初学者的 CTF什么是 CTF 以及如何开始！

那么什么是 CTF？

挑战类型

我从哪里开始？

结论

CTF 是我的爱好之一。我喜欢解决一个特别困难的任务，并看到所有拼图碎片拼凑在一起的感觉。我希望这篇文章能为 dev.to 社区中那些可能还不了解 CTF 的人提供一些 CTF 的入门介绍。

那么什么是 CTF？

CTF（夺旗赛）是一种信息安全竞赛，要求参赛者完成各种任务，从在维基百科上寻宝到基本的编程练习，甚至包括入侵服务器窃取数据。在这些挑战中，参赛者通常需要找到一段可能隐藏在服务器或网页背后的特定文本。这个目标被称为“旗子”，因此得名！

与许多比赛一样，CTF 比赛的技能水平因赛事而异。有些比赛面向拥有网络安全团队运营经验的专业人士。这些比赛通常提供高额现金奖励，并可在特定地点举行。其他比赛则面向高中生和大学生，有时还会为比赛中名列前茅的选手提供教育资金支持！

CTFtime详细介绍了不同类型的 CTF。总结一下，Jeopardy 风格的 CTF 提供了一系列挑战，并为完成挑战的个人或团队奖励积分，积分最高的团队获胜。攻防风格的 CTF 专注于攻击对手的服务器或防守自己的服务器。这些 CTF 通常针对经验丰富的玩家，并在特定的物理位置进行。

CTF 可以个人或团队形式进行，因此欢迎邀请您的朋友加入！

我想强调的是，CTF 比赛面向所有人。很多挑战并不需要编程知识，只需要解决问题和创造性思维。

挑战类型

Jeopardy 式 CTF 挑战通常分为几类。我将尝试简要介绍一些常见的挑战。

• 密码学——通常涉及解密或加密数据
• 隐写术——负责查找隐藏在文件或图像中的信息
• 二进制——逆向工程或利用二进制文件
• Web - 利用网页查找标志
• Pwn——利用服务器查找 flag

我从哪里开始？

如果我的回答能激起你的好奇心，我整理了一份帮助我入门的资源清单。CTF 老手们，欢迎在下面的评论区添加你们自己的资源！

学习

• http://ctfs.github.io/resources/ - 介绍常见的 CTF 技术，例如密码学、隐写术、网络漏洞利用（未完成）
• https://trailofbits.github.io/ctf/forensics/ - 与典型 CTF 挑战/场景相关的技巧和窍门
• https://ctftime.org/writeups - 历届 CTF 挑战赛答案解析

资源

• https://ctftime.org - CTF 事件追踪器
• https://github.com/apsdehal/awesome-ctf - 完整的工具列表和进一步阅读

工具（我经常使用）

• binwalk - 分析和提取文件
• burp suite - 功能丰富的 Web 渗透测试框架
• stegsolve - 通过各种过滤器对图像进行过滤，以查找隐藏的文本
• GDB——二进制调试器
• 命令行:)

实践

许多由大学和公司主办的“官方”CTF 比赛都是限时比赛。但也有很多 CTF 比赛是全天候在线的，可以作为练习和学习的工具。以下是一些我认为对初学者友好的比赛。

• https://ctflearn.com - 收集了各种用户提交的针对新手的挑战
• https://overthewire.org/wargames/ - 一系列难度递增的 PWN 式挑战。（从强盗系列开始）
• https://2018game.picoctf.com/ - 年度限时 CTF 现已开放练习

结论

对于对解决问题和/或网络安全感兴趣的人来说，CTF 是一项很棒的爱好。社区总是很热情，和朋友们一起挑战也很有趣。这是我的第一篇文章，如果能引起哪怕一个人的兴趣，我就觉得很成功了😊。感谢阅读！