2011年,第一次和 Syclover 的少年们参加第19届 Defcon CTF Qual 全球资格赛后,我就一直想写一篇这样的娱乐圈的软文。也是我第一次视野上走出国门参加国外竞赛,感触到了不一样的黑客文化。
所处环境使我基本上国内的黑客竞赛都有参加过,西南地区的高校竞赛题目通常以我们团队 Syclover 的校内网络攻防大赛题目为蓝本发展,慢慢被很多其他地区借鉴。后来看到了同样发展中的 iscc,还有国内以地区开始出现的高校竞赛越来越多,表示非常欣慰。不过从参加 Defcon CTF Qual 开始,从第19届到今年的第21届,第19届 Syclover 独自参赛,第20届 Blue-Lotus、Syclover、Ininsight 混合团队拿下全球第18名,第21届 Blue-Lotus 混合团队拿下全球第4名,3年里的参赛队伍中几乎很难见到国人的面孔,Blue-Lotus 的队伍成员基本上算是一个国家代表队的构成了,混合了圈子类各个地方热爱黑客竞赛的少年。也是我觉得比较遗憾的,不知道是国内大牛们都不屑参与,还是的确国内的视野与水平离国际还有一定距离。
黑客竞赛一直是一个很特别的存在,尤其是在国内与国外,竞赛题型的差异非常大。国内的题目通常出得比较偏向于基础题和实践题,出得好的竞赛题还会有模拟搭建出的渗透环境(含内网渗透)。国外的题目有两大类题型,一类是 Wargame,类似于通关挑战,比较出名的有 SmashTheStack.org,当年我也在这里磨练 BlowFish 和 IO 类别的题目(也尝试过地把这类题加入过我们的校内竞赛题目,结果发现基本上只有几个少年能玩)。
一类是 CTF,就像 Defcon CTF 一样,通常有线上资格赛与线下决赛两个环节。线上资格赛以做题拿到不同的分值,积分前x名进入线下决赛。决赛所有的队伍被关在小黑屋里(散瑟~ 雅蠛蝶~),每个队伍分配一台 VM,上面跑着各种各样的 App 或者 Web,VM 里也随机散布着各个 flag 文件(得分文件)。比赛开始后,所有队伍相互进攻以及防御(砸 0day 的时候到了!~ Mod_security 开启!~),哪个队拿到的 flag 文件多,哪个队获胜。
(【扩展阅读】感兴趣的同学可以看看当年 MIT CTF 的纪实)
不过从实用主义的角度,国内的大环境更喜欢偏现实/实际的题型,例如模拟真实的web环境,让你渗透discuz、dedeCMS 等。也造就了国内黑客的兴趣点和国外的不同。回到文章的开头,第一次参加 Defcon CTF Qual 的时候,让我感触最深的就是,题目里面有很多小技巧或者黑客文化。在老外眼里,技术竞赛是一种乐趣,就像我们喜欢看 WCG,喜欢看足球世界杯,喜欢看奥运会,并不是因为看它,我们就会多赚多少钱等等,更多是一种对竞技的享受。所以也是我参加国外竞赛后,最大心态变化,做这些题或许不一定会直接学到什么0day,但却能感受到很浓厚的黑客文化,与黑客的那种奇技淫巧的思维,或许你以后发现安全漏洞的思维就是受这些奇技淫巧的启发。
但要改变这种大环境的功利主义,似乎是一件不太现实的事,在天朝生活在水生火热的技术大牛们,有时每个月房租、生活费等等杂七杂八的费用,都是头疼的事,更不用说还要很纯粹地去享受技术、甚至是文化这种层面。米国佬们,各种过着CCTV里描述的“水深火热”的日子,物质基础相对来说不是他们需要过于担心的了,黑客文化、氛围是国外的高富帅们可以尽情享受的。
不过话说回来,很多人还只是看到 Qual(资格赛)部分的题目,各种吐槽神马的(其实还有很多非常优秀的题)。在真正 CTF 决赛的过程,技术含量其实是非常高的。我与基友dcluo(他是 MIT CTF 纪实的作者也是参赛者,现在在米国 Mircosoft)聊过如何举办一场国内的 CTF 竞赛,后来发现要在国内举办一场这样的比赛是何其艰难,CTF 这种类别的竞赛对竞赛者的综合水平要求非常高,快速代码审计能力、安全加固能力、快速编程能力等诸多基本功,通常国内的大学生真心是很难能达到这种水平,所以我才明白了为什么 CTF Qual 会有那些看上去不是很现实/实际的题型(被很多人吐槽,包括我自己),但题目的设计的确是对参赛者基本功很好的考验,48小时的连续竞赛,基本上能反应一个人快速学习能力与自身当时的基本功状态。
今年和 Blue-Lotus 的少年们一起参加各种国际 CTF 集训的日子非常开心,收获了很多猥琐思路,也见识到了很多奇技淫巧。我自己是个竞赛控,可以说从大一入门学习开始,黑客竞赛就一直伴随着我的成长,激励我短时间内学习各种自己不懂的知识,保持对技术的新鲜感和热情。虽然我不能说黑客竞赛是能让你技术成长最快的方式,不过它的确是黑客文化中,黑客们奇技淫巧思维一个展示的平台。
Defcon CTF 作为全球最顶级的黑客竞赛,不管再肿么吐槽、高级黑它,但它的确是激励了全球众多黑客趋之若鹜的地方。说功利点,进 Defcon CTF 决赛的成员基本上全球各大互联网公司都可以随便进,Google、Facebook、Microsoft 等。说高雅点,和全球黑客同场竞技又何尝不是一件有趣的事。
期待明年 Defcon CTF,会涌入更多的新面孔,让全球更多高级黑我大天朝(或大蓝翔)是黑客的摇篮。某一天打开Defcon.org的官网首页,上面写着 “Dir Exploited by SharpWinner“。
相关讨论:
DeAdCaT___ (1级) 2013-06-19 1楼
嘻嘻,是不是抢到sf之后ck哪天下班考虑bg我们一顿- -
thanks (10级) 支付宝安全工程师 2013-06-19 2楼
ck来讲讲具体的题目和过关内容吧,来点带劲的:)
CasperKid 2013-06-19
@thanks 有对应的writeup 到时等两天放出来吧
瀚海元安全实验室 2013-06-19 3楼
该条评论已被小编拉入FB和谐小屋 by FB客服
CasperKid 2013-06-19
@瀚海元安全实验室 本来是用原用户名的,结果忘了登陆密码了,就只能输入一个跟原用户名不同的名字罢了。不过呢,从喷子的角度,无建设性意见的评论,表示黑得不够彻底。至于装不装x,也没啥x好装,就像你的用户名一样,随便挂个假ID,出来喷两句,我觉得在装x这点上,我还是没法比得上你。(摊手状~)
Tobe (5级) 2013-06-19
@CasperKid 摊手明显是学台湾风格啊
米歇尔.奥巴马 2013-06-19 4楼
请问要通过怎样的学习和历练才能有机会参加 Defcon CTF 呀? 我今年大一….好想通过几年的学习也加入到Defcon CTF比赛的队伍中….我想往Defcon CTF逆向小组方向发展…求指导 (对web不怎么感兴趣的说 >.< )
Tobe (5级) 2013-06-19
@米歇尔.奥巴马 是要挑战@CasperKid 么?
米歇尔.奥巴马 2013-06-19
@Tobe 当然不敢..他可是阿里巴巴的黑阔大牛啊~~ 不过他是玩儿WEB的 我真对web不太感兴趣….
scr@t (1级) 2013-06-19 5楼
还有没有其他的类似 SmashTheStack.org 的站呢
Jeffxx 2013-06-19
@scr@t http://Wargame.cs.nctu.edu.tw 有點類似, 可以參考參考
scr@t (1级) 2013-06-19
@Jeffxx 谢谢jeffxx
scr@t (1级) 2013-06-19 6楼
http://www.blue-lotus.net/ defcon的writeup
anlfi (1级) ??????????????????????????... 2013-06-19 7楼
呵呵~看来昨天的吐槽还有用的
抛砖引玉了吧
lool (1级) 2013-06-19 8楼
听起来很不错的样子呢
anlfi (1级) ??????????????????????????... 2013-06-19 9楼
比赛是锻炼知识与思维 一个交流竞技的平台
与其说是比赛我认为是游戏才正确
特别对于有兴趣的学生
像是30多了的老前辈 根本就不屑这些了
不知道有没有30多了的天朝大叔也参加了呢?
别说我家下面 的小学兴趣班也有 这类黑客培训和竞赛呢当然比较简单啦(吐舌头
天朝的应试化教育 没有重视培养兴趣 估计很多都是大学才开始玩的吧(lz的母校本线也不低呢
各种大牛都是大学少年班毕业╮(╯▽╰)╭
CasperKid 2013-06-19
@anlfi 哈哈 至少还是比重本线的分数低得多 我这种小菜才有地方可以找个窝~ (抠鼻屎~)
anlfi (1级) ??????????????????????????... 2013-06-19
@CasperKid 摸摸头~
teamtopkarl (1级) 2013-06-20 10楼
小心我dir溢出你
小七 (1级) 2013-06-20 11楼
预祝@CasperKid这次能赛出好成绩
F4K3R 2013-06-20 12楼
Dir Exploited by SharpWinner