在过去的两个星期里,我已经在DEFCON 22 CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号,如CSAW, Pico CTF, Microcorruption或是其他的。通过实践、耐心和奉献精神,你的技能会随着时间而提高。

如果你对CTF竞争环境之外的问题有兴趣,这里有一些CTF比赛问题的集锦。挑战往往也是有多种不同的难度级别,注意解决最简单的问题。难易程度是根据你的个人技能的程度决定的,如果你的长处是取证,但是你对加密不在行,取证问题将会成为得分点而相比之下加密问题就会拖后腿。CTF组织者对此有同样的感知,这是为什么对于CTF比赛的评价是很大的挑战性。

如果你已经亲自尝试过几个基础问题且仍然苦恼,现在有很多自学的机会!CTF比赛主要表现以下几个技能上:逆向工程、密码学、ACM编程、web漏洞、二进制练习、网络和取证。可以从中选择并关注一个你已经上手的技能方向。

1、逆向工程。我强烈建议你得到一个IDA Pro的副本,这有免费版和学生认证书。尝试下crack me的问题。写出你的C语言代码,然后进行反编译。重复这个过程,同时更改编译器的选项和程序逻辑。在编译的二进制文件中“if”声明和“select”语句有什么不同?我建议你专注于一个单一的原始架构:x86、x86_64或是ARM。在处理器手册中查找你要找的,参考有:

《Practical Reverse Engineering》

《Reversing: Secrets of Reverse Engineering》

《The IDA Pro Book》

2、加密。虽然这不是我自己的强项,但这里有一些参考还是要看看的:

《Applied Cryptography》

《Practical Cryptography》

Cryptography I

3、ACM编程。选择一个高层次的语言,我推荐使用Python或Ruby。对于Python而言,阅读下《Dive into Python》和找一些你要加入的项目。值得一提的是Metasploit是用Ruby编写的。关于算法和数据结构的计算机科学课也要在此类中要走很长的路。看看来自CTF和其他编程的挑战,战胜他们。专注于创建一个解决方法而不是最快或是最好的方法,特别是在你刚刚开始的时候。

4、web漏洞。有很多的网络编程技术,在CTF中最流行的就是PHP和SQL。php.net网站(译者注:需翻墙)是一个梦幻的语言参考,只要搜索你好奇的功能。PHP之后,看到网页上存在的挑战的最常见的方法就是使用Python或Ruby脚本。主要到技术有重叠,这有一本关于网络安全漏洞的好书,是《黑客攻防技术宝典:Web实战篇》。除此之外,在学习了一些基本技术之后,你可能也想通过比较流行的免费软件工具来取得一些经验。这些在CTF竞争中也可能会偶尔用到,这些加密会和你凭经验得到的加密重叠。

5、二进制练习。这是我个人的爱好,我建议你在进入二进制练习前要完成逆向工程的学习。这有几个你可以独立学习的常见类型漏洞:栈溢出,堆溢出,对于初学者的格式字符串漏洞。很多是通过练习思维来辨别漏洞的类型。学习以往的漏洞是进入二进制门槛的最好途径。推荐你可以阅读:

《黑客:漏洞发掘的艺术》

《黑客攻防技术宝典:系统实战篇》

《The Art of Software Security Assessment》

6)取证/网络。大多数的CTF团队往往有“一个”负责取证的人。我不是那种人,但是我建议你学习如何使用010 hex editor,不要怕做出荒谬、疯狂、随机的猜测这些问题运行的结果是怎样。

最后,Dan Guido和公司最近推出了CTF领域指南,会对以上几个主题的介绍有很好的帮助。

(全文完)

如何开始你的CTF比赛之旅相关推荐

  1. php定时执行代码漏洞_在CTF比赛中发现的PHP远程代码执行0day漏洞

    众所周知,CTF比赛都是人为构造漏洞环境,人为制造安全漏洞,供安全从爱好者研究,好磨练和增强自己的安全技能. 参加CTF比赛,通常你需要明白出题人的想法,按照出题人的意图来解开谜题. 但是,就像所有的 ...

  2. ctf比赛/学习资源整理,记得收藏!

    最近CTF比赛很多,对于想学习或者参加CTF比赛的朋友来说,CTF工具.练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助. CTF在线工具 首先给大家推荐我自己常用的3个CT ...

  3. 5月全球CTF比赛时间汇总来了!

    ● 5月全球CTF比赛时间汇总来了! ● 从事网络安全行业工作,怎么能不参加一次CTF比赛了! 小编作为一个CTF比赛老鸟,以每次都能做出签到题为荣! 下面给大家分享一下5月份CTF比赛时间,比赛按时 ...

  4. ctf入门题库_「ctf比赛」web安全CTF比赛习题(初级) - seo实验室

    ctf比赛 一.Robot 访问URL,可以看到一张骚气十足的图片,然后就什么都没了...没了... 不可能啊,一张骚图片就想欺骗小编,想的太美(长得丑了) 题目说明写的是robot,想想多半是有猫腻 ...

  5. “百度杯”CTF比赛 2017 二月场 wp

    目录 爆破-1 爆破-2 爆破-3 include Zone OneThink misc 2 上古神器 爆破-1 flag在一个长度为6的变量里面 <?php include "fla ...

  6. “百度杯”CTF比赛 十一月场Look

    最近一直在刷百度杯的题目,感觉每个题目都能涉及到很多知识点,写点wp记录一下 进入后看见页面空白,这个时候一般用dirsearch扫一下,同时burp抓包看一下 看到响应头里有X-HT,这应该是一个提 ...

  7. “百度杯”CTF比赛 十月场 writeup

    "百度杯"CTF比赛十月场 Misc 那些年我追过的贝丝 我要变成一只程序员 剧情大反转 challenge 据说是rc4算法 try again 表姐家的签到题 泄露的数据 考眼 ...

  8. CTF比赛PWN题sgtlibc通用快速解题框架

    CTF比赛PWN题sgtlibc通用快速解题框架 安装 开源地址:https://github.com/serfend/sgtlibc 使用 pip install sgtlibc -U 安装pwn解 ...

  9. 1月全球CTF比赛时间汇总来了!

    ● 从事网络安全行业工作,怎么能不参加一次CTF比赛了! 小编作为一个CTF比赛老鸟,以每次都能做出签到题为荣! 下面给大家分享一下1月份CTF比赛时间,比赛按时间先后排序,国内国外的都有哦!临近新年 ...

最新文章

  1. vi 环境,跳转函数定义
  2. 优秀!这位70后硕士,入围中国工程院院士候选人!
  3. 提高C#编程水平的50个要诀[转载]
  4. Java高级:mysqllimit两个参数
  5. ubuntu下ffmpeg编译安装
  6. ASIHTTPRequest开源类项目导入问题及解决方法
  7. IntelliJ IDEA激活破解有效方法
  8. 编译技术算符优先分析课设c++_2020年河北省专接本理工类计算机科学与技术软件工程专业考试大纲...
  9. for循环使用后contains方法失去效果
  10. 《见缝插针》游戏开发记录
  11. 零基础如何自学编程?
  12. js检查ie低版本浏览器,并跳转更新页面
  13. 企业微信 php sdk,thinkphp5.0集成企业微信SDK
  14. 劳务派遣和灵活用工有什么不同?
  15. 华为用linux系统装eclipse,centos装eclipse
  16. 拼多多2020届数据分析面试题合集
  17. ECCV 2020开源项目合集 (ECCV 2020 paper list with code/data)
  18. javaScript基础面试题 ---闭包
  19. 2021全球与中国自动导引车市场现状及未来发展趋势
  20. 中国石油大学《安全系统工程》 ​​​​​​​第三阶段在线作业

热门文章

  1. BZOJ4373: 算术天才⑨与等差数列
  2. iOS 字符串加密至MD5
  3. Talairach空间、MNI空间、Native空间、Stereotaxic空间
  4. C#中关于处理两个大数相乘的问题
  5. python新手入门讲解-这是大多数新手入门之后强烈推荐的python自学入门指南秘笈...
  6. python可以做什么毕业设计-Python
  7. 学好python工资一般多少钱-学会Python后,月薪40k是什么水平?
  8. python爬虫软件-8个最高效的Python爬虫框架,你用过几个?
  9. python怎么导入时间-Python的import导入与时间
  10. python与excel结合-Python与Excel 不得不说的事情