Samiux

CyberSecurity Ninjas 网络空间安全忍者

View on GitHub
Home Projects Articles Apophthegm About

夺旗赛 (CTF) 入门

夺旗赛 (Capture The Flag, CTF) 与现实的渗透测试 (Penetration Test) 有着很大的差异。虽然夺旗赛的考题与网络空间安全 (CyberSecurity) 有相当的关联,但夺旗赛的考题具有不真实性,出题者大多会利用特别的技巧将考题变得艰难一些,所以其考题比较狡猾。而且不像现实环境,其所有考题都必能解答 (solved),而且有些的考题更提供解答提示。

在夺旗赛的谜题 (Jeopardy) 类型中比较近似渗透测试的只有网站 (Web) 相关类型、利用 (PWN,Exploitation) 和逆向工程 (Reverse Engineering) 类型,因为这些类型都会用上渗透测试的技术和知识。其他的类型考题与渗透测试几乎没有直接的相关,只有与资讯科技技术相关;所以夺旗赛其实是一场游戏吧了。

有些人总会认为夺旗赛高手是渗透测试或网络空间安全高手,我不敢苟同。我个人认为夺旗赛高手未必是一个渗透测试或网络空间安全高手。正如网游军事射击高手未必是现实环境中的神射手或军事专家一样吧!

渗透测试人员或网络空间安全人员闲来玩玩夺旗赛来调剂一下生活是未尝不可的!

参与夺旗赛需要有基本的电算机和网络知识,尤以对 Kali Linux 等操作系统有一定程度的认识。

夺旗赛最基本的考题类型是谜题 (Jeopardy) 类型。它大致包括网站相关 (Web) 类型、逆向工程 (Reverse Engineering)、利用 (PWN,Exploitation)、编解码 (Cryptography)、安卓 (APK)、隐写 (Steganography)、法理取证 (Forensics) 等类型。

以下总结这些考题类型的所需主要基本技术知识要求和渗透测试相关的知识(若果适用的话)。

网站相关 (Web) 类型

主要基本技术知识要求 :

基本工具可供利用 :

涉猎渗透测试相关知识 :

逆向工程 (Reverse Engineering) / 利用 (PWN,Exploitation) 类型

主要基本技术知识要求 :

基本工具可供利用 :

涉猎渗透测试相关知识 :

编解码 (Cryptography) 类型

主要基本技术知识要求 :

安卓 (APK) 类型

主要基本技术知识要求 :

基本工具可供利用 :

隐写 (Steganography)

主要基本技术知识要求 :

法理取证 (Forensics)

主要基本技术知识要求 :

因为夺旗赛的基本门槛是非常高,所以大多数玩家都只能涉猎一至两个考题类型,如果能够涉猎所有类型考题的玩家是极其少数。夺旗赛玩家需要脑洞大开,因为几乎所有设计优质的考题只有一个解答方法,即是只有一个思路!

虽然是一场游戏,但是参与者都要全力以赴,Work Hard!Play Hard!

Hack The Planet!

Samiux
OSCE OSCP OSWP
二零二一年四月廿五日,中国香港

相关:

Home Projects Articles Apophthegm About