CTF（奪旗賽）有助提升安全技術(shù)，可為公司企業(yè)和組織機(jī)構(gòu)發(fā)現(xiàn)安全人才。運(yùn)用這些工具和框架設(shè)計(jì)并舉行自己的CTF活動(dòng)吧！

知己知彼百戰(zhàn)不殆。想要阻止網(wǎng)絡(luò)攻擊者，就得像網(wǎng)絡(luò)攻擊者那樣思考。這是一種需要實(shí)踐的技術(shù)，為了得到這種實(shí)踐，業(yè)界創(chuàng)辦了各種CTF比賽，同臺(tái)競技，比拼誰能更快更好地拿下服務(wù)器，贏取黑客技術(shù)名聲。

不久以前，這種活動(dòng)的名聲和合法性還令人質(zhì)疑。如今，即便參賽者多以化名參加，且扮演反派入侵者的角色，CTF也是全然公開而備受推崇的了。

企業(yè)安全人員參加CTF是一場白帽子的雙贏活動(dòng)。安全人員在CTF中學(xué)習(xí)新技術(shù)，實(shí)踐困難情況處理，并與安全界其他大牛把酒言歡建立聯(lián)系。而且，CTF的作用還不僅止于此。

相當(dāng)數(shù)量的企業(yè)實(shí)際上將CTF當(dāng)成了自身社區(qū)推廣和招聘策略的一部分。CTF能使人對(duì)網(wǎng)絡(luò)安全產(chǎn)生興趣，尤其是學(xué)生；還能幫助企業(yè)識(shí)別有前途的非傳統(tǒng)潛力股人才。

網(wǎng)頁一搜就能搜出很多CTF資源列表，其中很多都托管在GitHub上。有些資源是用于構(gòu)建CTF的，有些則是輔助參賽者的，還有些二者兼而有之，比如awesome-ctf、AnarchoTechNYC和zardus。

最大的資源集是黑客資源。所有黑客資源，無論防御性的還是攻擊性的，都是CTF資源：源代碼和二進(jìn)制靜態(tài)分析、數(shù)據(jù)包捕獲、調(diào)試器、反編譯器、堆可視化工具、散列值破解器、圖像編輯器和網(wǎng)絡(luò)掃描器等等。每個(gè)安全專家都有自己的最愛工具集，但CTF可能會(huì)要求他們?nèi)ふ倚碌墓ぞ摺?/p>

Didier Stevens 和他編寫的工具非常有用。Didier最初專精PDF、微軟Office文檔和其他復(fù)雜數(shù)據(jù)文件分析工具，這些工具中很多都能用來實(shí)施攻擊。如今他的工具集涵蓋甚廣，對(duì)檢查和創(chuàng)建惡意文件幫助很大。他的所有工具都托管在GitHub代碼庫中。

CTF分類

CTF分兩派：攻防戰(zhàn)模式和解題模式。

• 攻防戰(zhàn)模式

此類CTF中，參賽者分成兩隊(duì)，每隊(duì)都分配有一個(gè)計(jì)算環(huán)境——可能僅僅是一臺(tái)服務(wù)器。兩隊(duì)任務(wù)相同：攻擊對(duì)方系統(tǒng)，并防御己方系統(tǒng)。每方系統(tǒng)中都含有一些信息性旗標(biāo)供攻擊者找出并奪取。這就是“奪旗賽”這一名稱的由來。

攻防模式下，防御者需盡其所能地保護(hù)自身服務(wù)器：修復(fù)所有軟件漏洞，甚至模糊不明的那些；防火墻只允許必要的服務(wù)出入；確保所有口令都是強(qiáng)口令，賬戶只具備必要的最小權(quán)限……

至于攻擊者，需運(yùn)用滲透技術(shù)獲取防守方服務(wù)器的訪問權(quán)。誠然，如果攻擊者能拿到root權(quán)限，競賽便會(huì)很快結(jié)束，但根據(jù)所涉及的應(yīng)用和服務(wù)，更有限的攻擊便已足夠。

• 解題模式

解題錦標(biāo)賽模式中，多支隊(duì)伍競相解決題板上不同分值的難題。解出題目找到旗標(biāo)的隊(duì)伍便可將之提交到計(jì)分系統(tǒng)，獲得相應(yīng)分?jǐn)?shù)，并繼續(xù)迎戰(zhàn)下一個(gè)難題。計(jì)時(shí)結(jié)束之時(shí)，得分最高的團(tuán)隊(duì)勝出。

因?yàn)楸阌诮M織和管理，解題模式CTF遠(yuǎn)比攻防模式更為盛行。

• 山王模式

山王模式中，每支隊(duì)伍努力奪下并守住服務(wù)器控制權(quán)。計(jì)時(shí)結(jié)束之時(shí)掌控服務(wù)器最久的團(tuán)隊(duì)獲勝。這種模式是攻防CTF的一個(gè)變種。

幾種模式各有千秋。解題模式有利于構(gòu)筑問題解決技術(shù)集，山王模式CTF是很好的事件響應(yīng)、規(guī)劃和協(xié)作的訓(xùn)練場。總之，只要能讓安全人員走出舒適區(qū)，無論哪種類型的訓(xùn)練都能有所收益。

CTF競賽哪里尋？

開放競賽全球各地一直都有。此類活動(dòng)的一個(gè)主要舉辦地是在CTFtime網(wǎng)站。大部分的活動(dòng)都是解題模式，比如說，2018年的152項(xiàng)活動(dòng)中，只有16項(xiàng)是攻防模式，占絕大多數(shù)的135項(xiàng)都是解題模式。

若說CTFtime是CTF界的ESPN，那么CTF界的超級(jí)碗當(dāng)屬DefCon——拉斯維加斯舉辦的年度黑客盛會(huì)。2018年第26屆DefCon的CTF勝出者是DEFKOR00T團(tuán)隊(duì)。DefCon CTF 的所有過往記錄和完整資料都保存在他們的服務(wù)器上。另一項(xiàng)著名CTF隨年度NorthSec安全大會(huì)而生，在蒙特利爾舉辦。

DefCon這種大會(huì)總有個(gè)舉辦地，但大多數(shù)CTF是線上賽。國家網(wǎng)絡(luò)聯(lián)盟(NCL)組織面向高中生和大學(xué)生的解題模式CTF，有明確的賽季和賽程。

CTFTime上的大多數(shù)比賽都是小型安全愛好者團(tuán)體組織的，但也有例外。2018年末就見證了趨勢科技的 CTF 2018，決賽在東京舉辦，其中囊括了山王模式競賽。另一方面，2019年4月20，托馬斯·杰斐遜科技高中的計(jì)算機(jī)安全俱樂部將在弗吉尼亞州費(fèi)爾法克斯舉行為期6天的比賽。沒錯(cuò)，這確實(shí)是個(gè)高中舉辦的CTF。美國空軍為初高中學(xué)生舉行網(wǎng)絡(luò)愛國者(CyberPatriot)競賽。

DefCon這種主流安全大會(huì)上的CTF確實(shí)引人注目，因此很多企業(yè)也開展了自己的CTF項(xiàng)目。這種活動(dòng)是很好的學(xué)習(xí)途徑，還能讓安全人員從瑣碎的企業(yè)日常安全工作中切換出來，換換腦子，充盈下身心。

打造自己的CTF

如何組織自己的CTF？作為企業(yè)，慣于改進(jìn)和支持專業(yè)產(chǎn)品的你可能會(huì)對(duì)自己的發(fā)現(xiàn)倍感失望。并沒有太多現(xiàn)成的CTF供你選擇，但你可以收集無數(shù)細(xì)節(jié)，將它們組織成自身獨(dú)特和頗具挑戰(zhàn)性的競賽。

與CTF靶場最為接近的東西可能是 OWASP Juice Shop (開放網(wǎng)頁應(yīng)用安全計(jì)劃果汁商店項(xiàng)目)。OWASP是設(shè)計(jì)工具和指南以幫助開發(fā)者及其他IT人員打造安全應(yīng)用的安全專家組織。

Juice Shop 是虛構(gòu)的網(wǎng)店，售賣果汁、T恤等東西，不用在意細(xì)節(jié)，你只需要知道該網(wǎng)站滿載各種已知漏洞就行了。該網(wǎng)站是可定制的，你可以根據(jù)自己的意愿更換品牌標(biāo)志，或?qū)a(chǎn)品更改為自己希望的樣子。OWASP的 Juice Shop 有多種形式，包括一個(gè)Docker鏡像，且運(yùn)行在單一服務(wù)器實(shí)例上。

Juice Shop 還含有舉辦比賽所需的記分牌和賬戶管理功能。

CTF框架

有些CTF框架相當(dāng)流行，有些則略默默無聞。CTFd是被安全供應(yīng)商、大型和黑客組織廣泛使用的CTF平臺(tái)，包含比賽所需的記分牌和其他基礎(chǔ)設(shè)施，只需添加實(shí)際的題目和相應(yīng)的得分供用戶賺取即可。

其他主流框架還有：

• Facebook CTF 框架

• 加州大學(xué)圣巴巴拉分校計(jì)算機(jī)安全實(shí)驗(yàn)室iCTF

• HackTheArch

• Mellivora

• NightShade

• LibreCTF

• picoCTF

• CTF工具

谷歌舉辦一些重大CTF，雖然沒有釋出其整個(gè)框架，但記分牌代碼和大部分競賽題是已經(jīng)發(fā)布了的。

有用工具的列表很長，此處僅舉幾例拋磚引玉：

1. 安全場景生成器(SecGen)：生成半隨機(jī)的帶漏洞虛擬機(jī)。

2. mkctf：以預(yù)定義格式創(chuàng)建可輸入到框架中的挑戰(zhàn)題目。

3. DVWA：用于展示已知及未知漏洞的開源PHP/MySQL網(wǎng)頁應(yīng)用。用戶可選擇漏洞(如SQL注入)，并用UI激活之。DVWA沒有 Juice Shop 那種有意思的前端，但有時(shí)候簡單才是最好的。

CTF報(bào)告哪里找？

大部分最佳資源，尤其是解題模式CTF的，都是過往CTF的參與者撰寫的報(bào)告，描述具體問題和解題方法。報(bào)告讀得夠多，自然也就掌握了一些套路。你可以在 GitHub CTF 頁面上找到大量報(bào)告存檔，以及撰寫報(bào)告的工具。

這些報(bào)告描述足夠詳細(xì)，可以據(jù)此改變其中一些變量生成你自己的CTF挑戰(zhàn)問題。但主要問題是，很多報(bào)道存檔都只是“待解”問題列表，而且很多作者的寫作水平并不高。

在公共云上舉辦CTF活動(dòng)

因?yàn)镃TF的短期特性，我們可以在公共云上舉辦——分配資源與事后釋放資源都很方便，只需為所用到的東西付費(fèi)。只要你足夠謹(jǐn)慎并且按規(guī)則行事，你就可以這么做。

AWS有自己的滲透測試規(guī)則，因此你得提交一份申請(qǐng)表，而且只能針對(duì)一組固定的服務(wù)進(jìn)行測試，不能使用低配實(shí)例。因?yàn)閬嗰R遜會(huì)查找用戶在CTF中展現(xiàn)的那類行為并封禁之，所以，請(qǐng)遵守規(guī)則并耐心等待批準(zhǔn)。

微軟對(duì)在Azure上的滲透測試有著嚴(yán)格的規(guī)則，但不要求事前核準(zhǔn)授權(quán)。

谷歌也不要求預(yù)先授權(quán)，只要遵從谷歌云平臺(tái)可接受使用政策和谷歌云平臺(tái)服務(wù)條款即可。

CTF或許比傳統(tǒng)培訓(xùn)更受員工歡迎，效果也更好。安全職位亟待填補(bǔ)的時(shí)代，CTF可能會(huì)成為很有價(jià)值的招聘工具，幫你以客觀的方式找出技術(shù)水平最高的未來員工人選。將CTF作為最大化團(tuán)隊(duì)技術(shù)力量的工具，其中有趣的那部分享受純屬免費(fèi)附贈(zèng)。

Awesome-ctf：

https://github.com/apsdehal/awesome-ctf

AnarchoTechNYC：

https://github.com/AnarchoTechNYC/meta/wiki/InfoSec#hacking-challenges

zardus：

https://github.com/zardus/ctf-tools

Didier Stevens 的工具庫：

https://github.com/DidierStevens/DidierStevensSuite

CTFtime：

https://ctftime.org/

DefCon歷屆CTF活動(dòng)完整存檔：

https://media.defcon.org/

NorthSec大會(huì)：

https://nsec.io/competition/

國家網(wǎng)絡(luò)聯(lián)盟(NCL)：

https://www.nationalcyberleague.org/

OWASP Juice Shop：

https://www.owasp.org/index.php/OWASP_Juice_Shop_Project

CTFd平臺(tái)：

https://ctfd.io/

Facebook CTF框架：

https://github.com/facebook/fbctf

加州大學(xué)圣巴巴拉分校計(jì)算機(jī)安全實(shí)驗(yàn)室iCTF：

https://github.com/ucsb-seclab/ictf-framework

HackTheArch：

http://hta.mcpa-stl.org/

Mellivora：

https://github.com/Nakiami/mellivora

NightShade：

https://github.com/UnrealAkama/NightShade

LibreCTF：

https://github.com/easyctf/librectf

picoCTF：

https://github.com/picoCTF/picoCTF-Platform-2

谷歌CTF：

https://github.com/google/google-ctf

谷歌CTF計(jì)分板代碼：

https://github.com/google/ctfscoreboard

SecGen：

https://github.com/cliffe/SecGen

mkctf：

https://github.com/koromodako/mkctf

Damn Vulnerable Web Application：

http://www.dvwa.co.uk/

CTF報(bào)告及撰寫工具：

https://github.com/ctfs

AWS滲透測試規(guī)則：

https://aws.amazon.com/security/penetration-testing/

Azure滲透測試規(guī)則：

https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement

谷歌云平臺(tái)可接受使用政策及服務(wù)條款：

https://cloud.google.com/terms/

線上學(xué)習(xí)課程

https://www.aqniukt.com/course/8954