还在问CTF是啥？这篇“网安扫盲贴”，带你从入门到入坑！_misc安全杂项发布于 2023-10-29 15:39 ip 属地贵州-优快云博客

本文链接：https://blog.youkuaiyun.com/qq_53058639/article/details/146569464

还在问CTF是啥？这篇“网安扫盲贴”，带你从入门到入坑！

CTF？听起来像某种神秘代码，新手该如何玩转？

CTF（Capture The Flag），江湖人称“夺旗赛”，在网络安全界，它可是技术大佬们华山论剑的舞台。话说这CTF，1996年就诞生于DEFCON全球黑客大会了，当年是为了避免大家真刀真枪地互黑，才 придумали这种比拼方式。如今，CTF已经火遍全球网络安全圈，成了潮流竞赛。而DEFCON，作为CTF的鼻祖，其CTF比赛更是被誉为网络安全界的“世界杯”，技术含量和影响力都是杠杠的！

为啥要玩CTF？

想入门渗透测试，不得找点靶场练练手？但现在《网络安全法》在那儿摆着，未经授权，你敢随便扫别人网站？小心进去“喝茶”！最近就有一则新闻：

这小伙只是扫了一下，攻击都被防火墙挡住了，啥也没捞着，结果还是喜提“银手镯”一副，真是赔了夫人又折兵……

所以，千万别手贱乱扫国内网站，尤其是教育、政府单位的！但是，对于咱们这些刚入门的小白来说，没有个合适的练手环境也不行啊。那些常见的靶机，对新手来说又太复杂，容易让人一脸懵逼，不知从何下手。

这时候，CTF就派上大用场了！CTF的题目，一般会把一个或几个知识点揉在一起，目标明确，就像游戏里的任务一样。如果你想体验一把当网络安全大佬的成就感，边玩边学，CTF绝对是你的不二之选！

CTF有哪些姿势？（类型介绍）

MISC（安全杂项）：这个可是个“万金油”类型，啥都有可能考。流量分析、电子取证、人肉搜索、数据分析、大数据统计……简直是包罗万象！比如，给你一个流量包让你抽丝剥茧；或者让你化身福尔摩斯，来个取证分析。主要考察的就是你的综合知识储备，范围广到没朋友。
PPC（编程类）：想成为代码界的弄潮儿？那就来PPC吧！这类题目主要考察你的编程能力和算法实现。你需要像个黑客一样，逆向编写算法，批量处理数据。有时候，用代码解决问题，效率可是杠杠的！当然，PPC比起ACM来说，还是稍微简单点的。编程语言嘛，Python绝对是你的好基友！
CRYPTO（密码学）：想破解007的密码？CRYPTO就是你的舞台！这类题目专门考察各种加密解密技术，从古典密码到现代密码，甚至还有出题人自创的“黑科技”密码！想挑战自己密码学知识的极限？来这里就对了！
REVERSE（逆向）：想知道软件背后的秘密？REVERSE让你一探究竟！这类题目需要你具备强大的反汇编、反编译功底，像个侦探一样，拨开代码的迷雾。汇编、堆栈、寄存器，这些都是你的必备技能。当然，逻辑思维能力也是必不可少的！REVERSE可是线下比赛的重头戏哦！
STEGA（隐写）：想玩点刺激的？STEGA让你体验一把“谍影重重”！这类题目会把Flag藏在图片、音频、视频等各种数据载体里，让你像个特工一样去挖掘。Flag可能被藏在载体的某个角落，也可能被伪装成空白的二进制数据。你需要像福尔摩斯一样，拥有敏锐的洞察力！
PWN（溢出）：想体验“攻破一切”的快感？PWN让你肾上腺素飙升！在黑客圈里，PWN就代表着攻破和权限。在CTF比赛中，它指的是溢出类题目，比如栈溢出、堆溢出等等。PWN在线上比赛中也会出现，但比例不会太高。到了线下比赛，PWN和REVERSE可是决定战队实力的关键！
WEB（web类）：互联网时代，WEB应用无处不在，CTF当然也少不了WEB的身影！这类题目会涉及到各种常见的Web漏洞，比如注入、XSS、文件包含、代码审计、上传等等。当然，出题人也不是吃素的，他们会设置各种安全过滤，让你绞尽脑汁去绕过。WEB题目在国内非常受欢迎，毕竟大多数网络安全er都是从Web日站开始的嘛！