今天來分享第一次打 CTF 的故事!

進入正題

在 3 天前的文章中已經提過我是如何入門網路安全的，後來有一天跟 Dennis 學長閒聊才知道原來他也有在碰資安的東西。

Dennis 甚至有在跑網路安全策進會的社課，可...可惡。

所以他也問了我有沒有興趣玩看看 CTF，所以我們就參加了 Bamboofox CTF ㄌ (灑花)。

我們的戰隊

通常大家都會幫自己的隊伍取個響亮的名字，那因為我們都是 (或曾經是) 北科的學生，所以戰隊名字就叫做:

隊名: NTUTadventure13
翻譯: (北科)(大牛)(B)
簡稱: 北科大牛B

隊友則是有我、Dennis、EC、CCLai、Leaf (除了 Dennis 以外大家都菜逼八，可憐)。

戰況

當初會參加 Bamboofox CTF 是因為 Dennis 說這是一個新手導向的 CTF。比完之後: 新手向?你要確定诶
所以這次參賽我可以說是沒啥貢獻，Flag 幾乎都是 Dennis 拿到的。

第二次打 CTF

因為第一次的戰果真的太爛了，其實沒有什麼好說嘴的地方，到第二次打 CTF 我們是選擇 CMU 舉辦的 picoCTF，這次是真正新手導向的比賽。
picoCTF 的競賽期間非常長 (印象中是兩個禮拜)，所以可以利用上班的空檔或是下班後找時間解解題目動動腦。
這次我大概只有前幾天認真的解題目 (也順利地解開 6-8 個 Web 領域的題目)，算是可以取得小小成就感的比賽。

打 CTF 可以幹嘛

畢竟我們都不是那種專精資安、滲透測試的大佬 (我是不敢想啦)。
CTF 對我來說就是個可以跟三五好友一起玩的益智遊戲，而且還可以順便學學奇怪的新知識，像是:

• Web
  • CSRF
  • SSRF
  • Cookie, Session
  • XSS
  • SQL Injection
• PWN
  • Stack overflow
  • Heap exploitation
  • X86 Assembly
  • Format String Exploit
  • Common Protection (CANARY, FORTIFY, NX, PIE...)

這些知識都不是從學校或是一般的資訊書籍上可以學到的東西，既可以打發時間又可以幫助你寫出更安全的程式碼，何樂而不為呢?

入門的學習資源

這邊列出一些我曾經看過/聽過的入門資源，也歡迎大佬在留言區補充。

影片

• NTUSTISC－台科大資訊安全研究社
• Bamboofox
• LiveOverflow

練習

• picoGym
• Bamboofox