暑假大热剧追CTF比赛

奔着帅哥去看了暑假热播剧《亲爱的，热爱的》，发现一开演就提到了CTF大赛。虽然是为了过审把小说的电竞改编为CTF的，但是随着剧的热播，也让更多人认识了网络安全行业和网络安全大赛。怀着一颗崇拜大牛的心情，去扒了CTF真实比赛的视频来看，了解了解真实比赛的场景。

首先介绍CTF，百度百科如下：

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯” 。

其次，我们国家现在也在举办全球范围的CTF竞赛，其中腾讯TCTF算的上是翘楚了，它包含面向国际战队的国际赛（0CTF）和面向国内高校的新人邀请赛（RisingStar CTF）。奖金很多，含金量很高，无论是比赛配置，还是参赛队伍的水平，都算得上是国内顶尖安全赛事了。有志于从事网络安全的年轻人可以通过这个比赛崭露头角。

最重要的是，TCTF国际赛还是大陆地区唯一一个获得世界顶级黑客大会DEF CON CTF外卡赛资格的赛事，如果成为决赛冠军，就能入围DEF CON CTF的决赛，去美国拉斯维加斯近距离接触世界顶级黑客，这对于全球极客而言都是极具诱惑力的。

接下来，介绍CTF夺旗赛的比赛内容了。它是由很多题目组成的，题目类型多样，根据解题程度给出得分，最后总得分最高者获胜。

根据我看的漏洞银行的CAAD CTF比赛看到的题目类型。视频链接：https://www.bugbank.cn/live/view.html?id=111690

题目类型一，修改图片部分内容，成功欺骗图片识别系统。难度较低的如修改飞行器的图片，让图片识别系统识别成除飞行器外的任意物体。做的改动越小，得分做高。难度中度的如修改武器的图片，让图片识别系统识别成指定的物体。难度最高的如修改普通人像，让图片识别系统识别成施瓦辛格的人像图片。改动越小，得分越高。做的改动常人是看不出来的。

题目类型二，主办方提供服务器，安装某个软件，虚拟机内放个Flag文件。正常情况下挑战方是没有权限读取该文件的，需要做的是找到软件漏洞，拿到shell，读出主办方的Flag，并且成功写入个文件。

题目类型三，破解手机的加密相册。通过恶意APP应用提升手机使用权限，绕过加密密码或手势，直接读取加密相片。

题目类型四，操控机器人完成指定任务。用指令操控机器人完成关闭红外线扫描，进入房间，遮挡摄像头，放入窃听器，按对保险箱密码，打开保险箱，取物体，插U盘等精细动作。

题目类型五，破解指纹加密的U盘。物体替换劫持指纹模块，破解加密key。

题目类型六，数据追踪挑战。为防止个人信息泄漏，需要区分无害的和恶意的APP或者网站。根据APP或网站数据的数据提取特征，用特征软件进行分析识别，判断是无害的还是恶意的。根据判断的正确数得分。这实现使用程序自动过滤网络环境，取代人工手动。基于机器深度学习。

题目类型七，破解手机屏下指纹验证。

题目类型八，复原打马赛克的图片。

题目类型九，攻破路由器利用DNS劫持访问攻击者网站。根据端口，IP，弱口令获取路由器的shell，篡改路由器DNS。

题目类型十，远距离读取RFID卡信息挑战赛。类似电影里盗贼故意碰一下房主，就读到房卡的信息，做出复制卡，进入房门。

题目类型十一，远距离连接WIFI挑战赛，拉斯维加斯挑战连接最远距离250公里。

题目类型十二，控制智能家电。流程：手机打开钓鱼短信链接或者扫描二维码（打开的缓慢过程中手机已被植入病毒）——连接wifi，控制桥头堡——控制智能音箱，使它播放音乐，下载之前主人的语音对话；控制智能电视，使它播放黑客视频，强行植入广告；控制扫地机器人，使它按黑客给定的路线工作；控制摄像头，获取摄像头的用户名密码，去云端得到摄像头录制的画面；控制路由器，篡改DNS等等。