哈囉大家好 歡迎收看駭客貓咪的文章~
這篇文章其實就是我Youtube影片的文字稿而已啦XD
影片連結:
https://www.youtube.com/watch?v=wvLOKwtSKlY
今天的內容是來跟大家介紹甚麼是CTF,
CTF是Capture The Flag (CTF)的縮寫,
翻成中文就是搶旗賽的意思,是由古代軍事戰爭演變而來的一詞彙。
軍旗在戰場上象徵兩軍戰況,當有一方軍旗被敵軍奪取或落在地上,代表該方戰敗。
現今提到CTF 其實多是指是資訊安全領域中的駭客攻防競賽,
攻防競賽,對的沒有錯!
其實呢它就是一種遊戲 ,一種比賽。
主要有兩種模式:
Jeopardy 解謎式
Attack and Defense 攻擊與防禦
競賽內容同時考驗對系統安全、binary、密碼學以及程式設計的功力
Jeopardy
首先剛提到第一種 Jeopardy,
名稱來自美國 1960 年代的智力問答節目,
就是就是平民百萬富翁裡面的電視節目,或是像是百萬小學堂,或是密室逃脫。
在有限的題目中,所有隊伍比賽解題的數量與速度。
怎麼樣算是解出來呢?其實通常就是解出來之後你會找到一組flag,
這個flag通常會是文字的形式,但是不限定,它可能會是任何的形式,
主辦單位會說明是甚麼樣的形式或是格式。
常見的題目類型有:
Web, Reverse、 Pwn、 Crypto、 Forensics、 Misc。
Attack and Defense
第二個呢,Attack and Defense 相較於 Jeopardy 就更殘酷刺激了許多,
主辦單位會為所有參加的隊伍準備需要守護的伺服器,
這台伺服器上會有網站,網路服務或其他特殊用途的服務。
每個服務都有數個漏洞,漏洞可能只是簡單的資訊泄露,阻斷服務;
也可能是一個嚴重的漏洞讓客戶端可以在伺服器上執行任意指令。
並且在主機上會放有flag。
參賽的隊伍需要做的事情,就是守護好自己的伺服器,修補漏洞,
防止其他參賽者偷取你的Flag,
然後打進對手的伺服器偷取flag,把對手的Flag遞交到主辦單位。
守護好自己的伺服器必須要能正常提供服務。
若服務沒有正常運作,每一回合都會扣分,扣的分數平均分配給服務正常的隊伍。
而正常運作的服務若沒有將漏洞補上,就可能會被其他隊伍偷取伺服器上的flag。
只要被搶走 flag,該回合一樣被扣分。
這樣的比賽模式相較 Jeopardy ,更為接近真實的攻防環境。
CTF競賽
一般我們線上看到提供CTF的網站,幾乎都是 Jeopardy 形式的,
包含之後我這邊會解題的picoCTF也是。
通常大型活動的競賽,多數為混合,
有 Jeopardy 也有 Attack and Defense,
像是比較知名的就是DEF CON CTF。
這邊順便介紹DEFCON,其實就相當於資訊安全界公認的世界盃,
提到這個世界盃 一定就要提一下,
台灣曾經在2014年和2017年獲得第二名的佳績。
King of the Hill
另外也有少見的King of the Hill形式,
第三種形式的King of the Hill 跟 Attack & Defense 有點類似,
不過每個隊伍一開始不會擁有主機,
而要把主辦方提供的主機打下來然後寫入自己的Flag,
參賽者要守護已經打下來的主機,不被其他隊伍搶走,
就是以各個攻擊者以占領服務的時間多寡來決定分數高低,
占領伺服器的時間越久,得分也就會越高。
CTFTime
CTF 於近幾年蓬勃發展,2011 年俄國戰隊架設了一個提供 CTF 資訊的網站,
CTFTime 的設計了結合全球主要 CTF 賽的世界排名積分制度,
如果大家想了解全世界有哪些戰隊,其實也可以從這邊看到。
CTFTime連結:
https://ctftime.org/