【第 20 期】CTF 入门之 Misc 与 Web 初探

[miaotony]

简介

In computer security Capture the Flag (CTF), "flags" are secrets hidden in purposefully-vulnerable programs or websites. Competitors steal flags either from other competitors (attack/defense-style CTFs) or from the organizers (jeopardy-style challenges). Several variations exist, including hiding flags in hardware devices.

Security CTFs are usually designed to serve as an educational exercise to give participants experience in securing a machine, as well as conducting and reacting to the sort of attacks found in the real world (i.e., bug bounty programs in professional settings). Classic activities include reverse-engineering, network sniffing, protocol analysis, system administration, programming, cryptoanalysis, and writing exploits, among others.

Via Wikipedia

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式。

其大致流程是，参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容，并将其提交给主办方，从而夺得分数。为了方便称呼，我们把这样的内容称之为“Flag”。

Via 百度百科

在 CTF 中主要包含三种赛制，即解题模式（Jeopardy）、攻防模式（Attack-Defense）、混合模式（Mix）。

南京航空航天大学第五届信息安全技能竞赛 将于 2021年3月28日 13:00-18:00 在将军路校区举办，本次竞赛题目包含Web、逆向、Pwn和综合共四个类别，每个类别设置四道不同难度的题目，共十六道题目。采用国际国内信息安全竞赛中通行的CTF（夺旗赛）解题赛制进行比赛。

信息安全技能竞赛要求的知识领域包括但不限于以下方面：安全意识、系统安全、软件逆向、漏洞挖掘和利用、密码学原理及应用、安全部署、安全检测、安全分析、安全运管、安全开发与测试，以及相应的实践操作能力。

（呜，别被上面的吓到喵~

借此机会，本次分享将从 CTF 中的 Misc 和 Web 方向 切入，结合自己的体会，对比赛中的一些常见知识点进行讲解介绍，希望能给大家普及一些信息安全领域的小知识。

当然，基本定位是对新手友好哒。可能顺便还能透透题（bushi

大纲

• CTF 简介
• Misc 方向初探
• Web 方向初探
• etc.

讲者

MiaoTony，A2OS member，Asuri 战队成员，划水摸鱼选手，喵喵~

Blog: https://miaotony.xyz/
GitHub: @miaotony

分享时间

2021-03-20 18:30 UTC+8

分享地点

将军路校区 6101

预备材料

• CTF WIKI

归档资料

Slides

备注

由于分享时间有限，而比赛以及实际生活中涉及的领域又巨大量，本次分享可能只是起到一个启发性的作用，更多的还需要大家慢慢去感悟吧……

（希望不会劝退不会劝退不会劝退

[Triple-Z]

这两期可以更新一下 README 哈~

[miaotony]

这两期可以更新一下 README 哈~

updated