Home | Projects | Articles | Apophthegm | About |
夺旗赛 (CTF) 入门 (三)
上回谈到如何获得基础知识和丰富解题思路。今回最终回讨论一下坊间有那些种类的夺旗赛,其与网络空间安全专业考试或渗透测试人员的职业生涯有何关係。
现在坊间流行有两大类的夺旗赛,它们是 Hack The Box、VulnHub 类和 CTFTime 类两大种类。它们在解题时在方向方面有着很大的区别,Hack The Box 类主要获取系统最高权限即 root 旗帜 (root flag);而CTFTime 类其主要目的只是获取旗帜 (flag)。Root 是系统的最高权限,而 CTFTime 类的旗帜不一定是系统的最高权限。
Hack The Box 类在获得 root 旗帜之前是需要提权 (Privilege Escalation) 的;但 CTFTime 的是不需要,有可能只要编写一下小程序就可以获得了。这在解题上有这样的思路上的分别,而在现实的渗透测试中,大都是需要获取系统的最高权限的。
渗透测试人员大多会采用 Hack The Box 类的「容易」程度至「中等」程度的作为靶机、靶场,因为「艰难」程度的就太过 CTF 了,太脱离现实了。但「容易」和「中等」程度的靶机都会有着 CTF 的影子,这就要大家适应一下了。
至于知名的网络空间安全的专业试 OSCP 又如何呢?其实在其课程的实验室 (Lab) 中都有一些 CTF 的影子,但这只是占据一部份的靶机吧了,其都是以提权获取系统最高权限的为主。
Hack The Box 类和 CTFTime 类都只是一场游戏,它们在思路上有一定的分别。最后,无论是渗透测试抑或是夺旗赛,参与者都需要了解所有的现在已知的漏洞,因为这有可能会在工作上或游戏中出现呢。
Root is dancing!
Samiux
OSCE OSCP OSWP
二零二一年四月廿五日,中国香港
相关:
Home | Projects | Articles | Apophthegm | About |