比2080ti还快,盯着字节码即可逆向操作系统,双击 Chrome 就能 v8逃逸,通过人眼扫描面部即可微信添加好友等。
⑪ L3H Sec:成立于2016年,其前身源自2013年华中科技大学计算机科学与技术学院网络安全俱乐部,成员全部是华中科技大学的在校学生,由韩兰胜老师指导,几位出色的队长分别是孔平凡、刘镇东、杨昊坤、戴钦润。L3H意为三级头,是游戏《绝地求生》中最顶尖的护具,代表着战队对于顶尖安全的不懈追求。L3H Sec战队取得了多项CTF竞赛的冠军,并参与举办了XCTF联赛的分站选拔赛L3HCTF。
⑫ Delta:战队的成员热爱安全、热爱CTF,队伍成员大部分在珠江三角洲及周边地区学习生活,战队致力于在信息安全领域深耕。战队名来源于希腊字母 Δ(delta),Δ 在数理公式中常常表示增量,寓意战队一直在进步,同时也希望战队能为安全行业的发展贡献一份微薄之力。
⑬ f61d:信息工程大学新人战队。
⑭ PPP:PPP 意为 Plaid Parliament of Pwning,是2009年由美国卡内基梅隆大学(Carnegie Mellon University,CMU)成立的战队。PPP是世界上实力最强的CTF战队之一,曾5次获得DEF CON CTF冠军,在CTFTIME全球排名中多次位列榜首。由PPP主办的PlaidCTF是著名的国际CTF竞赛和DEF CON CTF外卡赛,参赛人数众多、题目质量优秀,以赛题难度高、学术气息浓而著称。
⑮ Shellphish:2011年在美国加利福尼亚大学圣塔芭芭拉分校(University of California, Santa Barbara,UCSB)成立,后来也有美国亚利桑那州立大学的学生加入,是美国的传统CTF强队。曾在多项CTF竞赛中夺冠,并能稳定打入DEF CON CTF总决赛,CTFTIME全球排名最高达到第4位。主办了世界上历史最悠久的高校CTF竞赛—— UCSB iCTF。
⑯ More Smoked Leet Chicken:简称MSLC,于2011年由两支俄罗斯战队Leet More和Smoked Chicken联合组成,2015年与俄罗斯的BalalaikaCr3w战队联合组成新的LC↯ BC 战队,2020起重新开始独立参赛。MSLC一直是俄罗斯实力最强的CTF战队之一,获得过多项CTF竞赛的冠军,在DEF CON CTF总决赛中的最佳战绩为第4名,CTFTIME全球排名曾达到第1位。
⑰ Dragon Sector:于2013年成立的波兰战队,成员大多来自Google Security Team,是国际上安全研究机构CTF战队的典型代表。曾获得过多项CTF竞赛的冠军,在DEF CON CTF总决赛中的最佳战绩为第3名,CTFTIME全球排名曾多次位列榜首。
⑱ perfect blue:于2018年成立的一支多国联合战队,成员来自加拿大、爱沙尼亚、以色列、韩国、挪威、澳大利亚等。自成立之后迅速在国际 CTF 竞赛中崭露头角,目前已获得多项CTF竞赛的冠军,并在2020年和2021年连续两年力压其他传统强队夺得CTFTIME全球排名榜首。
CTF竞赛是年轻人的天下,尤其是高校战队,随着同学们的毕业、工作等,队伍会受到很大影响,没有一支队伍会永远强大,不过随着网络安全的发展,会有更多能力更强的队伍涌现。