GZY-CTF竞赛平台
#一、CTF起源
##CTF(Capture The Flag)中文一般译作夺旗赛,原为西方传统运动,即两队人马相互前往敌方的基地夺取旗帜。这恰如“黑客”在竞赛中的一攻一防,因此在网络安全领域中被用于指代网络安全技术人员之间进行技术竞技的一种比赛形式,其形式与内容体现了浓厚的黑客精神和黑客文化。
##CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。作为CTF赛制的发源地,DEFCON CTF也成为目前全球技术水平和影响力最高的CTF竞赛,类似于CTF赛事中的“世界杯”。
##CTF的大致流程是,参赛团队之间通过攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这串内容称为“flag”。近年来,随着网络安全越来越受到国家和大众的关注,CTF比赛的数量与规模也发展迅猛,国内外各类高质量的CTF竞赛层出不穷,CTF已经成为学习、提升信息安全技术,展现安全能力和水平的绝佳平台。
#二、竞赛模式
##在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与。这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛,选手自由组队(人数不受限制)。题目主要包含六个类别:RE逆向工程、Pwn漏洞挖掘与利用、Web渗透、Crypto密码学、Mobile移动安全和Misc安全杂项。
##攻防模式(Attack-Defense)在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,通过挖掘网络服务漏洞并攻击对手服务来得分,通过修补自身服务漏洞进行防御来避免丢分。攻防模式通常为线下赛,参赛队伍人数有限制(通常为3到5人不等),可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负。这是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。
##混合模式(Mix)结合了解题模式与攻防模式的CTF赛制,主办方会根据比赛的时间、进度等因素来释放需解答的题目,题目的难度越大,解答完成后获取的分数越高。参赛队伍通过解题获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。
#三、竞赛内容/方向
##Reverse
逆向工程类题目需要对软件(Windows、Linux平台)的结构、流程、算法等进行逆向破解,要求有较强的反汇编、反编译的功底。主要考查参赛选手的逆向分析能力。所需知识:汇编语言、加密与解密、常见反编译工具。
##PwnPwn
在黑客俚语中代表着攻破,获取权限,由“own”这个词引申而来。在CTF比赛中它代表着溢出类的题目,常见的类型有整数溢出、栈溢出、堆溢出等。主要考查参赛选手对漏洞的利用能力。所需知识:C、OD+IDA、数据结构、操作系统。
##Web
Web是CTF的主要题型,涉及许多常见的Web漏洞,如XSS、文件包含、代码执行、上传漏洞、SQL注入等。也有一些简单的关于网络基础知识的考察,如返回包、TCP/IP、数据包内容和构造。可以说题目环境比较接近真实环境。所需知识:PHP、Python、TCP/IP、SQL。
##Crypto
密码学类题目考察各种加/解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术,以及一些常见的编码解码。主要考查参赛选手密码学相关知识点,通常也会和其他题目相结合。所需知识:矩阵、数论、密码学。
##MobileMob
Mobile类题目主要涉及Android和iOS两个主流移动平台,以Android逆向为主,破解APK并提交正确flag。所需知识:Java、Android开发、常见工具。? MiscMisc即安全杂项,题目涉及隐写术、流量分析、电子取证、人肉搜索、数据分析、大数据统计等,覆盖面比较广。主要考查参赛选手的各种基础综合知识。所需知识:常见隐写术工具、Wireshark等流量审查工具、编码知识。
##各方向需要掌握的知识:
##声明:以上内容装载于《CTF权威指南pwn篇》
#四、主要比赛
##这里主要介绍教育部、教育厅举办的比赛;
##全国大学生信息安全竞赛
##简称“国赛”,由教育部高等学校信息安全专业教学指导委员会主办,目的在于宣传信息安全知识;培养大学生的创新精神、团队合作意识;扩大大学生的科学视野,提高大学生的创新设计能力、综合设计能力和信息安全意识;促进高等学校信息安全专业课程体系、教学内容和方法的改革;吸引广大大学生踊跃参加课外科技活动,为培养、选拔、推荐优秀信息安全专业人才创造条件。竞赛时间一般为每年的3月至8月。
##竞赛分为技能赛和作品赛两种。其中,技能赛采取CTF模式,参赛队伍通过在预设的竞赛环境中解决问题来获取flag并取得相应积分。初赛为在线解题模式,决赛为线下实战模式。作品赛以信息安全技术与应用设计为主要内容,竞赛范围定为系统安全、应用安全(内容安全)、网络安全、数据安全和安全检测五大类,参赛队自主命题,自主设计。
官网
##全国职业院校技能大赛-信息安全管理与评估
##江西省职业院校技能大赛-信息安全管理与评估
##赣育杯
由省教育厅、省委教育工委、国家计算机网络应急技术处理协调中心江西分中心主办的2022 年江西省首届“赣育杯网络安全大赛”。
##江西省大学生科技创新竞赛信息安全技术大赛
##江西省职业院校技能大赛春季赛网络安全技能竞赛(高职组)
#五、CTF竞赛平台介绍:
动态靶场:
入口:http://ctf.guozk.cn/
##由于docker端口和frp映射端口存在设计缺陷,所以实际上端口范围在51110-51115之间,就6个端口,用工具也行,盲猜也行,只有这6个端口才能访问题目。
##如果访问出现:Error: Network Error
##请看这篇文章:
https://blog.csdn.net/tianpeng1996/article/details/125868170
静态靶场:
入口:http://172.16.91.36:4750
##平台主要分为静态靶场和动态靶场两种模式;
##动态靶场主要为动态flag,通过启动镜像来完成打靶。
##静态靶场主要为离线解题,通过下载附件来解题,pwn、re方向的逆向、解密、栈溢出较多。
##不同于AWD实时对抗
##平台基于docker容器虚拟化驱动,通过调用docker api实现前后端交互
##存在的不足:由于MySQL性能调度、机械硬盘读写速度带宽有限,可能会存在一些卡顿的现象。
##平台架构图: