CTF 是 Capture The Flag 的簡稱，中文咱們叫奪旗賽，其本意是西方的一種傳統運動。在比賽上兩軍會互相争奪旗幟，當有一方的旗幟已被敵軍奪取，就代表了那一方的戰敗。在信息安全領域的 CTF 是說，通過各種攻擊手法，獲取服務器後尋找指定的字段，或者文件中某一個固定格式的字段，這個字段叫做 flag，其形式一般為 flag{xxxxxxxx}，提交到裁判機就可以得分。

信息安全的 CTF 的曆史可以說很長了，最早起源于 96 年的 DEFCON 全球黑客大會

入門滲透，那肯定得各種練手對不對？但因為由于 「網絡安全法」的頒布，随意掃描他人網站，或非授權滲透測試都有一定的風險。最近也有個新聞：

說實話，這小夥隻是在掃描，攻擊都被防火牆攔下了，啥都沒弄到，結果還是一樣被判刑，可謂是偷雞不成蝕把米了……

所以記住千萬不要亂掃國内的網站，尤其是教育、政府類網站。但初入門的同學學習滲透測試沒有一個對應的環境也是不行的，而常見的靶機對于小白來說太過複雜，很容易不知如何下手。

這個時候 CTF 就非常适合了，CTF 一般是一個題目有一個或幾個知識點相互糅合，相對來說目标性比較強。如果想要體會到安全的成就感和趣味性，促進自己邊練邊學，CTF 就是一個很好的選擇。

CTF 題目類型一般分為 Web 滲透、RE 逆向、Misc 雜項、PWN 二進制漏洞利用、Crypto 密碼破譯，有志于滲透測試的同學一開始建議從 Web 滲透的題目開始，輔以 Misc 雜項和 Crypto 密碼學。

CTF 主要分為兩種模式，一是解題模式。對于 Web 安全來說，會要求你入侵網站或者靶機，攻擊成功後系統會顯示flag或者在某個目錄 文件 數據庫尋找 Flag，提交到答題系統得分。逆向工程題目一般形式是破解注冊機、動态調試、dump 内存等等。這些題目可以百度或谷歌别人的解題報告（ 關鍵字：CTF writeup）來認識一下。

這種模式的缺點是類似于“應試教育”，當前的趨勢是注重出題難、出題偏，沒有考慮實際，就跟奧數似的。而且這種模式隻有攻擊，卻沒有防守，而在企業中工作更多的還是考慮如何防護的問題，這個時候 AWD 攻防賽模式就應運而生了。

二是攻防賽，也叫 AWD(Attack With Defense，攻防兼備)模式。你需要在一場比賽裡要扮演攻擊方和防守方，攻者得分，失守者會被扣分。也就是說，攻擊别人的靶機可以獲取 Flag 分數時，别人會被扣分，同時你也要保護自己的主機不被别人得分，以防扣分。

這種模式非常激烈，準備要非常充分，手上要有充足的防守方案和 EXP 攻擊腳本。我第一次參加這種比賽的時候就被人打慘了QWQ，不過後面參賽越多，積累的經驗就會越多。所以說，這種比賽不用慌，多打多學多積累就好了。

CTF 裡面也有一血之說，誰第一個交 Flag 能獲得分數加成，所以說手快也很重要。不過一般來說是沒有别的大佬手快的。

現實的滲透測試會有非常完整的流程，從信息收集、漏洞探測開始，再逐項攻擊，很多時候會一無所獲。相比之下，CTF 的目标會比較明确，中等難度以下的題目一般都會在題目描述中提示漏洞的發生處，沒有提示的話檢測點也不會很多，一個個篩查就可以了。

其次，有很多 CTF 題目會有點脫離現實滲透，套路、腦洞比較多，有的知識點并不實用……怎麼說呢？

有的時候出題人為了出點新題會把題目設置得腦洞要特别大才能做出來，Misc 安全雜項更是這種題的重災區。做這種題其實對現實滲透沒啥幫助，比如說這道密碼題，第一次見的時候頭大得一筆，各位看官先猜猜看是啥：

我反正是看麻了....

做多了 CTF 的同學應該知道，這是「與佛論禅」密碼加密，也不知道是誰想出來的……

類似這種摸不着頭腦、要用特别奇怪的姿勢或套路做題的題目也屢見不鮮。其實這也一定程度偏離了 CTF 的初衷，我們是要提高自己的安全姿勢水平，而不是大開腦洞。

因此較為簡單、腦洞略大的 CTF 題僅作擴充知識面就好了。話雖如此，現在 CTF 大賽都已經往實戰的方向走了，高水準的 CTF 題目很多都會模拟真實的網站，讓你更加有真實滲透的代入感，滲透手法也更加貼近實戰。國内比較良心的 CTF 有 DDCTF、安恒杯月賽 CTF 等等。

關于 CTF 賽事的信息可以關注 XCTF 社區或 CTFtime 整理的賽事鍊接，詳請點閱讀原文。雖然非常可能在比賽裡打不過各位大佬，但是劃劃水，學習學習知識也是非常不錯滴。

我搜集了一些入門比較可以的 CTF 靶場，想了想，把集合文章放到自己廢棄已久的博客上，以後會在博客更新技術文章，這裡依然不講啥技術，說點兒硬硬的經驗幹貨就好了。

需要靶場資料合集麻煩各位小夥伴轉發後 私信【CTF】即可免費領取

新手入門的話，在靶場慢慢刷題，對于不會的題目直接百度或者谷歌，都會有很多解題報告，遇到不會的知識點也要善于使用搜索引擎。最好的方法還是加入一個 CTF 小組，大家互相幫助，提高得會更加快。有什麼方面需要我說得更加詳細的，歡迎留言或者發消息。

最近事情比較多，有點突發狀況，文章難産了好久……對各位說聲不好意思。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!