CTF介紹與例題分享
大家好,今天在外面跟朋友一起愉快玩耍回來,聽到新聞說某國確診達到幾百萬,我不禁感嘆
這麼久沒更新也是爲了準備網鼎杯網絡安全大賽,高校組的比賽明天就開始,比賽時長一共8個小時,在這期間爲了這個陌生的比賽,花費了大量時間複習,感觸良多,今天就給大家更新點不一樣的,給大家分享一下這幾天來的經歷吧。
簡介
“”網鼎杯”網絡安全大賽是由國家網絡與信息安全信息通報中心、深圳市人民政府、廣東省公安廳聯合支持,深信服科技股份有限公司、北京永信至誠科技股份有限公司聯合主辦,阿里巴巴(中國)網絡技術有限公司、百度在線網絡技術(北京)有限公司、奇安信科技集團股份有限公司、清華大學網絡科學與網絡空間研究院、深圳市騰訊計算機系統有限公司、中國科學院信息工程研究所聯合協辦的國家頂級網絡安全賽事。“網鼎杯”網絡安全大賽2018年在北京舉辦了第一屆,共吸引了全國7000支隊伍、2.25萬人參賽,是我國迄今爲止規模最大、覆蓋面最廣的一次高水平網絡安全大賽,這對於進一步磨礪網絡安全攻防能力,發現網絡安全專門人才,提升全社會網絡安全意識具有重要意義。
按照“網鼎杯”大賽兩年一屆的舉辦原則,第二屆“網鼎杯”大賽5月開賽,6月19日至21日在廣東省深圳市舉辦線下半決賽、總決賽和頒獎典禮。
是不是聽起來很高級的亞子,沒錯,我也是通過這次比賽的準備才知道有白客跟黑客之說。當我加入參賽選手羣之前是這樣的:
接下來問一個問題,在你們的羣裏面有人發廣告是怎麼處理的,大多數是管理員或者羣主撤回吧,但是我們來看看這羣大佬的sao操作:
後來就再也沒人敢在羣裏發廣告了。每次有人發這樣的廣告就有人喊“兄弟們,flag來了”,我就知道這羣大佬要開動了。
那麼肯定有小夥伴問flag是什麼意思呀,這就跟這次主題一樣,它是 CTF(capture the flag,也叫奪旗賽) 比賽的一個指標,選手解出相應的flag就會得分,有些題目腦洞大開,簡直腦闊痛。
來看看比賽的考覈範圍;
嗯,我看到這裏笑了笑,下意識的摸了摸自己的頭,這髮量果然還是不配參加比賽,事實也是如此。博主在毫不知情的情況下被安排了,選了逆向分析。(所以要多讀書纔不會被騙吶),比賽一共5個方向,misc(安全雜項)要求都學,其他方向選一個學習就行,當然大佬可以全選。
比賽的大致安排如下:
1.比賽共分三輪,分別是線上官方資格賽、線下半決賽、總決賽。其中,線上官方資格賽和線下半決賽爲晉級賽。
2.參加線上官方資格賽的參賽隊伍,按照行業屬性分成四組,分別是青龍組(高等院校、職業院校、社會參賽隊伍)、白虎組(通信、交通、國防、政務部門等單位)、朱雀組(能源、金融、政法、其他行業單位)、玄武組(科研機構、科技企業、互聯網企業、網安企業等單位)。通過線上官方資格賽晉級線下半決賽。晉級參賽隊伍名額分別爲:青龍組 130 支,白虎組 130 支,朱雀組 140 支,玄武組 100支。
那麼廢話不多說我們直接上題(以misc爲例)
this_is_flag46
難度係數: 2.0
題目描述:Most flags are in the form flag{xxx}, for example:flag{th1s_!s_a_d4m0_4la9}
第一眼看到的時候都不知道是啥,結果去看別人的解答,發現flag就在整個題目裏,flag{th1s_!s_a_d4m0_4la9}。如果你就提交括號裏面的那麼還是錯的,基本格式是flag{字符串}。看似很基礎,但是對於新手也知道了規範的的重要性。
pdf
上來就給我們一個pdf文件,前幾次在知乎看到過類似的,flag就應該是在圖片後面,果不其然
到這裏是不是覺得還挺好的,不,更有意思還在後面
3.
題目描述:一份報文如下c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2,生氣地掀翻了桌子(╯°□°)╯︵ ┻━┻
嗯!!!!!,題目確定沒錯,一大堆字符串。然後我這個卑微的小白只好再次求助大神的幫助
沒想到還要用Python轉碼,因爲ASCII碼錶示範圍是0-127(擴展的無法表意),而這裏的字節都大於128,所以 減128就自然而然的出來了。
因此正解如下:
解密代碼:
解密代碼:
string = "c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2"
flag = ''
for i in range(0,len(string), 2):
s = "0x" + string[i] + string[i+1]
flag += chr(int(s, 16) - 128)
print(flag)
如果你覺得你還能接受,那麼更難受的就要來了
題目直接給了個表情包
細心的小夥伴會發現這張gif到結尾有一個二維碼,沒錯,解題方向你就找到了,那麼怎樣把這個二維碼存下來呢
這裏要用到隱寫工具-----stegsolve
這個隱寫工具不能直接打開,他是個jar文件。說到這裏熟悉Java的小夥伴就應該知道怎麼打開了吧。沒錯,就是用DOS命令打開
命令行如圖
回車後,在你電腦左上角會出現這個(具體位置都不一樣,博主的電腦做出來是這樣的)
第一步是將圖片導入進去
File>open
第二步是選擇Analyse
打開後功能如下
File Format: 文件格式,這個主要是查看圖片的具體信息
Data Extract: 數據抽取,圖片中隱藏數據的抽取
Frame Browser: 幀瀏覽器,主要是對GIF之類的動圖進行分解,動圖變成一張張圖片,便於查看
Image Combiner: 拼圖,圖片拼接
本題需要第三個功能
當調整到第50幀的時候就會發現
等到這裏你還會發現二維碼是亂的,這還需要ps來拼接。又是一根軟肋,雖然這學期有ps課程,但是也可以知道別人身上的是藝術細胞,我身上的是藝術細菌,看看我的期中考查作業就知道了。
本次分享就到此結束,以上題目都是由攻防世界裏面提供的,有興趣的小夥伴可以去試一試。
網址:https://adworld.xctf.org.cn/
ps:
希望努力的你都可以變成這樣的高手。