如何拉起一隻ctf小隊?
帝都某211,學校對於ctf這塊一直沒有足夠專業的隊伍,所以想拉起一支隊伍來專門搞ctf,本人信息安全專業弱雞,能找到幾個感興趣的同學,但找不到大神來帶,想請問如果要拉起一隻隊伍的話,怎麼開始,找專業老師來帶或者其他,平時訓練的話要怎麼做?
其他的想起來再補充
這是我們團隊:
CTF-Thanos · GitHub成員來自天南地北。我們也是出於興趣愛好才開始組隊刷CTF的,目前是菜鳥。
通常,我們會XCTF-Time在這裡看各種CTF比賽日程。然後抽時間出來去刷存在感。比賽結束之後,我們會做一些紀錄:- GitHub - CTF-Thanos/ctf-record: Good Good Study 沒有做出來的題事後弄明白或者覺得可以學習的
- GitHub - CTF-Thanos/ctf-writeups: A writeup summary for CTF problems. 我們做出來之後自己寫的write-up
即使做出來了題目之後,我們仍然會看各種博客/別的牛一點的團隊給出的write-up,看看別人的思路,甚至自己還會跟著重複做一遍。比如這道題:
add whctf2016 re200 · CTF-Thanos/ctf-writeups@1b3aeb3 · GitHub我們之前是不知道Z3這個東西的,後來才通過別人的write-up然後學會了之後再去解決其它問題的。除了做比賽的CTF,我們通常也會關注烏雲,freebuf,github,另外像http://www.wechall.net/ ,i春秋,實驗吧各種我們都會去關注,去做題做練習。
當然,不僅要做題,有時候會考慮寫自己的工具,比如隊友會寫這種=&> GitHub - 36hours/idaemu: idaemu is an IDA Pro Plugin
也夢想著做其他的自動化的東西。
隊友們大多有自己的工作,也不見得是做安全這一塊的,但是大家都喜歡探索,去發現新的東西。去學習。
比如通過最近幾次的CTF,我了解了一些NoSQL的SQL攻擊思路,各種模板引的攻擊思路,比如這些資料:https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf 我之前根本不會了解這些,這些可以擴充我們自己的腦洞也能讓我們在自己寫代碼的時候提高自己的安全性。又比如對於PHP中弱類型比較(==)的各種坑,全部都可以通過這些學習到。就我個人而言,我在CTF領域仍然是個渣。不過我仍然會去學。
加油。首先你需要找到志同道合的隊友。ctf比賽是很難靠著一兩個人打出好成績的。第一是因為一次ctf比賽一般都有時間限制,12-48小時左右。時間是完全不夠的。比較連續十幾個小時才能做出一題是經常的事情。第二個原因是ctf覆蓋的題目範圍太廣。只靠一個人很難兼顧。起碼做二進位和做web的隊友都要有。一個ctf隊伍,一般需要3人以上。
然後是練習的問題。一直認為紮實的計算機基礎是ctf能有成就的前提。因為我主要研究方向是二進位。所以我自己平日里也主要以學習操作系統,彙編語言等等為主。抱著一本磚頭厚的書,或者對著一份全英文的論文啃才是賽棍的日常
當然,ctf也有所謂套路的東西,當然比賽經驗,各種技巧之類的東西就需要積累了。最快的積累經驗的方法是有個老司機帶著飛。跟著一個大神去打比賽真的能夠積累很多的經驗。
當然不是所有人都能找到大神帶著自己飛的。如果這樣的話就只能靠自己積累了。主要的方法就是做題和看writeup。一次比賽過後,很多隊伍都會公開自己的writeup。好好看看大神們的解題思路。還有大神們做題的工具。也能學到很多
最後,興趣和堅持不懈是一切的前提————————分———割———線————————
容我不要臉的問一句,題主你居然是北交的?話說你們學校的老師應該是可以指導你們的,如果當時我沒記錯計算機學院的碩導介紹的話,比賽當中有不少的題目分類,或許你們老師會知道哦。————萌——萌——的——真——可——愛—————不請自來。利益相關:玩CTF有一年多的時間,已經換過兩個隊伍。
鄙人其實並不是科班生特別能看得上眼的野路子的那種,接觸信安這行也有兩年了。。。吧。專註於學術的學校,CTF出成績的除了清華,上交還有浙大。剩下的我也不是很清楚,我也不是來自CTF top5的學校。
/*師大化學狗,為了能轉信安轉的順利一些才吃了一記CTF安利,已經在被吊打的路上出發。*/今年CTF國內比較牛的隊伍應該是Nu1L了,山警的隊伍。此外還有「沒有一個系統是安全的」,來自河南南陽,好像是南陽師範和南陽理工組建的?不是很清楚-_-||,只記得是南陽那邊的聯合戰隊。PKAV啊,Flappypig啊(這隊伍名沒拼錯吧),此外還有藍蓮花和三葉草,blah blah 的,基本上都是一兩人一拍即合,然後就出了這麼個隊伍。題主你們應該就注意身邊多聯繫聯繫,說不定有大神⌒.⌒
我換過兩個隊,第一個是和學校內的人組織去打,但是後來因為各自的安排不同,後來在現在的隊伍組建之初,我的盆友就邀請了我。隊員們來自全國各地,最小的還在上高中,也有已經985保研了的大神。研究的東西也奇奇怪怪的,主要還是根據題目的難度而定。還有,因為我現在的隊是全國各地的,沒有指導老師,所以不能參加一些必須要有指導老師的隊伍,因為不知道怎麼去和老師說這件事。大家平時在http://ctftime.org上亂逛,看有什麼比賽啊,或者是新題解啊,CTFtime這個網站有不少的猥瑣流的做題思路,當時給烏雲知識庫投稿的時候,有個不常見的wav stego就是之前我看到的一個小題,當然那道題我最後自力更生做出來了⌒.⌒
鬼才知道當時那篇文章寫的那麼渣怎麼過的審啊,,,第一次收到烏雲知識庫的過審通知嚇得我整個人都炸毛了,可能最近還會再考慮投稿,但是我覺得質量控制我現行能力內真的很有限。
現在我正在學習pwn和re,因為感覺這兩者可能更有意思,也比較符合我未來的職業發展。或者是去挖挖洞什麼的,不過一般都是我看著別人挖……BTW,隊里的人的低配是烏雲賬號(當然有個大神是因為他把登陸的id給忘了,至今還在想怎麼搞個新賬號,好久不登陸了他),所以有的時候也會去三個白帽那兒圍觀。
感覺自己還是個弱雞,如果可以的話,去請教一下https://www.zhihu.com/question/30505597,那個答案的羅列分類很詳細,已經覆蓋了諸多CTF的刷題之處。此外有什麼資料之類的,表示很多,等我啥時候想起來再繼續更新吧,暫時能想起來的是深入理解計算機系統,鳥哥的linux私房菜,windows pe權威指南(寫的和文言文似的),編譯原理,黑客大曝光(有點老了),等等,太久不看書了,,,
補充一下,圖靈系列,華章科技,安全的書也有不少,但是我個人感覺吧如果有數理基礎,打比賽會比我們這些野路子順利得多,你是不知道有些比賽的演算法是不明覺厲的,反正我都沒學過,補坑中。當然,也可以來我大合天網安實驗室,發現更多精彩內容 ——唉呀說的好像歡迎哥下次就會給我和氏璧似的CTF終究還是一門學科性競賽,就像ACM一樣,除了紮實的基礎,還要無時無刻不停的刷演算法題。而CTF也是類似,以賽促練XD
拉起一支隊伍,只要你自己是大神就行了。
二流的人招進來的也是二流,杜絕笨蛋爆炸。至於志同道合的人,不要去找,會遇到的。謝邀,首先你要有能力。
這個圈子,能夠拉起一隻隊伍的大多數是能力出眾者
1.多看、開闊腦洞。多參加CTF,三個白帽等,增加實戰經驗,順便名揚四海。2.常駐SSS安全論壇、烏雲網、seebug、習科道展等平台,分享你的CTF經驗。3.你不與人分享,誰與你分享。從而結識許多這一塊的愛好者,其中不乏有大神。也許僅僅對現階段的你or你們來說是大神,但足夠了。4.SSS安全團隊收人....有意思。怎麼帶上一隻隊伍,那麼就得培養你的朋友的興趣了。我們團隊也挺喜歡玩CTF的不過目前來看 大部分社區對於CTF的題解很少(也有很多的)我在米斯特安全團隊官博的CTF板塊有更新一些我能找到的CTF的題解黑客奪旗CTF_米斯特安全團隊
有興趣的話可以看看咯。
題主有興趣的話咱們可以聯繫聯繫 以後打CTF一起湊起來玩玩封閉集訓,刷i春秋,然後看大神的套路
你們需要至少一個老賽棍的指導,不然容易走彎路。
如果只是針對CTF的話,自己沒有一定的實力估計很難找到實力比較強的隊友,如果只是想拉起一個隊伍的話,個人覺的就是多參加CTF就會找到很多志同道合的人,以及QQ群或者是一些社區(知乎),但是這也是開始,實力的提高還是必須的,多看看大神們的write-up總結他們的思路,雖然一開始真的感覺很困難(個人當時看wooyun puzzle #3write-up,真的感覺很著急),靜下心慢慢啃,做好筆記多思考和總結。
總之就是找到和自己興趣相同的人一起來做這件事情。通過網路去尋找吧!!!
PS:有的時候感覺CTF成為了另外一種考試,不斷的刷題不斷的做題總結,這就是我們所想要的嗎?個人現在看來很多腦洞大開的題目後,再想做CTF的意義在哪裡?如果偏離實戰有什麼卵用呢?總之就是感覺一股淡淡的憂傷。。。建議先去各大平台刷題 西普 i春秋 合天什麼的 論壇嘛二進位方面我平時就上看雪烏雲什麼的 吾愛破解其實也挺好 但是那版面我不喜歡 xctf有一個題庫的好像 也可以刷 其實xctf上的比賽對於初學者還是偏難的 其他小線上賽很多很多的 可以多加幾個群了解了解 最後就是我覺得最好分個方向 主要是web和二進位不同的人去負責吧
推薦閱讀:
※網友發布違法文檔被拘留
※幾維安全提醒勒索病毒又來襲 網路安全行業或迎機遇
※保存在瀏覽器里的密碼,很可能被黑客給竊取了
※幾維安全分享2017上半年:2227起安全事件泄露60億條數據
※安全數據科學是什麼?
TAG:網路安全 | 黑客Hacker | 信息安全 | CTFCaptureTheFlag |