『壹』 國內網路安全競賽哪個最牛逼
應該是XCTF聯賽。由中國網路空間安全協會(籌)競評演練工作組主辦,騰訊是唯一合作方,Keen Team擔任導師,總體組織是DEFCON CTF里的中國標志藍蓮花戰隊。在校學生和從業人士都可以報名參加,總獎勵池100萬人民幣,獲獎選手能參加特訓夏令營,還支持選手參加DEFCON CTF。優秀選手還有機會去騰訊或者Keen Team實習、工作,從競技水平和未來發展來說,都是目前國內最好的。
『貳』 網路攻防平台有哪些
作者:周知日
鏈接:http://www.hu.com/question/24740239/answer/28872069
來源:知乎
著作權歸作者所有,轉載請聯系作者獲得授權。
DVWA: Damn Vulerable Web Application
DVWA - Damn Vulnerable Web Application
基於 php 和 mysql 的虛擬 Web 應用,「內置」常見的 Web 漏洞,如 SQL 注入、xss 之類,可以搭建在自己的電腦上,隨便黑不犯法。搭建環境也很簡單,下一個 XAMPP 包裝上就差不多能用了。
另外可以翻烏雲(WooYun.org | 自由平等開放的漏洞報告平台)和 sebug(http://sebug)上關於開源 Web 應用的歷史公開漏洞,找一下對應的版本(一般不難找,歷史太久遠的可能就麻煩點),在自己機器上搭建環境,嘗試去重現。
其實你會發現搭建「靶場」這個工作相對拿現有的漏洞去復現要麻煩上許多,甚至有時候要安裝對應的軟體甚至操作系統(在虛擬機里)。但搭建本身也是學習 Web 應用知識和網站加固的一個非常好的途徑。
DVWA-WooYun(烏雲靶場)
烏雲上剛發布的測試版,第一時間搬運過來。
免安裝在線使用:
DVWA Wooyun edition
原帖地址(需烏雲賬號):
DVWA-WooYun(烏雲靶場)開源漏洞模擬項目 測試版公布!
DVWA-WooYun是一個基於DVWA的PHP+Mysql漏洞模擬練習環境,通過將烏雲主站上的有趣漏洞報告建模,以插件形式復現給使用該軟體的帽子們,可以讓烏雲帽子們獲得讀報告體驗不到的真實感,在實踐的過程中可以無縫隙地深入理解漏洞的原理及利用方式
中英雙字,如果您語文學的不好不必擔心了,界面提示英文的(DVWA原廠),內容提示中英雙字(後來覺得比較眼花,所以去掉了部分英文)
開放源文件(遵守GPL),有源碼有真相:
DVWA-WooYun-edition
網路雲 請輸入提取密碼 xtr8
作者 lxj616
Metasploitable
著名的滲透框架 Metasploit 出品方 rapid7 還提供了配置好的環境 Metasploitable,是一個打包好的操作系統虛擬機鏡像,使用 VMWare 的格式。可以使用 VMWare Workstation(也可以用免費精簡版的 VMWare Player )「開機」運行。
下載請戳: Download Metasploitable
如果你不喜歡填個人信息,或者這還有個下載地址?
http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip
這是基於 Ubuntu 系統修改定製的虛擬機鏡像,內置了許多可攻擊(metasploitable!)的應用程序,比如在 Web 應用方面預裝了如下平台:
mutillidae (NOWASP Mutillidae 2.1.19)
dvwa (Damn Vulnerable Web Application)
phpMyAdmin
tikiwiki (TWiki)
tikiwiki-old
dav (WebDav)
系統軟體的漏洞(二進制漏洞)也是存在的,可以完成從 Web 到提權的一整套練習。而且已經內置了常見的 Web 環境如 php + mysql,其他的網站應用同樣可以嘗試在上面自行搭建。
Metasploitable 的官方英文手冊:
Metasploitable 2 Exploitability Guide
也可以參考這篇譯文:
Metasploitable 2 漏洞演練系統使用指南(上)_91Ri.org
Metasploitable 2 漏洞演練系統使用指南(下)_91Ri.org
OWASP Broken Web Applications Project
https://code.google.com/p/owaspbwa/
跟 Metasploitable 類似,這也是打包好的虛擬機鏡像,預裝了許多帶有漏洞的 Web 應用,有真實世界裡的流行網站應用如 Joomla, WordPress 等的歷史版本(帶公開漏洞),也有 WebGoat, DVWA 等專門用於漏洞測試的模擬環境。
官方的使用說明:
https://code.google.com/p/owaspbwa/wiki/UserGuide
演示視頻(需梯):
OWASP Broken Web Applications VM
XCTF_OJ 練習平台
http://oj.xctf.org.cn/
XCTF-OJ (X Capture The Flag Online Judge)是由 XCTF 組委會組織開發並面向 XCTF 聯賽參賽者提供的網路安全技術對抗賽練習平台。
XCTF-OJ 平台將匯集國內外 CTF 網路安全競賽的真題題庫,並支持對部分可獲取在線題目交互環境的重現恢復,XCTF 聯賽後續賽事在賽後也會把賽題離線文件和在線交互環境匯總至 XCTF-OJ 平台,形成目前全球 CTF 社區唯一一個提供賽題重現復盤練習環境的站點資源。
網路信息安全攻防學習平台
http://hackinglab.cn/main.php
提供基礎知識考查、漏洞實戰演練、教程等資料。實戰演練以 Web 題為主,包含基礎關、腳本關、注入關、上傳關、解密關、綜合關等。
PentesterLab 練習環境
[PentesterLab] Our exercises
這裡面列出的全都是可以直接用虛擬機軟體打開的,配置完整的靶場環境。應該是出於版權考慮沒有 Windows 的系統鏡像,不過覆蓋的漏洞也不少,如:
Shellshock [PentesterLab] CVE-2014-6271/Shellshock
XML 實體注入 [PentesterLab] Play XML Entities
會話注入 [PentesterLab] Play Session Injection
從 SQL 注入到 shell [PentesterLab] From SQL Injection to Shell
PHP 文件包含和高級利用 [PentesterLab] PHP Include And Post Exploitation
安裝方法是,本地配置一個虛擬機,內存參數可以配的很低,就算有特別說明(注意下載頁面)也是要求到 512M。為這個虛擬機添加虛擬光碟機作為引導設備,光碟鏡像的路徑就設置成你下載的靶機 ISO 文件。啟動之後點 LIVE CD 直接用,或者安裝到虛擬機硬碟里都可以。
PWNABLE.KR
以上都是網頁伺服器安全相關的靶場,再推薦一個練習二進制 pwn 的網站:Pwnable.kr
pwnable 這類題目在國外 CTF 較為多見,通常會搭建一個有漏洞(如緩沖區溢出等)的 telnet 服務,給出這個服務後端的二進制可執行文件讓答題者逆向,簡單一點的會直接給源代碼,找出漏洞並編寫利用程序後直接攻下目標服務獲得答案。
這個網站里由簡到難列出了許多關卡,現在就上手試試吧。
自行搭建虛擬機
自行搭建 Windows 環境也並不是太麻煩,因為安裝程序都是圖形化界面,而且這些老系統上的軟體通常都比較可靠。你所需要的就是不停點下一步和看進度條的耐心……
在這個網站你可以找到微軟系的幾乎所有操作系統、伺服器工具(如 SQLServer)的原汁原味版安裝鏡像:MSDN, 我告訴你
系統方面不用說自然推薦Windows XP 和 2003,他們目前的使用率還是相當可觀的,既容易上手也具備實戰價值,不乏 MS08-067 之類的教科書級漏洞。
軟體方面推薦一些較為容易攻擊和提權環境:
IIS 6:Windows 2003 默認啟用,XP 下需要在「添加和刪除 Windows 組件」里安裝。它有經典的分號文件名解析漏洞,配合許多網頁程序編輯模板、生成靜態 HTML、上傳文件等的漏洞,拿 shell 比較方便。更高版本的 IIS 也有解析漏洞,不過沒有這一版這么爽。
XAMPP(XAMPP Installers and Downloads for Apache Friends):安裝時將 Apache 設置為系統服務,這樣將以 SYSTEM 許可權運行,你在 getshell 之後可以一步到位拿到管理員許可權。
SQL Server < 2005:之所以要低於 2005 是因為在這個版本中默認禁用了大夥喜聞樂見的 xp_cmdshell。
一些低版本的第三方 FTP 伺服器,如 Serv-U,然後點開右邊:Serv-U_漏洞 。
MySQL:各個版本有自己的特點,如 INFORMATION_SCHEMA 在 5.x 才引入,對脫庫非常有用,省去跑表名的精力;而像 load_file、UDF 提權之類的利用也因版本而異,展開說篇幅就長了,請參考網上相關教程。
CCProxy:可以在內網搞一些初級的埠轉發(真實滲透呢,一般是不會用動靜這么大的軟體的……),這個軟體本身低版本也存在遠程代碼執行漏洞。
我相信會花時間看我這個答案的都是初學者,所以記得安裝之後不要給系統打補丁,也不要動輒嘗試 Windows 2008 之類比較新的系統,否則可能會一無所得。
一些細節
直接安裝上面的虛擬機之後,你就擁有了一個虛擬的伺服器,可以對它任意地糟蹋、練習攻防技術而不必有法律上的顧慮。萬一不小心搞壞了環境,還可以使用虛擬機自帶的快照功能瞬間恢復原狀。
但是安裝了虛擬機鏡像之後僅僅是獲得了一個伺服器環境,可以用作對應平台腳本或者二進制漏洞的研究。對於需要玩真格的練習,比如要達到奪旗賽的效果,還得設計網路拓撲。你想上面的環境都可以直連 mysql 等資料庫,可能一個弱密碼就進去了,多沒意思。一個完整的滲透過程不僅牽涉到漏洞的利用,還會有進入內網的要求。這時候就需要一些代理或者埠轉發工具來實現從「外網」到「核心目標」的訪問。
真實世界裡的網路一般會有 DMZ 等區域的劃分,還會具有網關、路由等。這些環境可以使用多個虛擬機同時運行進行模擬,同時利用 VMWare 等虛擬機軟體自帶的網路編輯器功能進行配置。對於一般的筆記本,同時帶上兩個虛擬機真的是很吃力的。所以要玩真格的話,還得多配置幾台物理上的真機,或者用成本相對低廉的嵌入式機器如樹莓派,甚至是刷了 OpenWRT 的路由器。比如去年我和同學在備戰安全競賽的時候就動用了機房裡好幾台電腦……
『叄』 全國大學生網路安全知識競賽的證書是真實有效的么可以用來幹嘛
是真的,可以加社會實踐學分。
『肆』 安全知識網路競賽登錄
安全知識網路競賽登錄,如果感覺有卡頓的話,可以等一下,有可能是登陸的人多,過一會兒就能登錄上去了。
『伍』 全國大學生網路安全知識競賽的證書是真實有效的么可以做什麼
是真的,可以加社會實踐學分。
考試流程 ,注冊中國大學生在線賬戶,登陸活動平台答題,答題時請輸入真實姓名、身份證號、學校等信息,系統將隨機從題庫中抽取50道題,每題2分,滿分100分。答題時間為30分鍾,每個用戶限答題1次,學生完成答題且得分等於、高於60分,可在答題平台自動獲得第三屆網路安全知識競賽證書,作為社會實踐活動經驗。
學生報名後於規定時間內完成網上答題,根據學校參與人數、平均成績進行排名,其中參與人數佔30%,平均成績佔70%。
活動要求 ,由於活動涉及到多個部門,要求所有部門都做好自己的相關宣傳工作,要求認真對待全國大學生網路安全知識競賽,為學校爭取好的成績。
根據教育部思想政治工作司關於組織參加2016年國家網路安全宣傳周活動的函的通知精神,將於9月19日至25日開展網路宣傳周活動,為配合宣傳周活動,組織參加全國大學生網路安全知識競賽活動。
『陸』 網路安全大賽真的有嗎
1、什麼是網路安全大賽
網路安全大賽,又叫CTF(Capture The Flag),中文一般譯作奪旗賽,在網路安全領域中指的是網路安全技術人員之間進行技術競技的一種比賽形式。網路安全大賽有許多比賽形式,比如解題模式、攻防模式、混合模式。
2、網路安全大賽的起源發展
CTF起源於1996年DEFCON全們通過互相發起真實攻擊進行技術比拼的方式。發展至今,已經成為全球范圍網路安全圈流行的競賽形式,2013年全球舉辦了超過五十場國際性CTF賽事。而DEFCON作為CTF賽制的發源地,DEFCON CTF也成為了目前全球最高技術水平和影響力的CTF競賽,類似於CTF賽場中的「世界盃」,通過這個比賽可以進行較量 。
3、重要級網路安全賽事
下面就列舉一些重要國際CTF賽事:
DEFCON CTF:CTF賽事中的「世界盃」,這也是CTF比賽體系得發源地。
UCSB iCTF:來自UCSB的面向世界高校的CTF。
Codegate CTF:韓國首爾「大獎賽」,冠軍獎金3000萬韓元。
XXC3 CTF:歐洲歷史最悠久CCC黑客大會舉辦的CTF。
EBCTF:荷蘭老牌強隊Eindbazen組織的在線解題賽。
RwthCTF:由德國0ldEur0pe組織的在線攻防賽
RuCTF:由俄羅斯Hackerdom組織,解題模式資格賽面向全球參賽,解題攻防混合模式的決賽面向俄羅斯隊伍的國家級競賽 。
4、外知名戰隊
PPP – 來自美國的超神明星戰隊,隊員有Geohot神奇小子和Ricky兩位國際最高水平黑客作為雙子領軍,2014年PPP包攬了GitS和CodeGate冠軍,CTFTIME全球排名僅次於Dragon Sector排名第二,Geohot神奇小子的單人隊tomcr00se(沒錯,他就自稱網路空間的湯姆克魯斯)在大滿貫賽Boston Key Party和大獎賽Secuinside,擊敗其他多人戰隊拔得頭籌。由Geohot神奇小子加盟2013年DEFCON CTF總決賽冠軍陣容,PPP戰隊再度衛冕2014年總決賽冠軍。
Blue-Lotus –的安全寶·藍蓮花戰隊。2013年歷史性地作為華人世界首次入圍DEFCON CTF總決賽的隊伍,並在決賽獲得第11名。