CTF大賽相關(guān)知識點

網(wǎng)絡(luò)攻防大賽相關(guān)知識點1背景2021年全國電子設(shè)計大賽一一信息平安技術(shù)專題邀請賽第一次設(shè)立“信息平安動態(tài)演練類”題目，依照官方網(wǎng)站的介紹，“信息平安動態(tài)演練類題目主若是信息系統(tǒng)的脆弱性分析，參賽形式是在封鎖網(wǎng)絡(luò)環(huán)境（含虛擬機）中的現(xiàn)場競賽，參賽內(nèi)容涉及網(wǎng)絡(luò)平安，統(tǒng)一命題?！弊鳛樾畔⑵桨布夹g(shù)競賽中最高級別的競賽，信息平安技術(shù)專題邀請賽第一次設(shè)立了攻防類的題目，網(wǎng)絡(luò)攻防實戰(zhàn)競賽終于丟掉了“禁區(qū)”的帽子，取得官方的支持。在國際下，相關(guān)的網(wǎng)絡(luò)攻防實現(xiàn)競賽已經(jīng)舉行了很連年，最聞名的確實是DefCon的CTF大賽，國內(nèi)在這一方面較為掉隊，也是在最近的幾年開始重視并持續(xù)追趕，目前國內(nèi)比較出名的戰(zhàn)隊有清華大學(xué)的藍蓮花戰(zhàn)隊，臺灣的HitCon戰(zhàn)隊，和上海交通大學(xué)的0ops戰(zhàn)隊等。除信息平安技術(shù)專題邀請賽，全國各大平安公司及其他高校也舉行了類似的競賽，今年比較聞名的競賽有百度的BCTF競賽，和第二屆360杯全國大學(xué)生網(wǎng)絡(luò)攻防大賽。2網(wǎng)絡(luò)攻防大賽的特點與其他的信息平安技術(shù)競賽相較，網(wǎng)絡(luò)攻防大賽的最大特點是技術(shù)的實戰(zhàn)性，參賽選手會在相對封鎖的環(huán)境中解決并滲透進入對方的主機系統(tǒng)，同時也要對自己的主機系統(tǒng)不斷地進行平安防護。就目前的競賽形式來看，題型設(shè)置大體上分為兩種。（1） 相同計算環(huán)境下的奪旗賽。參賽選手在相同并隔離的計算環(huán)境下，分析目標系統(tǒng)中的各類平安漏洞，利用漏洞或滲透主機等獲取主機內(nèi)隱藏的Flag。（2） 對攻實戰(zhàn)。同奪旗賽類似，參賽選手的計算環(huán)境相同，可是并非隔離，其解決目標變成對方選手的系統(tǒng)。因此，除獲取對方系統(tǒng)的隱藏Flag之外，還需要不斷給自己的系統(tǒng)打補丁以增強平安防護，避免被對手滲透等。3網(wǎng)絡(luò)攻防大賽的考察知識點就以往的競賽來看，競賽題目大致分為以下5類：密碼分析類、Web平安類、二進制程序的逆向破解類、數(shù)字取證類、漏洞挖掘及漏洞利用類。（1）Web平安Web平安涉及的內(nèi)容超級豐碩，就典型的Web效勞來講，其平安問題可能來自于Web效勞器、數(shù)據(jù)庫效勞器、和Web程序本身等。因此，學(xué)習(xí)和了解Web平安的內(nèi)容也需要循序漸進。1） 第一學(xué)習(xí)Web效勞器的配置。了解典型的Web效勞器如何構(gòu)建的，典型的Web效勞器包括微軟的IIS、Apache、Tomcat等。2） Web程序的開發(fā)離不開腳本語言。如何構(gòu)建一個靜態(tài)的Web網(wǎng)站？HTML的開發(fā)規(guī)那么是什么？如何利用HTML設(shè)計簡單網(wǎng)頁？在建設(shè)完成靜態(tài)Web網(wǎng)站以后，感愛好的同窗能夠重點學(xué)習(xí)動態(tài)Web程序的開發(fā)，典型的開發(fā)語言包括ASP、、JSP，PHP等。3） 典型的Web效勞離不開數(shù)據(jù)庫的支持，那么典型的數(shù)據(jù)庫有哪些？如何應(yīng)用？Access、MySql、MSSqlServer、Oracle等典型數(shù)據(jù)庫的安裝與配置等是怎么樣的？什么是SQL，典型的新聞發(fā)布網(wǎng)站是如何設(shè)計的？4） 在了解了上述Web知識以后，咱們就能夠夠進入Web平安的世界，比如，什么是SQL注入，什么是XSS注入，什么是CSRF，這些解決能夠發(fā)生的緣故是什么？如何防范？網(wǎng)絡(luò)上的那么多Web網(wǎng)站，可否自己獨立發(fā)覺一個上述漏洞？（注意，咱們要遵循黑客原那么，以發(fā)覺漏洞并增強平安防護為目的，堅決遏制非法的網(wǎng)絡(luò)解決。）5） 另外，Web平安還有Web效勞器、數(shù)據(jù)庫效勞器等本身的漏洞，比如，什么是弱口令，效勞器為了方便治理會常常開啟3389端口，那個端口有什么用？如何能夠猜解出治理員的弱口令，同時效勞器又開放了3389端口，會產(chǎn)生什么用的后果？6）典型的數(shù)據(jù)庫，如MSSqlServer有哪些常常被利用的漏洞？其默許登岸賬戶是什么？MySql的默許開放端口是什么？HTTP協(xié)議的默許開放端口是什么？（2） 掃描器及協(xié)議分析1） 怎么樣獲取效勞器的開放端口？怎么樣掃描目標主機中存在的漏洞？Nmap有哪些功能？如何利用？2） 在協(xié)議分析方面，WireShark有什么用？能夠用來發(fā)起什么解決？舉例而言，常規(guī)的Web程序中，用戶名和密碼等這些靈敏信息一樣會通過POST數(shù)據(jù)包發(fā)送給Web效勞器，在如此的進程中，可否用WireShark進行攔截并竊取靈敏信息？3） 在協(xié)議分析這一塊，若是不了解協(xié)議格式，也是很難進行的。那個時候需要去了解經(jīng)常使用的協(xié)議格式，比如HTTP協(xié)議，TCP協(xié)議，UDP協(xié)議等。HTTP協(xié)議中的POST方式和GET方式有什么區(qū)別？TCP和UDP有什么區(qū)別？大伙兒經(jīng)常使用的騰訊QQ通信是利用的哪一種協(xié)議？（3） 二進制程序的逆向分析1） 二進制程序的逆向分析，一個重要的應(yīng)用方向是軟件破解，在那個方向上，一個重要的網(wǎng)站是看雪：，這是一個大量破解高手和愛好者云集的地址。2） 在逆向分析方面，典型的工具有IDAPro和OllyDbg°OllyDbg一款利用起來比較簡單的調(diào)試工具。固然還有很多其他優(yōu)秀的調(diào)試工具，可見。3） 看雪上面有很多CrackMe，若是把握了OllyDbg的利用，能夠嘗試去看雪找一些簡單的CrackMe來實際破解。碰運氣吧。（4） 漏洞挖掘漏洞挖掘和利用一直以來都是信息平安的核心和熱點。想要入門，第一要了解緩沖區(qū)溢露馬腳的發(fā)生原理。在學(xué)習(xí)并把握7C語言以后，了解緩沖區(qū)溢出的發(fā)生原理并非困難，什么是整形溢出、堆溢出、棧溢出？什么是格式化字符串溢出？C語言中的哪些函數(shù)或操作容易致使緩沖區(qū)溢出？在了解了緩沖區(qū)溢出原理以后，需要再進一步了解緩沖區(qū)溢出的防護方式，比如，如安在利用高級語言的時候進行邊界檢查？在漏洞挖掘方面，給定一段源代碼，能夠通過審計該段高級語言，檢查出是不是有平安漏洞？若是沒有源代碼，只有二進制程序，如何發(fā)覺其中的平安漏洞？那個時候IDAPro和OllyDbg又一次登場了。利用IDAPro的hex-ray插件，能夠把二進制程序反匯編成類C語言，在反匯編取得的類C語言上，能夠看到那些容易致使緩沖區(qū)溢出的脆弱性函數(shù)，隨后可通過設(shè)置斷點等方式，通過動態(tài)調(diào)試的方式來檢查程序是不是含有漏洞，更詳細的內(nèi)容請見我的代碼分析文檔。（5）漏洞利用在已取得漏洞以后，利用該漏洞能夠發(fā)起哪些解決？這時需要了解的內(nèi)容有StackSmashing，shellcode等，這方面的內(nèi)容，我推薦大伙兒看王清編寫的0day平安這本書，講解的很詳細。通過0day這本書了解清楚大體概念以后，大伙兒會發(fā)覺0day的內(nèi)容略微有點陳腐，很多內(nèi)容已經(jīng)沒有及時更新了。那個時候，我推薦大伙兒去DavidBrumley的主頁上去找他面向研究生的SoftwareSecurity課程PPT，這是我目前見到的關(guān)于軟件平安領(lǐng)域的最好的一套PPT，沒有之一。順便介紹一下DavidBrumley，聞名女黑DawnSong的門生，博士畢業(yè)后直接CMU留校工作，目前在軟件漏洞的靜態(tài)分析、動態(tài)分析及逆向方面處于世界領(lǐng)先。另外，DavidBrumley仍是PPP戰(zhàn)隊的領(lǐng)隊和指導(dǎo)教師，PPP戰(zhàn)隊是CTF大賽的傳奇戰(zhàn)隊，多次連任DefconCTF的冠軍。附個人主頁另外，既然軟件漏洞一直以來都是平安核心，那么操作系統(tǒng)和編譯器等也不是吃干飯的，它們已經(jīng)設(shè)計了哪些用于防范軟件漏洞的方法？什么是編譯器的gs選項？什么是“棧不可執(zhí)行”愛惜（也成為DEP），什么是地址空間隨機化ASLR，有什么用。固然，所謂道高一尺魔高一丈，解決者也設(shè)計出了新的漏洞利用解決方式以繞過操作系統(tǒng)或編譯器的愛惜。高級漏洞利用技術(shù)都有哪些？SEH劫持的原理是什么？Windows最新版的操作系統(tǒng)中又采納了哪些方法來避免SHE劫持？什么是面向返回的編程解決(Returnorientedprogramming)，也稱之為ROP。相似的解決還有Ret2libc,JOP,COP等？在漏洞利用的防護方面，防火墻和IDS等也是隔離并檢查shellcode的關(guān)鍵利器，其作用是通過過濾網(wǎng)絡(luò)報文，分析shellcode的哈希值或其它關(guān)鍵字等，判定網(wǎng)絡(luò)報文中是不是疑似含有shellcode，并把疑似報文拋棄等。在這種情形下，解決需要解決的問題確實是shellcode的免殺，如何對shellcode進行變形，如何給shellcode加殼？【強調(diào)】漏洞利用繞過技術(shù)DEP、ASLR、ROP、SEH劫持、SEHOP、safeSEH、HeapSpray、cookie/GS選擇項。0day書上大體都有，去搜索一下，能夠下載到一些小的程序來調(diào)一調(diào)DEP:即DataExecutionPrevention，不許諾執(zhí)行“數(shù)據(jù)”。在ARM上，數(shù)據(jù)和代碼分開寄存，不存在此問題。X64AMD或i系列Intel處置器上，微軟利用NX技術(shù)，記錄內(nèi)存頁的屬性，即是不是是代碼。若是一個頁是數(shù)據(jù)，EIP指向了它，系統(tǒng)會自動報錯，從而阻止的非法數(shù)據(jù)被執(zhí)行。SEH:當(dāng)函數(shù)發(fā)生異樣的時候，系統(tǒng)會第一嘗試利用離異樣最近的SEH結(jié)構(gòu)體來處置異樣。異樣處置程序能夠選擇返回繼續(xù)執(zhí)行適才犯錯的指令、處置異樣或不處置異樣。若是不處置，那么系統(tǒng)繼續(xù)沿著挪用軌跡向上尋覓其他SEH結(jié)構(gòu)，直到異樣被處置(處置程序不是選擇〃不處置異樣〃)。若是所有的用戶概念的異樣都不選擇處置，那么最終會達到進程異樣處置的SEH，被稱為UEF，即UnhandleExceptionFilter。該SEH指向的處置程序會彈犯錯誤提示框，然后終止程序。固然，最終的異樣處置程序UEF也能夠通過編程來修改。在異樣處置程序開始前，系統(tǒng)還會進行一次unwind操作，遍歷從異樣點開始的所有—finally代碼塊，并依次執(zhí)行，執(zhí)行完畢后才開始異樣處置程序的執(zhí)行。若是—finally塊顯現(xiàn)了異樣，那么上一個異樣被拋棄，系統(tǒng)開始處置當(dāng)前異樣。因為SEH結(jié)構(gòu)放在棧中，因此能夠通過棧溢出修改SEH中的異樣處置程序指針指向shellcode，再人為引發(fā)異樣，從而系統(tǒng)開始挪用shellcode來處置異樣。VEH:即VectoredExceptionHandler。VEH是進程級的用戶異樣處置程序，能夠由用戶注冊多個函數(shù)，這些函數(shù)將被連接成雙向鏈表存入堆中。異樣發(fā)生時，系統(tǒng)第一通知調(diào)試器，若是調(diào)試器不處置，那么進入VEH的處置，然后才是SEH的處置。HeapSpray:第一構(gòu)造1M的大體塊，其中包括首部信息和數(shù)據(jù)，數(shù)據(jù)部份是nop和shellcode。如此的一個大體塊中大部份都是nop指令。再將如此的大體塊組成的數(shù)組存入堆中，只要能夠從nop處開始執(zhí)行，就必然會執(zhí)行到shellcode部份。ASLR:AddressSpaceLayoutRandomization，通過將堆、棧等其實地址進行必然范圍內(nèi)的隨機化，加大緩沖區(qū)溢出解決的難度。SEHOP/SafeSEHSEHOverwriteProtectionSEH覆蓋愛惜。該防護方法是指系統(tǒng)在利用棧上的SEH時第一驗證其完整性。SEHOP是系統(tǒng)自帶功能，不需要應(yīng)用程序配置，只需要用戶將其開啟即可。判定準那么是：1、 SEH結(jié)構(gòu)都必需在棧上；2、 最后一個SEH結(jié)構(gòu)也必需在棧上；3、 所有的SEH結(jié)構(gòu)都必需是4字節(jié)對齊的；4、 SEH結(jié)構(gòu)中的handle（處置函數(shù)地址）必需不在棧上；5、最后一個SEH結(jié)構(gòu)的handle必需是ntdll!FinalExceptionHandler函數(shù);6、最后一個SEH結(jié)構(gòu)的nextseh指針必需為特定值0xFFFFFFFF；能夠看到，第四點要求使通過SEH跳轉(zhuǎn)到棧上的shellcode再也不可能。而且上述準那么保證了SEH鏈的完整性，因此若是要通過覆蓋修改單個SEH，幾乎不可能?？尚械姆绞绞莻卧煺麄€SEH鏈，固然，這十分困難。cookie/GS:修改原先的棧結(jié)構(gòu)：Stack:bottom...parameter-1parameter-2...parameter-n返回地址EBPcookie局部變量...top構(gòu)建函數(shù)棧幀的