CTF资格赛的参赛门槛很低,只需要网上报名注册即可,但是大会组织者会手工筛选出最后确定的参赛队伍名单,要想在资格赛中胜出,不仅要有扎实的基本功,还必须要有一定的创造性思维以及在互联网上搜索资料的技巧。资格赛分五个项目:Trivia、Forensics、Potent Pwnables、Real World和Binary Leetness。
Trivia正如其名字,里面的问题都较为轻松,而且不见得就是与技术相关,可能会有那些与黑客文化相关的问题出现;Forensics基本上是热身,一般是在给定的文件中找出作为密匙(Key)的字符串;Potent Pwnables和Real World则是与现实网络攻击最为接近的项目,最终目的是获得服务器管理权限并从服务器上获取密匙字符串;Binary Leetness可以看作是前面三者的结合。
规则如下:每个项目中都有5道题,分值为100分到500分不等,除了最开始的一个问题是开放的之外(Lead Question),其他所有问题均是关闭的,最先做出Open Question的队伍将有资格选择任意一道问题作为新的Lead Question,其他队伍可以选择是继续原来的题目或者跳到这个新的问题上去,直到所有问题被打开或者规定时间到,比赛结束。
对于每道题,最先完成的队伍可获得该题对应的全部分数,第二名获得95%的分数,其余的完成队伍则获得90%的分数,提交问题答案的次数没有限制,但是由于是线上赛,因此导致记分牌死机的频繁提交或者试图黑掉服务器的方法是严格禁止的(事实上,比赛服务器是由一个名叫kenshoto的技术精英小组负责维护的,这些尝试基本上是浪费时间)。以下图片是比赛记分牌,图中绿色代表已经完成的题目,蓝色代表目前已经开放的题目,紫色代表你目前正在做的题目,黄色代表其他队伍打开的题目(Lead Question),灰色代表关闭的题目:
今年资格赛的所有题目以及部分解法可以在这里找到,感兴趣的朋友可以尝试一下(最好是FreeBSD环境),如果觉得不过瘾,这里和这里是2007年和2006年的题目和解法。(个人认为,Forensics是比较好玩的)
P.S.本来2006年kenshoto提供了服务器环境的下载以便那些感兴趣的人在自己的机器上测试那些牵涉网络攻击的题目,但是我突然找不到了。(汗)
DefCon是全球两大公开黑客集会之一(另一个是BlackHat),汇集了民间诸多技术高手,期间会举行众多的活动,其中最有名的就是CTF夺旗赛,它的基本规则是队伍在有安全缺陷的计算机上运行程序,完成队伍之间的相互攻击和自身防守,并且队伍人数没有限制。下面是CTF的现场布置:
CTF基本规则:每个队伍分配一台服务器,服务器上运行着很多网络服务,这些服务多半有着安全缺陷。每个服务中包含一个权杖(Token,每个队伍的Token不一样),并分为Public、Private和Overwrite三种类型,参赛队伍要做的就是要么获取服务中的Token,要么把自己的Token写入其他队伍的服务中去,因此得分方式也就有三种:1、Breakthrough,最先取得某一服务的控制权;2、Steal,获得某一服务中的Private Token,并将其提交到积分服务器上;3、Overwrite,用自己的队伍Token去覆盖其他队伍的专有Token。整个比赛将持续3天左右。
DefCon CTF决赛将于今年8月份在拉斯维加斯举行。