轉自:http://tieba.baidu.com/p/3933947157
CTF(Capture The Flag)中文一般譯作奪旗賽,在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。CTF起源於1996年DEFCON全球黑客大會,以代替之前黑客們通過互相發起真實攻擊進行技術比拼的方式。發展至今,已經成爲全球範圍網絡安全圈流行的競賽形式,2013年全球舉辦了超過五十場國際性CTF賽事。而DEFCON作爲CTF賽制的發源地,DEFCON
CTF也成爲了目前全球最高技術水平和影響力的CTF競賽,類似於CTF賽場中的“世界盃” 。
1賽事介紹
CTF競賽模式分爲以下三類:
一、解題模式(Jeopardy)在解題模式CTF賽制中,參賽隊伍可以通過互聯網或者現場網絡參與,這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似,以解決網絡安全技術挑戰題目的分值和時間來排名,通常用於在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。
二、攻防模式(Attack-Defense)在攻防模式CTF賽制中,參賽隊伍在網絡空間互相進行攻擊和防守,挖掘網絡服務漏洞並攻擊對手服務來得分,修補自身服務漏洞進行防禦來避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況,最終也以得分直接分出勝負,是一種競爭激烈,具有很強觀賞性和高度透明性的網絡安全賽制。在這種賽制中,不僅僅是比參賽隊員的智力和技術,也比體力(因爲比賽一般都會持續48小時及以上),同時也比團隊之間的分工配合與合作。
三、混合模式(Mix)結合瞭解題模式與攻防模式的CTF賽制,比如參賽隊伍通過解題可以獲取一些初始分數,然後通過攻防對抗進行得分增減的零和遊戲,最終以得分高低分出勝負。採用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。
2國際知名CTF賽事
根據CTFTIME提供的國際CTF賽事列表,包括已完成的賽事和即將開賽的賽事。此外也根據社區反饋爲每個國際CTF賽事評定了權重級別,權重級別大於或等於50的重要國際CTF賽事包括:
· DEFCON CTF:CTF賽事中的“世界盃”
· UCSB iCTF:來自UCSB的面向世界高校的CTF
· Plaid CTF:包攬多項賽事冠軍的CMU的PPP團隊舉辦的在線解題賽
· Boston Key Party:近年來崛起的在線解題賽
· Codegate CTF:韓國首爾“大獎賽”,冠軍獎金3000萬韓元
· Secuinside CTF:韓國首爾“大獎賽”,冠軍獎金3000萬韓元
· XXC3 CTF:歐洲歷史最悠久CCC黑客大會舉辦的CTF
· SIGINT CTF:德國CCCAC協會另一場解題模式競賽
· Hack.lu CTF:盧森堡黑客會議同期舉辦的CTF
· EBCTF:荷蘭老牌強隊Eindbazen組織的在線解題賽
· Ghost in the Shellcode:由Marauders和Men in Black Hats共同組織的在線解題賽
· RwthCTF:由德國0ldEur0pe組織的在線攻防賽
· RuCTF:由俄羅斯Hackerdom組織,解題模式資格賽面向全球參賽,解題攻防混合模式的決賽面向俄羅斯隊伍的國家級競賽
· RuCTFe:由俄羅斯Hackerdom組織面向全球參賽隊伍的在線攻防賽
· PHD CTF:俄羅斯Positive Hacking Day會議同期舉辦的CTF
3國內知名CTF賽事
XCTF全國聯賽中國網絡空間安全協會競評演練工作組主辦、南京賽寧承辦、KEEN TEAM協辦的全國性網絡安全賽事平臺,2014-2015賽季五站選拔賽分別由清華、上交、浙大、杭電和成信技術團隊組織(包括杭電HCTF、成信SCTF、清華BCTF、上交0CTF和浙大ACTF),XCTF聯賽總決賽由藍蓮花戰隊組織。XCTF聯賽提供100萬元獎勵池,是國內最權威、最高技術水平與最大影響力的網絡安全CTF賽事平臺。
AliCTF由阿里巴巴公司組織,面向在校學生的CTF競賽,冠軍獎金10萬元加BlackHat全程費用。
XDCTF由西安電子科技大學信息安全協會組織的CTF競賽,其特點是偏向於滲透實戰經驗。
HCTF由杭州電子科技大學信息安全協會承辦組織的CTF杭州電子科技大學信息安全協會由杭州電子科技大學通信工程學院組織建立,協會已有七年曆史,曾經出征DEFCON,BCTF等大型比賽並取得優異成績,同時協會還有大量有影響力的軟件作品。協會內部成員由熱愛黑客技術和計算機技術的一些在校大學生組成,有多個研究方向,主要有滲透,逆向,內核,web等多個研究方向。至今已經成功舉辦6次CTF比賽。
ISCC由北理工組織的傳統網絡安全競賽,最近兩年逐漸轉向CTF賽制
4國內外知名CTF戰隊
PPP –近幾年崛起的超神明星戰隊,來自美國CMU,隊內有Geohot神奇小子和Ricky兩位國際最高水平黑客作爲雙子領軍,2014年PPP包攬了GitS和CodeGate冠軍,CTFTIME全球排名僅次於Dragon Sector排名第二,Geohot神奇小子的單人隊tomcr00se(沒錯,他就自稱網絡空間的湯姆克魯斯)在大滿貫賽Boston
Key Party和大獎賽Secuinside,擊敗其他多人戰隊拔得頭籌。由Geohot神奇小子加盟2013年DEFCON CTF總決賽冠軍陣容,PPP戰隊再度衛冕2014年總決賽冠軍。
Blue-Lotus –來自中國大陸的安全寶·藍蓮花戰隊。2013年曆史性地作爲華人世界首次入圍DEFCON CTF總決賽的隊伍,並在決賽獲得第11名,八支首次入圍決賽戰隊中名次僅次於澳大利亞9447的較好成績。2014年 在成功舉辦首屆BCTF全國網絡安全技術對抗賽後,連續第二次闖入DEFCON總決賽,並獲得第五名的優秀成績。2014年國際CTF戰績包括ASIS
CTF資格賽第3名、PlaidCTF/CodeGate八強,在CTFTIME全球排名第16位,亞洲戰隊第2(僅次於韓國penthackon)。
Men in the Blackhats – 來自美國傳統強隊Hates Irony分拆的戰隊,Hates Irony戰隊先前在2011年和2012年資格賽中都位居第一,並在2011年總決賽中獲得季軍,2013年DEFCON總決賽亞軍隊伍,2014年DEFCON總決賽第六名,實力和經驗都不容小覷的一支戰隊。
More Smoked Leet Chicken – 簡稱MSLC,俄羅斯的傳統強隊,由兩支隊伍Leet More和Smoked Chicken合併而成。2014年DEFCON以RuCTFe大滿貫賽冠軍入圍總決賽,在已獲得入圍資格時也參加了資格賽,獲得第7名。MSLC戰隊在2012年曾狂攬七項CTF賽冠軍,但近兩年被美國PPP和波蘭Dragon
Sector等強隊壓制,少有冠軍戰績,2013年DEFCON總決賽獲得第4名,2014年DEFCON總決賽下滑至第12名。2014年CTFTIME全球排名第3位。
Dragon Sector – 來自波蘭Google Security Team的強隊,今年狂攬六項CTF賽冠軍,CTFTIME全球排名力壓PPP(但是積分和沒有PPP+Tomc00se高),佔據積分榜首位。2014年DEFCON CTF總決賽獲得季軍。
StratumAuhuur – 來自德國的戰隊,由Stratum0和CCCAC聯盟組成,以大滿貫賽Boston Key Party亞軍(冠軍被神奇小子Geohot單人隊Tomc00rse摘走)獲得總決賽入場券。今年國際CTF賽事多次屈居亞軍,全球CTFTIME排名第4位,首次入圍DEFCON總決賽,並獲得第8名的較好名次。
HITCON – 來自中國寶島臺灣的隊伍,主力爲臺灣大學學生,在藍蓮花戰隊組織的首屆BCTF全國網絡安全技術對抗賽獲得冠軍,之後在DEFCON CTF資格賽最後時刻逆襲得分,突入DEFCON總決賽,成爲臺灣地區首次入圍決賽的隊伍。2014年獲得ASIS CTF資格賽第一名,並在DEFCON總決賽中以大黑馬姿態獲得亞軍。
Shellphish– 來自美國UCSB大學的傳統強隊,也是歷史最悠久的全球高校CTF奪旗賽iCTF的組織者,曾於2005年在DEFCON CTF總決賽奪冠,2011年和2012年在CTF總決賽排名都是第9位,2013年第7名。
raon_ASRT – 2013年DEFCON CTF總決賽的季軍隊伍,來自韓國RAON公司安全研究院的團隊,其中兩位核心人員是由韓國Best of Best白帽計劃培養的天才少年。2013年Codegate決賽冠軍隊,Secuinside決賽亞軍,2014年Nuit du Hack CTF季軍。Raon_ASRT也是今年Secuinside大獎賽的組織者。2014年DEFCON
CTF總決賽第7名。
9447– DEFCON CTF總決賽唯一一支來自南半球的隊伍,源自澳大利亞UNSW大學,由IT安全講師Fionnbharr Davies以一門課程9447爲基礎發展起來的新銳戰隊,2013年剛一成立便晉級DEFCON總決賽,並在總決賽中獲得第10名的好成績。今年更是以資格賽第3名的好成績入圍總決賽,並獲得第9名。
KAIST GoN – 韓國傳統的CTF強隊,以韓國科學技術院(KAIST)學生爲主力,在2013年缺席總決賽之後,2014以資格賽第8名迴歸。,DEFCON CTF總決賽獲得第10名。
[SEWorks]penthackon – 以大滿貫賽Olympic CTF亞軍(冠軍是Dragon Sector)身份獲得2014年DEFCON CTF總決賽入場券,獲得。目前CTFTIME全球排名第7位。SEWorks是韓國一家Mobile Security的公司,公司創始人也是五屆入圍DEFCON總決賽WOWHackers戰隊的創始人。Binja
– 隊名含義爲“二進制忍者”,以日本傳統CTF強隊Sutegoma2爲班底,加上katagaitai和EpsilonDelta組建的一支新戰隊,2014年以大獎賽Secuinside第4名成績(前三名分別爲TomC00se單人隊、CodeRed和MSLC)抓住了進軍DEFCON總決賽最後的救命稻草,在總決賽排名第13名。Sutegoma2的隊名含義爲日本“將棋”中的一種常見手筋“退路舍駒”,成員也以安全公司技術人員爲主,2011年DEFCON 19首次打入總決賽,已經是連續第四屆入圍總決賽,2013年總決賽排名第6名。
0ops – 上海交通大學信息網絡安全協會組織的CTF戰隊,姜開達老師作爲領隊。隊長Slipper、副隊長Lovelydream曾是藍蓮花戰隊隊員。2013年9月成立後即積極參與國際知名CTF賽事,曾在Hack.Lu在線奪旗賽中獲得季軍,成功組織過0CTF、ISG等國內知名的CTF賽事。
作者:4ido10n
1.CTF起步指南:如何開始CTF比賽之旅http://blog.idf.cn/2014/06/how-to-get-started-in-ctf/
2.網站:FreeBuf、 烏雲 等等
3.逆向:看雪學院 CrackMe(http://www.crackmes.de/)、BLACKBOX、reversing.kr (下面會放兩張圖更多說明)
4.Web:web安全入門 http://blog.sycsec.com/?p=166
4.雜誌《安全參考》《烏雲月報》《黑客防線》《黑客x檔案》......
5.博客 一蓑煙雨等各安全大牛博客,暫時不一一列舉。切題相關,217's Blog(http://217.logdown.com/)、0ops's Blog(http://blog.0ops.net/)......
6.writeup參考 CTF Writeup Summary [CTF Writeup Summary](http://sec.yka.me/)、writeup">//**/(http://www.hackdog.me/writeup/)......
7.題庫:下面又會“有一些可以去玩的地方CTF”更詳細說明
作者:L3m0n 0xmuhe 4ido10n
綜合:
http://wargame.kr/
西普學院
http://www.simplexue.com/CTF.html
http://canyouhack.it/
http://fun.coolshell.cn/
網絡信息安全攻防學習平臺 http://hackinglab.cn/
idf實驗室
http://ctf.idf.cn/
wechall
http://www.wechall.net/
合天
http://erange.heetian.com/
jctf
http://ctf.3sec.cn/
http://oj.xctf.org.cn/
補:i春秋中也有CTF
http://www.ichunqiu.com/
滲透:
米安網
http://ctf.moonsos.com/pentest/index.php
http://webhacking.kr/
四叔叔寫的一個
http://hackit.sinaapp.com/
xss:
http://prompt.ml/0
http://xss.pkav.net/xss/
sql:
http://redtiger.labs.overthewire.org/
逆向:
http://reversing.kr/
http://pwnable.kr/
http://exploit-exercises.com/
http://overthewire.org/
各種writeup
https://github.com/ctfs/
bin乾貨區
http://security.cs.rpi.edu/courses/binexp-spring2015/
各種賽事預告
https://ctftime.org/event/list/upcoming
來自:http://bbs.secbox.cn/thread-38-1-1.html
http://overthewire.org
都是Bin http://pwnable.kr
還是Bin http://exploit-exercises.com
都是re,http://reversing.kr
bin乾貨區
http://security.cs.rpi.edu/courses/binexp-spring2015/
XCTF的OJ平臺也可以玩玩 http://oj.xctf.org.cn/
烏雲XSS互動學習平臺 http://xss.pkav.net/xss/
補:腦洞題,嚴格上不算CTF,但是可以玩玩
http://cafebabe.cc/nazo/
暫時就這些了,想到在補充...