CTF选手是如何变“胖(PWN)”的?
2021-06-08 15:59:24 Author: mp.weixin.qq.com(查看原文) 阅读量:216 收藏

这是一场紧张的比赛,现场激情解说:

“SP的战队率先发起攻击,可惜被K&K战队以三行代码轻松拦截!”

“哇哦,SP战队依旧紧追猛打,在几秒之内就找到了对方漏洞所在,极速完胜对手!”

“天哪,SP战队再次找到K&K服务器防御漏洞!”

电视剧为了渲染效果,喜欢把CTF搞得跟电子竞技比赛一样,如果你真以为CTF比赛就是电视剧中“现男友”展现的这样:

(图片来源于某电视剧截图)

还有这样:

(图片来源于某电视剧截图)

那就大错特错了!CTF比赛并不是一个电竞项目,真实的CTF是这样的:

(图片来源于XNUCA比赛现场图)

真正的CTF赛事与一般的电竞赛事相比较具有更高的专业性和技术性,CTF赛事本身具有一定的门槛性。

CTF,它最初的源头是全球黑客大会。这也就是说,参加比赛的选手,不是职业电竞选手,而是真正的职业竞技黑客,他们比拼的是各自作为黑客的技术。

如果说电竞选手是在规定好的框架内比拼技术,而黑客却是能够突破程序限制,自由攻占服务器的游戏制定者。

什么是CTF?

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。

 (图片来源于网络)

CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,CTF已经成为全球范围网络安全圈流行的竞赛形式。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。

什么是PWN?

PWN在黑客俚语中代表着攻破,获取权限,发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——的一声,被“黑”的电脑或手机就被你操纵了。“PWN”自“own”这个字引申出来,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下。有一个非常著名的国际赛事叫做Pwn2Own。

 (图片来源于网络)

在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有整数溢出、栈溢出、堆溢出等。主要考查参赛选手对漏洞的利用能力。所需基础:大学计算机基础、c语言、汇编语言、操作系统等。

CTF中的PWN题型通常会直接给定一个已经编译好的二进制程序(Windows下的EXE或者Linux下的ELF文件等),然后参赛选手通过对二进制程序进行逆向分析和调试来找到利用漏洞,并编写利用代码,通过远程代码执行来达到溢出攻击的效果,最终拿到目标机器的shell夺取Flag。

为什么要学CTF?
1
刺激!成就感爆棚

“惊退万人争战气”“衔得锦标第一归”!当你夺得“一血”拿下比分,完美突破对手的防线,成功抵御“敌人”的进攻,这种来自竞技的魅力让人热血沸腾。如果想感受竞技比赛的刺激、体会技能比拼的成就感和趣味性CTF就是一个很好的选择

2
合理合法的练习环境

随着《网络安全法》的公布,实网安领域刚入门的小白越来越难找到真实、合法的环境来训练自己的技能CTF的出现,正好弥补了这个空白,为大家提供了一个合理又合法的练习环境。

3
拓展安全知识面

CTF的题目一般由多个知识点相互糅合,相对来说目标性比较强。CTF对网安人员的意义还在于拓展了从业者安全知识面,以及获得通过实战式应用所学到的安全知识。工作中遇到的有些问题可以用 CTF中涉及的知识解决。

4
奖金丰厚

CTF赛事的奖金很可观。打CTF比赛不仅能挣钱,还能充分展示自己的技术水平,树立个人在网安业界的影响力。

国内部分CTF奖金设置(数据来源于网络)

5
名企招聘看重的经历

目前,相关企业招聘普遍看重CTF大赛获奖经历,安全名企大厂也经常会通过组织CTF竞赛发现人才,收揽人才

(图片来源于某招聘网站)

在学习CTF的过程中,你是否遇到了这样的情况:

  • 下定决心想要学习CTF,不知道从哪里开始?

  • 找了一堆CTF相关的知识学习,但是知识点太凌乱,没有系统的学习规划。

  • 理论知识学了不少,想学CTF PWN技能,但没有实操演练环境。

针对想要入门CTF PWN的相关专业在校学生,以及希望通过学习和实训,可以独立实操解决一些CTF PWN题目的CTF初学者,蚁景网安特推出CTF实战讲师内训课——CTF PWN实战技能特训班

讲师介绍:

课程导师-s3cunDa
CTF-PWN课程核心负责人

前Lilac战队成员

参与过多次CTF比赛
擅长CTF领域的PWN

pwnable.tw Ranked 75th

6周学习,你可以收获什么?

01

掌握30+ CTF PWN实战技能,为参加CTF实战比赛打好基础。

课程涵盖CTF PWN技能基础,包括汇编语言、ELF文件格式、LINUX延迟绑定机制、函数调用流程、栈溢出原理以及利用、ROP编写、LINUX动态内存管理机制、堆漏洞分析与利用、iofile利用手法、线下赛AWD模式的patch技巧等。

02

20+随堂实战训练&30+课后实操作业,切实提升CTF PWN实战能力。

课程提供20+随堂实战训练,以及30+课后实操作业,确保学员“听课1 小时,实战4小时”,通过课程实战训练切实提升CTF PWN技能应用能力。

03

畅学1400+网安靶场实验,提升多方面网安实操技能。

可在合天网安实验室畅学1400+网安实验,包括CTF赛前指导、漏洞挖掘与利用、最新网安漏洞复现、网安工程师职业技能学习等,学习形式包括:虚拟实验机、指导书、视频等,让你从多方面提升,真正成为企业所需的网安实践技能人才。

具体学些什么?

为什么选择我们?
理由一:一个机遇——名企岗位内推

通过毕业考核的学员,颁发优秀学员证书,获得知名安全企业至少3次以上的内推机会。

理由二:一个保障——开课前随时退

如果你购买了课程,但是觉得课程不适合你,可在开课前无条件退款

理由三:一套服务——开课到结课再到就业,一整套服务

在线直播、高清录播、6周集训、CTF实战分享、合天网安实验室2个月畅学会员(价值278元)、班主任1V1陪读、职业辅导、简历指导、200家安全企业内推。

理由四:独家“特训班”模式:
1、全程直播实战精讲

全程直播实战精讲+高清录播永久可看,绝无一笔带过,每个知识点、实战演示、代码敲写等学员都可针对性提问。

2、随堂实战练习+课后实操作业巩固

每节课老师都会带大家进行随堂实战练习,课后设置实操作业加以巩固,结课设置毕业考核,帮你查缺补漏,确保学员学习效果最大化。

3、专属班主任全程教学服务

班主任1V1督学点评,每天考核学员到课率,帮助你一起应对日常那些散漫状态、懒惰本能和畏难情绪,拉开你和同水平学员之间的差距。

4、就业推荐服务

通过毕业考核的学员,颁发优秀学员证书,并获得至少3次知名安全企业岗位内推机会。如学员有需求,还可免费加入下一期学习。

厉害了!你竟然读到了这里,那就送个福利给你吧:

扫描加微信,立即领取4节CTF PWN免费试听课!

 

👆扫码添加班主任👆

“阅读原文”马上开启CTF世界!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5MTYxNjQxOA==&mid=2652876780&idx=1&sn=3e1881e6a9fff02089db4b434e44c8b2&chksm=bd59d3218a2e5a377b24caa325c449984213f4ecff35cb23c1677a13171ed4563cc022b741b0#rd
如有侵权请联系:admin#unsafe.sh