CTF夺旗提升黑客技能

2023年7月11日13:07:42评论9 views字数 4721阅读15分44秒阅读模式

作为黑客，闯入所有事物是我们的 DNA，而且我们通常具有激烈的竞争天性。那么，如果我们可以磨练自己喜欢的东西，并提高我们的技能呢？这就是网络安全竞赛和夺旗 (CTF) 活动等竞赛发挥作用的地方。CTF 是一种旨在测试网络安全技能的游戏化练习，其目标与真人户外游戏非常相似，即通过捕获最多的旗帜获得最高分。

CTF 的基础知识

将 CTF 用于网络安全培训目的可以追溯到 1990 年代，最初是在德克萨斯州休斯敦的 HoHoCon 大会上首次亮相；然后在 1996 年，它在拉斯维加斯举行的第四届年度 DEFCON（美国最大的黑客聚会的举办地）上引起了轰动。现在，CTF 竞赛在世界范围内的会议上定期举行，由大公司赞助，几乎任何人都可以通过 Internet 参与。

CTF 活动允许参与者学习新技能、获得实践经验，并帮助推进或提高从业者已有的工具。参赛者可以选择单人游玩或组队游玩，运用不同的技能来应对不同难度的挑战。一旦他们通过解决挑战找到自己的旗帜，他们就会获得积分。以下是常见挑战类型的示例：

远程代码执行 ——利用软件漏洞允许在远程服务器上执行代码。
密码学——解决密码和代码，从经典密码（例如凯撒密码、换位密码）到现代密码学，例如 AES、3DES、RC4 和 Twofish。
编程——需要用您选择的计算机语言编写解决方案的挑战。手动解决这些问题通常过于乏味或耗时。
OSINT（开源情报）——寻找隐藏在公共互联网和社交媒体平台上的线索。带上你最好的 Google-fu 来解决这些问题。
逆向工程——研究二进制可执行文件、恶意软件样本或其他文件以了解其意图或行为。
取证——分析日志文件、网络数据包捕获或其他工件以检测黑客如何渗透系统。
隐写术——隐藏（和检测）图像、音频文件等信息的艺术和科学。

专家的视角

如何开始参加 CTF 活动的？

De la Rosa ：我所在的大学向我们发出了两个以学生为重点的 CTF（ HackDef和HackMex ）的呼吁。

桑切斯：当我在大学时，这就是我处理网络安全的方式，特别是在进攻方面。

Santoyo ：我最初是在一个名为 HackMex 的墨西哥 CTF 开始的；我从我的学校了解到这件事，并设法召集了一群也想尝试一下的朋友和同学。

你为什么喜欢参加他们？你从他们那里得到什么？

De la Rosa ：我总是在 CTF 学到新东西；它可能是一种创建 Web 应用程序攻击或开发利用程序使二进制文件缓冲区溢出的新方法。

桑切斯：我喜欢竞争激烈的环境，也喜欢你会遇到志同道合的新朋友。另外，CTF 帮助我在大学毕业后找到了工作。此外，之后的派对、赃物和餐点都很棒！

Santoyo ： CTF 最好的部分是它的挑战。许多包括像Hack the Box中的经典盒子，但许多其他挑战需要不同的技能组合并使用您通常不会在盒子上使用的工具；可以帮助您了解很多其他网络安全分支的东西，而不仅仅是渗透测试。

在 CTF 活动中的工作如何转化为专业环境？

De la Rosa ： CTF 活动帮助我获得了 Web 渗透测试方面的经验，这让我更容易进入工作世界，因为我拥有非常好的知识基础。

Sanchez ：首先，我通过参加他们的 CTF 获得了网络安全公司的知名度，他们将 CTF 视为经验。在技术方面，CTF 让我有一个合法和受控的学习环境，以一种教育和有趣的方式打破事物。

Santoyo ： CTF 有助于将知识付诸实践。它们是在工作之外获得网络安全经验的好方法，也是在你的简历中脱颖而出的东西，因为它让你看起来既参与社区又经验丰富。

您会给其他想通过参加 CTF 活动来提高技能的人提供什么建议/忠告？

De la Rosa ：这样说似乎很陈词滥调，但是“更努力地尝试”，并始终在新漏洞出现时留意它们。

桑切斯：首先，追随你的热情，即使你是新手，也没有解决很多挑战。您的热情会促使您学习更多并练习，为下一次 CTF 做好准备。其次，计算机科学（或相关）背景有助于理解一些概念并使事情变得更容易。别忘了玩得开心，毕竟那是游戏的一部分。通过解决过去的 CTF 来练习，因为有时挑战的解决方案会发布，如果您在某个时候遇到困难，这是一个很好的资源，可以推动您继续应对挑战。将此作为最后的手段使用，并始终推动自己解决挑战而不用写下来！此外，与更多对 CTF 感兴趣的人建立联系。就我而言，我在我的大学领导了一个网络安全俱乐部，我们通过会议来解决 CTF 挑战。与更多人合作将鼓励创造力并教会您跳出框框思考。此外，“团队合作”是一项很棒的技能，您将通过作为团队的一部分参加 CTF 而获得。

Santoyo :试一试，即使你第一次尝试没有赢，你也会学到很多东西。确定您可以改进的领域，并且可能会引起赞助此活动的公司的注意，因为许多公司都从此类活动中招聘潜在客户。

如果可以在第一次参加 CTF 活动时回过头来告诉自己一件事，那会是什么？

De la Rosa ：不要错过这个；CTF 将帮助我们在网络安全领域的专业发展。

桑切斯：如果你获得第七名，不要失望！相反，为明年做好准备，因为会对结果感到非常惊讶。第二年我们获得了第一名！

Santoyo ：尽可能多地从这次活动中获取；不要非常执着于不惜一切代价取胜，当拥有多年经验的球队不可避免地获胜时也不要难过。

CTF 入门

每年都会举办数百场 CTF 活动，这意味着有充足的机会找到适合时机和需求的活动。一些 CTF 是虚拟的，而另一些则在会议现场举行。我们推荐几个：

PicoCTF：PicoCTF 非常适合想要将编码爱好提升到一个新水平的 STEM 年轻人，PicoCTF为所有技能水平的学习者 提供全年的网络安全教育内容（PicoGym 实践挑战）。他们的年度比赛是针对高中队的。

哈利斯科人才乐园：今年，作为 2022 年 7 月 20 日至 24 日举行的大会人才黑客马拉松的一部分，福克斯主教将在哈利斯科人才乐园举办夺旗比赛！我们赞助的 CTF 将采用 Jeopardy 风格，CTF 中的每个挑战都可以让您获得一面旗帜。每个标志都有一个相关的分数。在比赛结束时得分最高的参赛者获胜。CTF将从Talent Land开始，到活动最后一天结束，活动期间保持活跃状态，让参与者随时贡献。奖金是 50,000 墨西哥比索！点击此处免费注册。

Red Team Village @ DEF CON： Red  Team Village 网站 每年都会举办一些活动。今年在 DEF CON 30 上，Red Team Village CTF 将于 8 月 11 日至 14 日举行（Bishop Fox 也是赞助商！）。除了 CTF 之外，Village 还将设有红队站，其中有许多练习，与会者可以练习他们的技能或学习新技能，以及专注于以下方面的互动研讨会：网络攻击培训、HackerOps、黑客 API、OSINT 技能实验室，以及更多的！

DEF CON ： DEF CON CTF是黑客最精英的竞赛之一。2022 年 5 月，超过 1,200 支队伍参加了 DEF CON 30 CTF 预选赛，其中 200 多支队伍解决了两个或更多挑战。他们在 8 月 11 日至 14 日的决赛中淘汰了 16 支世界上最优秀的黑客队伍——去年决赛中的顶级队伍 Katzebin，以及 2022 年 5 月的 15 支顶级队伍。这些团队将在面对面的竞争中进行逆向工程、攻击和推动其他黑客摆脱困境，以直接展示对未来的有效利用。

探索执行 OSINT 和侦察、主机枚举和后期开发、安全枢转（隧道）和渗漏的技术和捷径。

会在里面找到的其他东西包括：