向各位請安。我是 es,平時在某公司作 Backend 和維運(偶而也處理一下前端),但在週末和下班時間,則去研究資安相關領域的知識。
我目前是 UCCU Hacker 的成員之一,在還沒加入之前,就跟成員們去打了資安戰役,然後拿了第二名回來。會拿下來是因為,該比賽主要是偏向「挖漏洞」和「檢測」,使我本身就佔一些優勢。後來也跟著打了幾次 CTF,但礙於解題硬實力並不是很突出的關係,所以打得有點吃力。
因此,此次希望在這 30 天的鐵人賽當中,從 CTFTime 等平臺或其他解題心得中,去多瞭解一些 CTF 題目的脈絡,並和大家分享。
Capture The Flag 是一種資安競賽。CTF 的目標主要是讓學生 / 從業人員 / 有興趣的人從參與過程中學習到更多知識,或者是精進原本已有的技能。
CTF 比賽,大致上可以分成三種常見類型。
Jeoperdy 的狀況下,會有很多個題目可以解。題目類型可能是 Web、鑑識、密碼學、逆向工程或其它類。參與比賽的隊伍,只要解了題目,就能拿到分。通常分數最高的隊伍就會贏得比賽。
在這種狀況下,每一個參賽隊伍都會有自己的網路(或是主機),上面運行一些服務,其中可能有一些安全漏洞。隊伍本身要用某些方法把漏洞給修補,然後試著研究怎麼攻進其他隊伍的機器上。分數以防禦成功和攻擊成功的狀況來計算。
和前者有點類似,但只有一臺機器。隊伍佔領機器的時間越長,則分數越高。
CTF 也有可能不是這兩種類型的,但比較少見。(亦有可能是混合型)
身為一個去年打過 2018 鐵人賽的老司機,在前幾天去 TDOH Conf當講師時,剛好遇上了去年也有參賽的朋友(也是講師)。於是我就沒想太多,今年也報名了,組了我們的 InfoSec Horadrim。
今年 好想工作室 也有參賽,且因主辦班單位提高報名人數限制的關係,今年人數來到 22 人。
身為在同一個 Co-working Space 參賽的進駐者,今年亦有用上 催文機。歡迎各位參加團體賽的人一起使用。
今次參加鐵人賽的主題,不會像去年的 網路安全概述 一樣廣泛,但會著重在 深度 的部分,並整理這些方向的 CTF 題目:
由於本身不是打 CTF 非常久的人,故某些文章可能會有一些誤差。如果有誤差的話,請各位在文章底下留下建議。
iThome鐵人賽
看影片追技術