下面请CTF比赛高手聊聊CTF夺旗赛的经验 来大家坐好 听听CTF攻防比赛思路和经验总结

2016年9月， Facebook公开自己的CTF夺旗比赛平台源码 界面功能看起来朴素实用 似乎还有教学模式 ，详细的介绍看后面的文章，有两家CTF平台的介绍。要想玩CTF，需要进阶到高级玩家，需要熟练掌握的知识包括语言运用、Web安全、安全加固、密码算法及网络取证，这其中CTF高手提到要想玩好，需要在四个方面多留点心眼，多跟自己队友交流聆听，不断提升自己的学习能力，注意加强合作分工，赛后的总结分享非常重要。

在前面，让我们先来看看CTF夺旗赛的介绍。

什么是CTF夺旗赛

Capture The Flag（简称CTF），翻译为“夺旗比赛”，起源于1996年举办的DEF CON全球黑客大会，最早是交流安全技术的重要途径，发展至今已有21年的历史，是目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯” 。

随着安全攻防技术的发展，CTF比赛也逐渐演变成为信息安全技术竞赛的一种形式，发展成为全球网络安全圈最流行的一种竞赛模式，其比赛形式与内容拥有浓厚的黑客精神和黑客文化。

近年来，CTF比赛的数量与规模发展迅猛，国内外各类高质量的CTF竞赛层出不穷，CTF已经成为了学习提升信息安全技术，展现安全能力和水平的绝佳平台。

CTF基础知识

语言运用 ：计算机语言可以大致分为机器语言，汇编语言，高级语言，计算机每进行的一次动作，一个步骤，都是按照计算机语言编好的程序来执行。而在CTF比赛中，计算机语言的了解与掌握会有事半功倍的效果，进程的动态调试、防护脚本的编写、源代码审计等工作都是建立在对计算机语言有所掌握的基础上进行的。

Web安全 ：目前国内大多数CTF比赛都以Web安全为主，但是Web安全涉及的内容非常广泛，就典型的Web服务来说，其安全问题可能来自于Web服务器、数据库、Web程序本身与开发语言等。了解一个Web应用的组成架构、装载与配置、指令操作及组件缺陷，是参赛者知识储备环节中不可或缺的部分。

安全加固 ：安全领域的精髓在于攻防，在CTF比赛也是同样的道理，比赛成绩不仅取决于在有效的时间内拿下多少flag，还取决于能抵御多少次外来攻击。有一些比赛队伍不注重或者不善于漏洞加固，即使得到很多分数，但是优势还是会被慢慢的蚕食掉。所以，了解漏洞的产生原因、减小漏洞的影响范围以及行之有效的安全加固也是一个成功队伍的重要能力。

密码算法 ：参赛者需要了解主流的密码算法，如对称密码、公钥密码、流密码、哈希密码算法等。在不断的攻防对抗中，一些关键信息或者突破口，往往会通过算法的加解密将它们“隐藏”起来增加解题难度。此外还会伴随着弱口令尝试，密码字典的暴力猜解等。

网络取证 ：对于网络攻击行为的溯源分析、漏洞挖掘过程中的抓包分析往往是很多参赛队伍在攻防对抗中忽略的问题，能够在最短的时间内抓到线索并做出行之有效的响应，这方面的能力也就成为了高手和顶尖高手之间的分水岭，古人常说：“天下大事，必作于细；天下难事，必成于易”，我想应该就是这个道理。

CTF比赛模式

解题模式 ：大多数为线上比赛，选手自由组队（人数不受限制），出题者把一些信息安全实战中可能遇到的问题抽象成一个题目，比如一个存在漏洞的网站让选手入侵，一个有漏洞的程序让选手分析来写出漏洞利用程序，一段密文让选手解密，一个图片选手你从里面找出隐藏的线索等等。在完成这些出题的题目后，可以获得一串奇怪的字符串，也就是所谓的flag，提交它，就能获得这道题目的分数。

攻防模式 ：大多数为线下比赛，参赛队伍人数有限制（通常为3到5人不等），参赛队伍保护自己的服务器，攻击其他队伍的服务器，每个队伍的服务器开始拥有相同的配置和缺陷，比如几个有漏洞的二进制程序、有漏洞的Web应用、某些权限账户弱口令等等，然后队员需要找出这些漏洞并进行加固，同时利用这些漏洞来攻击别人的服务器，拿到其他队伍的权限后，会获取到相应flag后提交，从对方身上赚取相应的分数，每隔一段时间后，可以再次攻击并利用未加固的漏洞获取flag并赚取分数。

混合模式 ：解题模式和攻防模式同时进行，解题模式可能会根据比赛的时间、进度等因素来释放需解答的题目，题目的难度越大，解答完成后获取的分数越高；攻防模式会贯穿整个CTF比赛的始终，参赛队伍需不断积累分数，最终参数队伍的名次由两种模式累积的分数总和决定。有些有趣的CTF比赛，还会引入一些情景剧情和现场观众的互动，来增加比赛的趣味性。

CTF比赛经验

交流聆听 ：CTF比赛通常强度都很大，少则几小时多则好几天，即使是特别要好的队友，也难免会有意见与思路不统一的时候，这个时候与队友的交流和聆听则显得尤为重要。一句温馨的关怀，一个会心的微笑甚至一个肯定的眼神都会让你的队友倍感温暖，正面的交流与聆听会鼓励大家共同前进，克服困难。

学习能力 ：CTF比赛中的题目与攻防手段往往没有特定的规律，因此更看重人临场的快速学习以及把理论付诸实践的能力，而并非大量的知识储备。一定的知识量储备肯定是必要的，但并不能期望完全依靠知识储备来获得胜利。

合作分工 ：CTF的成绩主要还是看团队的综合实习。就如学生时代的中考高考一样，考核的总分成绩，往往各个科目都比较好的人才能获得比较高的成绩。如果队伍成员都是只擅长Web安全，其他领域涉及很少，就算研究Web安全研究的再精通也取得不了好名次，一个团队中既要有攻城拔寨的急先锋，也同样需要留守加固的中流砥柱，需要尽可能的面面俱到。

总结分享 ：通常专业的CTF队伍人员会比较稳定，如果想通过比赛的历练成为顶尖队伍，除了上述几点外，比赛过后以及日常的分享总结也是非常重要的。无论取得怎样的成绩，相信每一个队员心里都会有困惑或者看法，那么赛后队员坐在一起进行讨论、分析、总结不仅可以拉近队员间的感情，提升团队凝聚力，还可以收获更多的经验与心得。

CTF攻防平台

Facebook CTF平台

Facebook的CTF平台具备进行黑客大赛所需要的一切，包括游戏地图、团队登记和评分系统。还可以按需提供逆向工程逆向工程、Web应用安全、取证、二进制开发和加密等挑战。用户还可以使用Facebook CTF平台定制或自定义挑战项目。

挑战分为以下两类：计算机安全方面的小问题，以及漏洞利用和黑客方面的标记问题。标记挑战要求参与者完成一项诸如转储数据库、获取系统外壳或操纵应用程序等任务。

“通过CTF平台，你可以学习到常规计算机科学项目中学习不到的技巧。此外，这个平台还帮助你进入安全行业。”Facbook威胁基础设施团队的软件工程师Gulshan Singh说。“在开始找全职工作时，我发现安全职位的面试很像CTF挑战，有了后者的经验，我可以更好地展示技能。第一天入职我就让人感觉非同凡响。”

怎么使用FBCTF

• 可以组织一场比赛，最少2个人，最多数百人。参赛者可以在本地或者在线，或者两种形式均可。
• 按照安装说明来设置平台基础架构
• 输入challenges进入管理界面
• 参赛者注册为战队
  • 如果是一场封闭的比赛 :
    • 在管理页面，生成并导出令牌，然后分享给核准的团队，然后引导参赛者到注册页
  • 如果是一场开放的比赛:
    • 直接引导参赛者到注册页面

Facebook CTF源码下载

CTF平台可以搭建在运行Ubuntu操作系统的系统（物理机或虚拟机）上。Facebook已提供了关于如何安装和使用平台的说明。下载地址在这里：https://github.com/facebook/fbctf/

绿盟科技CTF平台

绿盟科技信息安全攻防实训与竞技产品，包括绿盟科技信息安全实训平台和绿盟科技信息安全竞技平台，如下图所示：

整体框架如上图所示，产品特性说明如下：

• 整体方案采用B/S架构对外提供新安全课件培训、实验训练和攻防保障服务。使用人员可以结合自身情况，灵活选取远程在线和线下面对面的实时教学形式。
• 两个平台可以支持进行课件培训、实验训练和攻防保障三大功能。课件培训主要以课件宣讲为主，实现信息安全知识的直接传递；实验训练以安全攻防模拟操作实验为主，使得被培训对象对安全技术的建立直观印象；攻防保则主要为被培训对象提供攻防的虚拟环境，实际检验被培训对象的安全水平。
• IT支撑基础资源主要包括安操作系统、数据库、中间件、网络设备和安全设备等，通过与虚拟技术相结合，用以保障上层的实训场景和竞技场景。

A . 绿盟信息安全实训系统 ： ISTS -Information Security Trainning System，为信息安全培训、教学及科研提供一个完整的、一体化的实验教学环境。打造全方位的专业信息安全实验室。主要建设内容包括以下内容：

• 通过各种形式的信息安全意识教育实践、培训及宣传，使得信息安全意识融入到生活工作中，变成一种常态化的工作。
• 以理论学习为基础，结合最全面最专业的实训，增加被培训对象对信息安全诸多领域的深入理解。提供多个方面的实验、实训及工程实践，涵盖多层次的实验操作，以真实环境的真实案例为操作指南，贴近实际岗位能力要求，提供完整的实验教学环境。

B . 绿盟信息安全竞技系统 ： ISCS -Information Security Competition System是围绕信息安全理论和知识，组建的信息安全对抗技能实战赛。也可以承载信息安全对抗攻防演练项目，考察攻防演练者网络安全理论知识与实际问题处理能力，旨在借助攻防演练培养一批具备信息安全素养的优秀实战专业的安全人员。

安全攻防竞赛平的攻防竞赛模式可以分为单兵作战挑战赛、分组对抗赛、网络靶场及网络混战四种形式。