今天和實驗室的學長姊們參加 DEFCON。 (好吧.. 其實沒有學姊 XD) 實在是幫不太上忙,只好來打點東西紀錄一下心得。
什麼是 CTF?
CTF (Catch The Flag),是一種常見的資訊安全競賽類型。競賽的進行方式通常是由主辦方準備多組題目,並替每個題目架設好一個環境,讓參賽者們在這個環境中,透過各種方法來取得代表 Flag 的字串或檔案。 取得 Flag 的方法可能很複雜,需要許多專業能力,或是需要一些創造力與想像力,甚至是透過暴力破解的手段達成,完全看主辦單位的心情如何。 XD
CFT 競賽中通常又會把這些題目簡單分成幾類。 分別是 Pwn, Reverse, Web, Crypto 以及雜項 Misc.(Miscellaneous)。底下分別簡單介紹:
- Pwn: conquer to gain ownership. 想辦法取得系統的控制權。
- Reverse: 對某隻程式進行逆向工程 (反組譯、反編譯等) 來找出程式或服務的漏洞。
- Web: 從 Web 服務的漏洞中想辦法撈出重要資訊,通常會需要具備 SQL, PHP 的能力。
- Crypto: 針對某些較不安全的加密方式,或是特定情況下會不安全的加密演算法進行攻擊。
- Misc.: 其他比較無法分類的都會丟到這邊。 XD
不過這些分類彼此之間其實都有部分重疊,像是 Pwn 通常也會需要一些能做 Reverse 的工具。 實際比賽時,題目是怎麼分類只能看主辦方的心情.. ww
入門網頁 & 資源
OverTheWire
這是一個全年供人上線遊玩,練習各類資安觀念的網站。網站上的所有題目都有按照難易度分類,讓初學者可以循序漸進的學習各類技術。 剛入門的朋友可以先從左邊的 Bandit 題組開始!
CTF Time
記錄著全球各地、大大小小的 CTF 比賽資訊的網頁,會隨時更新!
Linux 上的常用工具、指令
filestringsreadelfobjdumpnmgdbltrace,strace
ODA Online Disassembler
一個提供線上即時反組譯的網頁,不管你是要貼 Hexcode 或是直接把程式檔案丟上去都可以! XD