2020-1-11 //CTF入门

CTF入门

今天主要是学习了解CTF。

一、什么是CTF?
总而言是这种赛事就是通过技术手段(pwn 逆向分析 decode等)从 程序或者数据中 找到关键的字符串(flag)并正确提交。

二、CTF比赛主要类别
解题模式
解题模式(Jeopardy)常见于线上选拔比赛。在解题模式 CTF 赛制中,参赛队伍可以通过互联网或者现场网络参与,参数队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战获取相应分值,根据总分和时间来进行排名。
不同的是这个解题模式一般会设置 一血 、 二血 、 三血 ,也即最先完成的前三支队伍会获得额外分值,所以这不仅是对首先解出题目的队伍的分值鼓励,也是一种团队能力的间接体现。
攻防模式
攻防模式常见于线下决赛。在攻防模式中,初始时刻,所有参赛队伍拥有相同的系统环境(包含若干服务,可能位于不同的机器上),常称为 gamebox,参赛队伍挖掘网络服务漏洞并攻击对手服务获取 flag 来得分,修补自身服务漏洞进行防御从而防止扣分(一般来说防御只能避免丢分,当然有的比赛在防御上可以得分)
混合模式
结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

三、CTF题目类型
Web 网络攻防
sql注入,xss,文件上传,包含漏洞,xxe,ssrf,命令执行,代码审计等。
Resever 逆向工程
逆向,破解程序的算法来得到程序中的flag,对抗反调试,代码混淆等。
Pwn 二进制漏洞利用
攻击远程服务器的服务,会提供服务程序的二进制文件,分析漏洞并编写exp,栈溢出,堆溢出,绕过保护机制(ASLR,NX等)
Crypto 密码攻击
各种编码的解密 base64 摩斯密码 ASCII编码等等
Misc 安全杂项
杂项,取证,编解码,加解密,隐写,图片处理,压缩包,编程…

四、CTF的基础学习
linux
会基础操作因为要用到kali
掌握一些常用的基础命令
Python
做一些题目
可能会用到相关的库 写脚本
需要用脚本跑出密码等
PHP
能看懂就行
做题以及平常中掌握一些特殊的函数
相关工具的使用
binwalk 、 burpsuite 、 dd 、 strings 、 wireshark 、 IDA pro 等等
etc

做题,看write up
初学可以先做misc(杂项)和crypto(密码) 因为相对来说简单一些 好上手 可以看看别人总结的一些博客 找一些相关的资料。
兴趣是最好的老师:学到的一些骚操作,最终得到flag的满足。
写博客:可以在csdn或其他平台注册账号或者自己搭一个博客(需要购买域名和服务器)
https://www.moerats.com/archives/896/
提问:https://www.dianbo.org/9238/stone/tiwendezhihui.htm
科学上网:谷歌
做题平台
BugKu:https://ctf.bugku.com/

网络信息安全攻防学习平台:http://hackinglab.cn/

攻防世界:https://adworld.xctf.org.cn/

CG-CTF(南邮):https://cgctf.nuptsast.com/

BUUCTF:https://buuoj.cn/

你可能感兴趣的:(网络安全学习记录)