专访BCTF八强战队sigma:不为别的,只为了心中的梦


发布人:admin分类:网络安全浏览量:36发布时间:2017-12-12

BCTF“百度杯”全国网络安全技术对抗赛,是由百度公司主办,清华和北大的安全技术专家提供技术支持,紫金江宁、南京赛宁承办,面向全国范围网络安全技术实战竞赛。日前来自上海交大Oops战队、台湾大学217战队、多高校联合组成的Sigma战队等8支队伍脱颖而出,成功晋级八强备战决赛。FreeBuf在赛后专访了BCTF八强之一的Sigma战队。

“大多数成员是在国内的CTF线下赛的时候认识的”

跟FreeBuf的小伙伴们打个招呼吧,说说sigma成员都来自哪里,成员有那些,专攻什么方向?

成员来自很多地方,像哈尔滨、内蒙、山东等等,可以说是五湖四海吧。

下面介绍一下团队成员(排名不分先后):

LanLan:大四待业青年,阿里巴巴准安全工程师,freebuf小编,专攻WEB PPC。
d:苦逼研究僧,负责RE、PWN。
Random:苦逼研究生一枚,目前研一,主要负责溢出和逆向,累了就搞搞WEB找点灵感。
MacTavish:要毕业的研究僧,主要负责Exploit,有时候也去web打打酱油。
Summer:一名朝气蓬勃的高三党,团队内最小成员,主要负责Web方向。
Sky:北漂苦逼应届生,目前在sina实习,主要负责Web Python方向。
L0g1n(强子):工作党,安天实验室病毒分析工程师,主要负责逆向分析,C/C++、驱动、Python都会一些。
太阳风:苦逼北上广的应届生,喜欢研究web,溢出等各种漏洞,目前在绿盟实习。
LXM:大四准毕业生,曾在绿盟,360实习,主要负责渗透,也会一些编码。
Kun:56S+5Lya5aSn5a2m5bey5YWl5a2m5LiA5bm077yM55uu5YmN5Zyo5aSp6J6N5L+h5omT5omT5p2C77yM5YGa5YGa5riX6YCP
Matrix(都叫我虫子)大龄程序员,早年搞安全,被师批评“搞些边边角角的没用的东西”而后玩算法,毕业季回归安全。主要负责社工/cy、web。
Emaster 做毕设的苦逼大学生,研究方向是web和开发

团队中还有其它的小伙伴,但灰常低调,在水里不肯出来。

你们是如何凑在一起的?

大多数成员是在国内的CTF线下赛的时候认识的,主要是绿盟举办的ISCC和西电的XDCTF,当时SKY,Summer(高三党),突发奇想要建立一个小组,于是大家就一拍即合了。


“比赛结束后会发现,一切付出是有收获的”

之前有参加什么安全比赛吗?

参加了ISCC、西电的CTF和杭电的CTF,有时,还会去参加国外的一些CTF比赛打打酱油。

给我们介绍下CTF比赛,比如CTF比赛通常都会考察参赛者哪方面的技术?

CTF全称就是(Capture The Flag)啦,中文就是夺旗子的小游戏。黑客在一些关卡中通过各种各样的技术找到最终的flag,从而获得加分。

一般CTF比赛中,会涉及MISC,PPC,CRYPTO,PWN,REVERSE,WEB,STEGA这几种题目。

MISC 的全称是 miscellaneous 杂乱无章的意思,其中的题目可能涉及,流量分析,取证,人肉,大数据统计,等等。

PPC 是 Professionally ProgramCoder 的意思,会涉及到一些简单的算法知识,不过他比ACM要简单的多啦。

CRYPTO 是密码学的缩写,这一类的题目通常以破解密文为主,加密算法有可能是古典加密算法,也有可能是现代的加密算法,甚至有些是出题者杜撰的加密算法。

PWN 在黑客俚语中代表着,攻破,取得权限,在CTF中它代表着溢出类的题目。

REVERSE 就是逆向工程,这个大家应该很熟悉的。破解crackme.exe就是这类题的主旋律。

STEGA是Steganography的缩写,隐写术的意思,这类题很有意思,flag被藏在一段视频,一张图片,一首音乐,或者任何你想想不到的载体中,也是CTF比赛中最有挑战和乐趣的一类题。

WEB 题型就是最大众化的WEB漏洞的考察了,他会涉及到注入,代码执行,文件包含等常见的WEB漏洞。

国内外的比较好的CTF比赛有那些?

国内老牌CTF比赛比如 绿盟的ISCC、西电的XDCTF、杭电的HDCTF都比较不错。最近上交的0CTF也相当有趣。

PS .国内的CTF线下赛大多都管食宿,竞争也不强,强烈推荐小伙伴去公费旅游哇~

国外的比赛主要就是 CTFTime上面的啦,建议大家可以多参加一些国外的,可以开拓一些思路。

对本次百度杯CTF的整体评价如何?

这次比赛的命题组是由三个战队组成,出的题目质量没得说,难度在国内来说,也是较高的。在48小时的激战中,sigma的一些小伙伴都只睡了4,5个小时,两次看到东方亮起鱼肚白的感觉也是之前从未体会到的,努力的过程也是收获和喜悦。有些小伙伴,晚上做梦都是这些东西,第二天起床,手机关机、QQ关掉,一人苦苦的搞。但比赛结束后,会发现,这些付出是有收获的。

说说你们战队在这次比赛过程中遇到的困难?

说实话,这次比赛充满了困难,除了100分的题目,其他的题目基本都得死磕。

就像PPC 400,我们几个就死磕了一天多。

一些逆向题目也是各种纠结,总有想摔键盘的操作,但还好大家互相鼓励,最终取得了不错的成绩。


“不为别的,只为了心中的梦”

小伙伴们都对参加CTF比赛很感兴趣,从未接触CTF比赛的同学应该从哪里开始入手呢?有没有一种循序渐进的方法?

兴趣应该还是第一位的,可以先去参加国内的一些比赛,然后找到自己的不足,去学习,从一点入手,坚持住,就会学会很多的。当然也需要积累一些经验。

当到达一定程序之后,可以去看一些国外的Writeup,拓宽思路,建议还是选择一个方向入手,不要什么都做。

一般大家会在哪里学习技术了解新知识?

FreeBuf、乌云还有一些个人的博客、大牛的blog,大牛战队的writeup。

对未来的发展有哪些展望?

希望团队的最小成员Summer考上一个好大学、马上毕业的找一个好工作、已经工作的工作顺利,我们的team能一直坚持下去,保持住这份兴趣,这份激情,大家一直是好基友。不为别的,只为了心中的梦。

对FreeBuf将要举办的CTF有什么期待?

希望门槛相对低一些能让更多的小伙伴们参与进来,一起玩,期待有更多的人关注信息安全。


附上sigma本次预赛成绩,预祝他们决赛好运!


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21451114(PV) 页面执行时间:43.216(MS)
  • xml
  • 网站地图