存档

文章标签 ‘黑客比赛’

CTF领域指南

2015年2月15日 没有评论

原文:https://trailofbits.github.io/ctf/

翻译:做个好人

译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。

“Knowing is not enough; we must apply. Willing is not enough; we must do.” (仅仅知道还不够,我们必须付诸实践。仅有意愿还不够,我们必须付诸行动。)

—— Johann Wolfgang von Goethe

欢迎!

很高兴你能来到这里,我们需要更多的像你这样的人。

如果你想拥有一种能够自我防卫的生活,那就必须像攻击者那样思考。

所以,学学如何在夺旗比赛(CTF)中赢得比赛吧,这种比赛将专业的计算机安全活动规则进行了浓缩,且具有可客观评判的挑战题。CTF比赛趋向关注的主要领域是漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术(tradecraft)。

无论你想赢得CTF比赛,还是想成为一名计算机安全专家,都至少需要擅长这些方面中的其中之一,理想情况下需要擅长所有这些领域。

这就是我们编写此手册的目的。

在这些章节中,你[……]

阅读全文

如何开始CTF比赛之旅

2014年6月20日 没有评论

原文:http://www.endgame.com/blog/how-to-get-started-in-ctf.html

翻译:赵阳

在过去的两个星期里,我已经在DEFCON 22 CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号,如CSAWPico CTFMicrocorruption或是其他的。通过实践、耐心和奉献精神,你的技能会随着时间而提高。

如果你对CTF竞争环境之外的问题有兴趣,这里有一些CTF比赛问题的集锦。挑战往往也是有多种不同的难度级别,注意解决最简单的问题。难易程度是根据你的个人技能的程度决定的,如果你的长处是取证,但是你对加密不在行,取证问题将会成为得分点而相比之下加密问题就会拖后腿。CTF组织者对此有同样的感知,这是为什么对于CTF比赛的评价是很大的挑战性。

如果你已经亲自尝试过几个基础问题且仍然苦恼,现在有很多自学的机会!CTF比赛主要表现以下几个技能上:逆向工程、密码学、ACM编程、web漏洞、二进制练习、网络和取证。可以从中选择并关注一个你已经上手的技能方向。

1、逆向工程。我强烈建议你得到一个IDA Pr[……]

阅读全文

PHDays夺旗比赛(CTF)决赛比赛规则

2013年5月29日 没有评论

原文:PHDays宣传手册

翻译:章典

PHDays夺旗比赛决赛名词解释

比赛镜像(Game image)

一个预装有漏洞服务的虚拟机镜像。比赛开始时,会向每个团队提供相同的比赛镜像。每个团队在比赛时对镜像文件均拥有绝对控制权,且镜像由每队自行管理。

回合(Rounds)

比赛分为几个环节,每个环节之间的间隔时间相同。

服务(Service)

比赛镜像中预装有一个含漏洞的应用程序。参赛团队要在整个比赛过程中保证服务的运行以获取资源。每一个回合中,运行的服务都会提供给团队一些资源。利用服务的漏洞,每个团队可以夺取对手的部分资源。评审团利用checker程序控制每个团队服务的可操作性。

公共服务(Common service
在服务器上安装的含漏洞的应用程序,由评审团管理。团队可以从公共服务中获得金币。每个旗子都有固定价位。

Checker

由评审团执行用于特别任务的脚本。Checker在比赛每个回合运行一次,用以控制服务的可操作性,并添加新的旗子到比赛镜像中。

旗子(Flags)

在服务环境或者是任务中包含的机密数据。服务程序中的旗子在每个回合中由checker更新一次。未经授权的用户可以利用服务程序漏洞获取旗子,并将旗子交给评审团,以此证明团队攻击成功。此外,获得的旗子也可以证明任务已经完成。

任务(Tasks)

具有唯一答案(一[……]

阅读全文

分类: 安全活动 标签: ,