记首次参加网络安全比赛（初赛-知识竞赛，决赛-CTF夺旗赛-解题模式）

网络安全相关的方向很多，几乎IT相关的安全内容都可以涵盖在内。笔者本身的知识体系更偏向于编程语言和Web应用，本次参赛可谓极具挑战，但是就是喜欢这种感觉：）

• 赛程安排

9月16日接到通知

9月26日初赛

10月15日决赛

• 初赛

网络安全的重要性不容置疑，借助比赛来增强网络安全方面知识储备和技术能力一举多得。于是收到通知后便在公司内部做了宣讲，最终18名“勇士”报名参赛，开始准备初赛。

初赛主要考核理论知识，包括：

网络安全法律法规、网络安全标准、网络安全管理知识、网络安全技术知识（安全检测、安全运维、应急处理），相关法律法规和标准清单如下（后面数字为页数）：

《中华人民共和国密码法中华人民共和国网络安全法》 14
《中华人民共和国数据安全法》 11
《互联网信息服务管理办法》 11
《国家政务信息化项目建设管理办法网络信息内容生态治理规定》 11
《网络安全审查办法》（2020 年 6 月 1 日起实施）3
《GB/T25058—2019 网络安全等级保护实施指南》  45
《GB/T37973—2019 大数据安全管理指南》 21
《GB/T37931—2019Web 应用安全检测系统安全技术要求和测试评价方法》44
《GB/T37988—2019 信息安全技术数据安全能力成熟度模型》61
《GB/T37972—2019 云计算服务运行监管框架》22
《GB/T37964 —2019 个人信息去标识化指南》35
《GM/T0054—2018 信息系统密码应用基本要求》 27
《计算机信息系统安全保护等级划分准则》（GB17859—1999）9
《信息安全技术信息安全风险评估规范》（GB/T20984—2007）32
《信息安全技术信息安全应急响应计划规范》（GB/T24363 —2009）32
《公共安全业务连续性管理体系要求》（GB/T30146—2013）26
《信息安全技术信息安全风险管理指南》（GB/Z24364— 2009）44
《信息安全技术移动终端安全保护技术要求》（GB/T35278 —2017）30
《信息安全技术电子政务移动办公系统安全技术规范》 （GB/T35282—2017） 13
《信息安全技术安全漏洞分类》（GB/T33561—2017 2020 ）22

 相关技术如下：

Windows 操作系统主机安全防护。
Linux/Unix 操作系统主机安全防护
安全设备与工具
主机恶意代码防护
网络层攻击的安全防护
网络单元信息的收集
扫描与探测
Web 入侵安全防护
溢出攻击安全防护 提权攻击的安全防护
其他：加解密、Web攻击、漏洞、物联网安全、数据恢复、恶意代码识别等

初赛主要考核“记忆力”，相关知识要有所涉猎，最终4人进入决赛。

• 决赛

能够进入决赛是很开心的，但这种开心很快被巨大的压力取代，因为初步了解了夺旗赛（CTF）到底比什么。

夺旗赛是一种信息安全竞赛形式，分为解题模式和攻防模式：

• 解题模式

参赛队伍可以通过互联网或者现场网络参与，以解决网络安全技术挑战题目的分值和时间来排名。

• 攻防模式

参赛队伍在网络空间互 相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。

夺旗赛通常包含6大方面：

1. Reverse
   题目涉及到软件逆向、破解技术等，要求有较强的反汇编、反编译功底
   所需知识：汇编语言、加密与解密、常见反编译工具。
2. PWN
   Pwn 在黑客俚语中代表着攻破，获取权限，在 CTF 比赛中它代表着溢出
   类的题目，其中常见类型溢出漏洞有整数溢出、栈溢出、堆溢出等。
   所需知识：C，OD+IDA，数据结构，操作系统。
3. Web
   Web 是 CTF 的主要题型，题目涉及到许多常见的 Web 漏洞，如 XSS、
   文件包含、代码执行、上传漏洞、SQL 注入等。也有一些简单的关于网络
   基础知识的考察，如返回包、TCP/IP、数据包内容和构造。可以说题目环
   境比较接近真实环境。
   所需知识：PHP、Python、TCP/IP、SQL。
4. Crypto
   题目考察各种加解密技术，包括古典加密技术、现代加密技术甚至出题者自创加密技术，以及一些常见编码解码，主要考查参赛选手密码学相关知识点。通常也会和其他题目相结合。
   所需知识：矩阵、数论、密码学。
5. Misc
   即安全杂项，题目涉及隐写术、流量分析、电子取证、人肉搜索、数据分析、大数据统计等，覆盖面比较广，主要考查参赛选手的各种基础综合知识。
   所需知识：常见隐写术工具、Wireshark 等流量审查工具、编码知识。
6. Mobile
   主要分为 Android 和 iOS 两个平台，以 Android 逆向为主，破解 APK 并
   提交正确答案。
   所需知识：Java，Android 开发，常见工具。

看完上面介绍，尤其是涵盖的知识内容，相信大家能体会到笔者的压力。

本次比赛的决赛采用的是解题模式，包含5个方向（仁慈的主办方去掉了Mobile），12道题，分值为200或300。比赛在一个大房间内进行，自带电脑，接入现场网络，访问答题系统，无互联网，手机上交，设置个人一、二、三等奖，团体组织奖。

从得到决赛入围通知到最终现场参赛只有16天时间，要做的主要事情：

1. 由于无互联网环境，各种在线神器都无法使用，因此要做各种准备工作：安装工具、下载资料等；
2. 5个方向相关知识学习；
3. 大量刷题，熟悉工具的使用，归纳解题思路；

于是，整个国庆假期都在准备，最后参赛前几天每晚都要到12点，有一天到了凌晨1点，知识点越看越多，几乎刷的每一道题都是新题。幸好有团队作伴，几个人向着一个明确的目标，极具挑战，但是过程十分迷人，现在回望，充满收获。

10月15日在紧张地备战中到来了，决赛持续4个小时，到场时大家还能尽量放松，互相打气，比赛过程中全场死一般寂静，能够感受到几十个大脑的飞速运转，彼此较劲。每当有人解出一道题，系统会提示，这由增加了无形的压力。时间到，系统自动终止答题，所有人都默默的坐着，就像行驶在快车道上的汽车，到达目的地要经过一个长时间的减速。走出比赛场地，到了外面，呼吸到清凉的空气，大家才恢复到“正常”模式，团队里的4人彼此交流起来：你解出几题？那道Web是怎么解的？...

由于要对初赛和决赛成绩进行加权，来计算最终成绩，现场没有公布结果，大家惴惴不安的离开，期待着自己的努力能有回报。

答题界面：

煎熬了3天，最终结果：参赛的4人，3人获得三等奖，团队获得组织奖。虽然是最低奖项，对于我们来说也是一种比较满意的结果，更别提过程中的丰硕收获：对网络安全整体认知的提升，对各项技术能力的提升，对自身学习能力的提升，对团队凝聚力的提升...

如果再有这样的机会，还会一如既往的参加。

对网络安全、夺旗赛（CTF）感兴趣的，我总结了相关资料、工具及解题思路，都是难得的初学者资料，欢迎品鉴交流。