专访BCTF八强战队sigma:不为别的,只为了心中的梦

2014-03-17 444493人围观 ,发现 46 个不明物体 人物志头条

BCTF“百度杯”全国网络安全技术对抗赛,是由百度公司主办,清华和北大的安全技术专家提供技术支持,紫金江宁、南京赛宁承办,面向全国范围网络安全技术实战竞赛。日前来自上海交大Oops战队、台湾大学217战队、多高校联合组成的Sigma战队等8支队伍脱颖而出,成功晋级八强备战决赛。FreeBuf在赛后专访了BCTF八强之一的Sigma战队。

“大多数成员是在国内的CTF线下赛的时候认识的”

跟FreeBuf的小伙伴们打个招呼吧,说说sigma成员都来自哪里,成员有那些,专攻什么方向?

成员来自很多地方,像哈尔滨、内蒙、山东等等,可以说是五湖四海吧。

下面介绍一下团队成员(排名不分先后):

LanLan:大四待业青年,阿里巴巴准安全工程师,freebuf小编,专攻WEB PPC。
d:苦逼研究僧,负责RE、PWN。
Random:苦逼研究生一枚,目前研一,主要负责溢出和逆向,累了就搞搞WEB找点灵感。
MacTavish:要毕业的研究僧,主要负责Exploit,有时候也去web打打酱油。
Summer:一名朝气蓬勃的高三党,团队内最小成员,主要负责Web方向。
Sky:北漂苦逼应届生,目前在sina实习,主要负责Web Python方向。
L0g1n(强子):工作党,安天实验室病毒分析工程师,主要负责逆向分析,C/C++、驱动、Python都会一些。
太阳风:苦逼北上广的应届生,喜欢研究web,溢出等各种漏洞,目前在绿盟实习。
LXM:大四准毕业生,曾在绿盟,360实习,主要负责渗透,也会一些编码。
Kun:56S+5Lya5aSn5a2m5bey5YWl5a2m5LiA5bm077yM55uu5YmN5Zyo5aSp6J6N5L+h5omT5omT5p2C77yM5YGa5YGa5riX6YCP
Matrix(都叫我虫子)大龄程序员,早年搞安全,被师批评“搞些边边角角的没用的东西”而后玩算法,毕业季回归安全。主要负责社工/cy、web。
Emaster 做毕设的苦逼大学生,研究方向是web和开发

团队中还有其它的小伙伴,但灰常低调,在水里不肯出来。

你们是如何凑在一起的?

大多数成员是在国内的CTF线下赛的时候认识的,主要是绿盟举办的ISCC和西电的XDCTF,当时SKY,Summer(高三党),突发奇想要建立一个小组,于是大家就一拍即合了。


“比赛结束后会发现,一切付出是有收获的”

之前有参加什么安全比赛吗?

参加了ISCC、西电的CTF和杭电的CTF,有时,还会去参加国外的一些CTF比赛打打酱油。

给我们介绍下CTF比赛,比如CTF比赛通常都会考察参赛者哪方面的技术?

CTF全称就是(Capture The Flag)啦,中文就是夺旗子的小游戏。黑客在一些关卡中通过各种各样的技术找到最终的flag,从而获得加分。

一般CTF比赛中,会涉及MISC,PPC,CRYPTO,PWN,REVERSE,WEB,STEGA这几种题目。

MISC 的全称是 miscellaneous 杂乱无章的意思,其中的题目可能涉及,流量分析,取证,人肉,大数据统计,等等。

PPC 是 Professionally ProgramCoder 的意思,会涉及到一些简单的算法知识,不过他比ACM要简单的多啦。

CRYPTO 是密码学的缩写,这一类的题目通常以破解密文为主,加密算法有可能是古典加密算法,也有可能是现代的加密算法,甚至有些是出题者杜撰的加密算法。

PWN 在黑客俚语中代表着,攻破,取得权限,在CTF中它代表着溢出类的题目。

REVERSE 就是逆向工程,这个大家应该很熟悉的。破解crackme.exe就是这类题的主旋律。

STEGA是Steganography的缩写,隐写术的意思,这类题很有意思,flag被藏在一段视频,一张图片,一首音乐,或者任何你想想不到的载体中,也是CTF比赛中最有挑战和乐趣的一类题。

WEB 题型就是最大众化的WEB漏洞的考察了,他会涉及到注入,代码执行,文件包含等常见的WEB漏洞。

国内外的比较好的CTF比赛有那些?

国内老牌CTF比赛比如 绿盟的ISCC、西电的XDCTF、杭电的HDCTF都比较不错。最近上交的0CTF也相当有趣。

PS .国内的CTF线下赛大多都管食宿,竞争也不强,强烈推荐小伙伴去公费旅游哇~

国外的比赛主要就是 CTFTime上面的啦,建议大家可以多参加一些国外的,可以开拓一些思路。

对本次百度杯CTF的整体评价如何?

这次比赛的命题组是由三个战队组成,出的题目质量没得说,难度在国内来说,也是较高的。在48小时的激战中,sigma的一些小伙伴都只睡了4,5个小时,两次看到东方亮起鱼肚白的感觉也是之前从未体会到的,努力的过程也是收获和喜悦。有些小伙伴,晚上做梦都是这些东西,第二天起床,手机关机、QQ关掉,一人苦苦的搞。但比赛结束后,会发现,这些付出是有收获的。

说说你们战队在这次比赛过程中遇到的困难?

说实话,这次比赛充满了困难,除了100分的题目,其他的题目基本都得死磕。

就像PPC 400,我们几个就死磕了一天多。

一些逆向题目也是各种纠结,总有想摔键盘的操作,但还好大家互相鼓励,最终取得了不错的成绩。


“不为别的,只为了心中的梦”

小伙伴们都对参加CTF比赛很感兴趣,从未接触CTF比赛的同学应该从哪里开始入手呢?有没有一种循序渐进的方法?

兴趣应该还是第一位的,可以先去参加国内的一些比赛,然后找到自己的不足,去学习,从一点入手,坚持住,就会学会很多的。当然也需要积累一些经验。

当到达一定程序之后,可以去看一些国外的Writeup,拓宽思路,建议还是选择一个方向入手,不要什么都做。

一般大家会在哪里学习技术了解新知识?

FreeBuf、乌云还有一些个人的博客、大牛的blog,大牛战队的writeup。

对未来的发展有哪些展望?

希望团队的最小成员Summer考上一个好大学、马上毕业的找一个好工作、已经工作的工作顺利,我们的team能一直坚持下去,保持住这份兴趣,这份激情,大家一直是好基友。不为别的,只为了心中的梦。

对FreeBuf将要举办的CTF有什么期待?

希望门槛相对低一些能让更多的小伙伴们参与进来,一起玩,期待有更多的人关注信息安全。


附上sigma本次预赛成绩,预祝他们决赛好运!

这些评论亮了

  • 那个疼 回复
    经仔细观察,文中出现了12个黑阔,其中出现"苦逼"一词的占了5位.也就说明5/12=120%的黑阔连Bi的味道那么咸都没尝过~
    )57( 亮了
  • Mystery。 (6级) 403Art Co-Funder 回复
    现在的CTF都是以偏题怪题为主,越恶心越好,越多人看不懂越好,就是让你绕绕绕,其实没什么太大的技术考察性。不知道这种CTF的意义何在,就算是为了招人,通过这种考察的人又能干什么呢。
    )53( 亮了
  • anlfi (5级) 回复
    “对FreeBuf将要举办的CTF有什么期待?”
    最好直接上产品 按poc和exp质量 计算得分
    不要像xxx搞什么解谜游戏 好看不实用
    总体来说目的都是推动"信息安全"而已嘛 没有必要在意形式和手段
    so
    多少一直以个人信念与兴趣存在建立的team 最后也许也会因为信念与兴趣而淡然吧
    就像一双有力的大手一层一层的把云分开了
    这一切以后还能看到如此自由的云吗
    仿佛看见了策划的开始 一切设计细节都与人们的想法一致丰富着一切
    人生就是如此有惊喜有意外,这并没什么,危险的是打破自己的循环失去平常心和理智的思考
    CTF 从开始以来很有意思 所以很期望 能看到不同的"CTF"
    )9( 亮了
发表评论

已有 46 条评论

取消
Loading...
css.php