CTF 是 Capture The Flag 的簡稱，中文咱們叫奪旗賽，其本意是西方的一種傳統(tǒng)運(yùn)動。在比賽上兩軍會互相爭奪旗幟，當(dāng)有一方的旗幟已被敵軍奪取，就代表了那一方的戰(zhàn)敗。在信息安全領(lǐng)域的 CTF 是說，通過各種攻擊手法，獲取服務(wù)器后尋找指定的字段，或者文件中某一個固定格式的字段，這個字段叫做 flag，其形式一般為 flag{xxxxxxxx}，提交到裁判機(jī)就可以得分。

信息安全的 CTF 的歷史可以說很長了，最早起源于 96 年的 DEFCON 全球黑客大會

入門滲透，那肯定得各種練手對不對？但因為由于 「網(wǎng)絡(luò)安全法」的頒布，隨意掃描他人網(wǎng)站，或非授權(quán)滲透測試都有一定的風(fēng)險。最近也有個新聞：

說實話，這小伙只是在掃描，攻擊都被防火墻攔下了，啥都沒弄到，結(jié)果還是一樣被判刑，可謂是偷雞不成蝕把米了……

所以記住千萬不要亂掃國內(nèi)的網(wǎng)站，尤其是教育、政府類網(wǎng)站。但初入門的同學(xué)學(xué)習(xí)滲透測試沒有一個對應(yīng)的環(huán)境也是不行的，而常見的靶機(jī)對于小白來說太過復(fù)雜，很容易不知如何下手。

這個時候 CTF 就非常適合了，CTF 一般是一個題目有一個或幾個知識點相互糅合，相對來說目標(biāo)性比較強(qiáng)。如果想要體會到安全的成就感和趣味性，促進(jìn)自己邊練邊學(xué)，CTF 就是一個很好的選擇。

CTF 題目類型一般分為 Web 滲透、RE 逆向、Misc 雜項、PWN 二進(jìn)制漏洞利用、Crypto 密碼破譯，有志于滲透測試的同學(xué)一開始建議從 Web 滲透的題目開始，輔以 Misc 雜項和 Crypto 密碼學(xué)。

CTF 主要分為兩種模式，一是解題模式。對于 Web 安全來說，會要求你入侵網(wǎng)站或者靶機(jī)，攻擊成功后系統(tǒng)會顯示flag或者在某個目錄 文件 數(shù)據(jù)庫尋找 Flag，提交到答題系統(tǒng)得分。逆向工程題目一般形式是破解注冊機(jī)、動態(tài)調(diào)試、dump 內(nèi)存等等。這些題目可以百度或谷歌別人的解題報告（ 關(guān)鍵字：CTF writeup）來認(rèn)識一下。

這種模式的缺點是類似于“應(yīng)試教育”，當(dāng)前的趨勢是注重出題難、出題偏，沒有考慮實際，就跟奧數(shù)似的。而且這種模式只有攻擊，卻沒有防守，而在企業(yè)中工作更多的還是考慮如何防護(hù)的問題，這個時候 AWD 攻防賽模式就應(yīng)運(yùn)而生了。

二是攻防賽，也叫 AWD(Attack With Defense，攻防兼?zhèn)?模式。你需要在一場比賽里要扮演攻擊方和防守方，攻者得分，失守者會被扣分。也就是說，攻擊別人的靶機(jī)可以獲取 Flag 分?jǐn)?shù)時，別人會被扣分，同時你也要保護(hù)自己的主機(jī)不被別人得分，以防扣分。

這種模式非常激烈，準(zhǔn)備要非常充分，手上要有充足的防守方案和 EXP 攻擊腳本。我第一次參加這種比賽的時候就被人打慘了QWQ，不過后面參賽越多，積累的經(jīng)驗就會越多。所以說，這種比賽不用慌，多打多學(xué)多積累就好了。

CTF 里面也有一血之說，誰第一個交 Flag 能獲得分?jǐn)?shù)加成，所以說手快也很重要。不過一般來說是沒有別的大佬手快的。

現(xiàn)實的滲透測試會有非常完整的流程，從信息收集、漏洞探測開始，再逐項攻擊，很多時候會一無所獲。相比之下，CTF 的目標(biāo)會比較明確，中等難度以下的題目一般都會在題目描述中提示漏洞的發(fā)生處，沒有提示的話檢測點也不會很多，一個個篩查就可以了。

其次，有很多 CTF 題目會有點脫離現(xiàn)實滲透，套路、腦洞比較多，有的知識點并不實用……怎么說呢？

有的時候出題人為了出點新題會把題目設(shè)置得腦洞要特別大才能做出來，Misc 安全雜項更是這種題的重災(zāi)區(qū)。做這種題其實對現(xiàn)實滲透沒啥幫助，比如說這道密碼題，第一次見的時候頭大得一筆，各位看官先猜猜看是啥：

我反正是看麻了…

做多了 CTF 的同學(xué)應(yīng)該知道，這是「與佛論禪」密碼加密，也不知道是誰想出來的……

類似這種摸不著頭腦、要用特別奇怪的姿勢或套路做題的題目也屢見不鮮。其實這也一定程度偏離了 CTF 的初衷，我們是要提高自己的安全姿勢水平，而不是大開腦洞。

因此較為簡單、腦洞略大的 CTF 題僅作擴(kuò)充知識面就好了。話雖如此，現(xiàn)在 CTF 大賽都已經(jīng)往實戰(zhàn)的方向走了，高水準(zhǔn)的 CTF 題目很多都會模擬真實的網(wǎng)站，讓你更加有真實滲透的代入感，滲透手法也更加貼近實戰(zhàn)。國內(nèi)比較良心的 CTF 有 DDCTF、安恒杯月賽 CTF 等等。

關(guān)于 CTF 賽事的信息可以關(guān)注 XCTF 社區(qū)或 CTFtime 整理的賽事鏈接，詳請點閱讀原文。雖然非?？赡茉诒荣惱锎虿贿^各位大佬，但是劃劃水，學(xué)習(xí)學(xué)習(xí)知識也是非常不錯滴。

我搜集了一些入門比較可以的 CTF 靶場，想了想，把集合文章放到自己廢棄已久的博客上，以后會在博客更新技術(shù)文章，這里依然不講啥技術(shù)，說點兒硬硬的經(jīng)驗干貨就好了。靶場集合點擊鏈接到瀏覽器查看：

新手入門的話，在靶場慢慢刷題，對于不會的題目直接百度或者谷歌，都會有很多解題報告，遇到不會的知識點也要善于使用搜索引擎。最好的方法還是加入一個 CTF 小組，大家互相幫助，提高得會更加快。有什么方面需要我說得更加詳細(xì)的，歡迎留言或者發(fā)消息。

最近事情比較多，有點突發(fā)狀況，文章難產(chǎn)了好久……對各位說聲不好意思。

網(wǎng)絡(luò)安全學(xué)習(xí)資源分享:

給大家分享一份全套的網(wǎng)絡(luò)安全學(xué)習(xí)資料，給那些想學(xué)習(xí) 網(wǎng)絡(luò)安全的小伙伴們一點幫助！

對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué)，我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長路線圖?？梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線，大家跟著這個大的方向?qū)W習(xí)準(zhǔn)沒問題。

因篇幅有限，僅展示部分資料，朋友們?nèi)绻行枰?font face="幼圓" size="4" color="red">全套《網(wǎng)絡(luò)安全入門+進(jìn)階學(xué)習(xí)資源包》，請看下方掃描即可前往獲取