Defcon CTF 黑客竞赛文化的碎碎念

CasperKid@Defcon 2013-06-19 284334人围观 ,发现 25 个不明物体 头条


2011年,第一次和 Syclover 的少年们参加第19届 Defcon CTF Qual 全球资格赛后,我就一直想写一篇这样的娱乐圈的软文。也是我第一次视野上走出国门参加国外竞赛,感触到了不一样的黑客文化。


所处环境使我基本上国内的黑客竞赛都有参加过,西南地区的高校竞赛题目通常以我们团队 Syclover 的校内网络攻防大赛题目为蓝本发展,慢慢被很多其他地区借鉴。后来看到了同样发展中的 iscc,还有国内以地区开始出现的高校竞赛越来越多,表示非常欣慰。不过从参加 Defcon CTF Qual 开始,从第19届到今年的第21届,第19届 Syclover 独自参赛,第20届 Blue-Lotus、Syclover、Ininsight 混合团队拿下全球第18名,第21届 Blue-Lotus 混合团队拿下全球第4名,3年里的参赛队伍中几乎很难见到国人的面孔,Blue-Lotus 的队伍成员基本上算是一个国家代表队的构成了,混合了圈子类各个地方热爱黑客竞赛的少年。也是我觉得比较遗憾的,不知道是国内大牛们都不屑参与,还是的确国内的视野与水平离国际还有一定距离。


黑客竞赛一直是一个很特别的存在,尤其是在国内与国外,竞赛题型的差异非常大。国内的题目通常出得比较偏向于基础题和实践题,出得好的竞赛题还会有模拟搭建出的渗透环境(含内网渗透)。国外的题目有两大类题型,一类是 Wargame,类似于通关挑战,比较出名的有 SmashTheStack.org,当年我也在这里磨练 BlowFish 和 IO 类别的题目(也尝试过地把这类题加入过我们的校内竞赛题目,结果发现基本上只有几个少年能玩)。

一类是 CTF,就像 Defcon CTF 一样,通常有线上资格赛与线下决赛两个环节。线上资格赛以做题拿到不同的分值,积分前x名进入线下决赛。决赛所有的队伍被关在小黑屋里(散瑟~ 雅蠛蝶~),每个队伍分配一台 VM,上面跑着各种各样的 App 或者 Web,VM 里也随机散布着各个 flag 文件(得分文件)。比赛开始后,所有队伍相互进攻以及防御(砸 0day 的时候到了!~ Mod_security 开启!~),哪个队拿到的 flag 文件多,哪个队获胜。

(【扩展阅读】感兴趣的同学可以看看当年 MIT CTF 的纪实)


不过从实用主义的角度,国内的大环境更喜欢偏现实/实际的题型,例如模拟真实的web环境,让你渗透discuz、dedeCMS 等。也造就了国内黑客的兴趣点和国外的不同。回到文章的开头,第一次参加 Defcon CTF Qual 的时候,让我感触最深的就是,题目里面有很多小技巧或者黑客文化。在老外眼里,技术竞赛是一种乐趣,就像我们喜欢看 WCG,喜欢看足球世界杯,喜欢看奥运会,并不是因为看它,我们就会多赚多少钱等等,更多是一种对竞技的享受。所以也是我参加国外竞赛后,最大心态变化,做这些题或许不一定会直接学到什么0day,但却能感受到很浓厚的黑客文化,与黑客的那种奇技淫巧的思维,或许你以后发现安全漏洞的思维就是受这些奇技淫巧的启发。


但要改变这种大环境的功利主义,似乎是一件不太现实的事,在天朝生活在水生火热的技术大牛们,有时每个月房租、生活费等等杂七杂八的费用,都是头疼的事,更不用说还要很纯粹地去享受技术、甚至是文化这种层面。米国佬们,各种过着CCTV里描述的“水深火热”的日子,物质基础相对来说不是他们需要过于担心的了,黑客文化、氛围是国外的高富帅们可以尽情享受的。


不过话说回来,很多人还只是看到 Qual(资格赛)部分的题目,各种吐槽神马的(其实还有很多非常优秀的题)。在真正 CTF 决赛的过程,技术含量其实是非常高的。我与基友dcluo(他是 MIT CTF 纪实的作者也是参赛者,现在在米国 Mircosoft)聊过如何举办一场国内的 CTF 竞赛,后来发现要在国内举办一场这样的比赛是何其艰难,CTF 这种类别的竞赛对竞赛者的综合水平要求非常高,快速代码审计能力、安全加固能力、快速编程能力等诸多基本功,通常国内的大学生真心是很难能达到这种水平,所以我才明白了为什么 CTF Qual 会有那些看上去不是很现实/实际的题型(被很多人吐槽,包括我自己),但题目的设计的确是对参赛者基本功很好的考验,48小时的连续竞赛,基本上能反应一个人快速学习能力与自身当时的基本功状态。


今年和 Blue-Lotus 的少年们一起参加各种国际 CTF 集训的日子非常开心,收获了很多猥琐思路,也见识到了很多奇技淫巧。我自己是个竞赛控,可以说从大一入门学习开始,黑客竞赛就一直伴随着我的成长,激励我短时间内学习各种自己不懂的知识,保持对技术的新鲜感和热情。虽然我不能说黑客竞赛是能让你技术成长最快的方式,不过它的确是黑客文化中,黑客们奇技淫巧思维一个展示的平台。


Defcon CTF 作为全球最顶级的黑客竞赛,不管再肿么吐槽、高级黑它,但它的确是激励了全球众多黑客趋之若鹜的地方。说功利点,进 Defcon CTF 决赛的成员基本上全球各大互联网公司都可以随便进,Google、Facebook、Microsoft 等。说高雅点,和全球黑客同场竞技又何尝不是一件有趣的事。


期待明年 Defcon CTF,会涌入更多的新面孔,让全球更多高级黑我大天朝(或大蓝翔)是黑客的摇篮。某一天打开Defcon.org的官网首页,上面写着 “Dir Exploited by SharpWinner“。

这些评论亮了

  • 米歇尔.奥巴马 回复
    请问要通过怎样的学习和历练才能有机会参加 Defcon CTF 呀? 我今年大一....好想通过几年的学习也加入到Defcon CTF比赛的队伍中....我想往Defcon CTF逆向小组方向发展...求指导 (对web不怎么感兴趣的说 >.< )
    )24( 亮了
  • 嘻嘻,是不是抢到sf之后ck哪天下班考虑bg我们一顿- -
    )6( 亮了
发表评论

已有 25 条评论

取消
Loading...
css.php