我是来自长亭科技的cbmixx,也是blue-lotus(百度蓝莲花)的队员,大家说我非常萌,所以一般叫我萌神(这算自黑吗?)。
从2012年开始,我已经经历了4届DEFCON CTF以及各种国内外CTF大赛,其中包括连续三届的DEFCON CTF全球总决赛,在比赛中我承担二进制利用的任务。虽然在比赛时,blue-lotus(百度蓝莲花)的每个人会有分工,但是团队对分工问题处理得比较灵活,加上我的兴趣广泛,所以我对二进制、密码、取证、隐写的题目也都会有所参与。
说起与CTF结缘,当然是因为兴趣啦,也因为兴趣坚持到现在,即使已经工作了我也会尽量参与CTF(比如今年的DEFCON)。我所在的公司——长亭科技也是非常鼓励员工在完成工作任务的情况下参加大赛。对于我个人而言,我觉得CTF比赛包罗万象,思路新颖。每次参加比赛都会有新发现,见到以前没有遇到过的新事物,学到新方法新技巧。而这些技巧、思路的综合,对我平时的工作和学习有非常积极的作用,这也是一直坚持参加CTF的动力之一。
正如我前面讲到的,几乎每次比赛我都能遇到、学到新东西。一场好的比赛会综合各种题型,其中不乏实战中会遇到的环境。在短时间内接触并解决各种疑难杂症,这对我个人能力的提升非常重要,所以一般有人问我网络安全如何入门,我会讲,你去打几场CTF吧。在比赛中。在CTF比赛中,我不仅能学到新东西,开阔眼界,而且也认识了很多大牛。和这些大牛交流,让我有了更进多的收获。在这三年的参赛经历中,我们和 0ops 一路并肩成长和进步,有过和 Ricky 的技术切磋讨论,当面膜拜过geohot 并合影,与 Gallopsled 讨论工具,请 MSLC 的型男们给我们签名,也见证了lokihardt 最终登顶CTF……这些经历都是宝贵的财富。其中,认识差距、自我激励是最重要的。在和大牛们的交流中认识到自己的能力不足,以及如何更加有效地学习,这对我的能力提升意义重大。
谈到学习方法,就CTF大赛而言,blue-lotus (百度蓝莲花)的传统就是以赛代练,只要认真打好每一场比赛,就能从中收获不少,认真地打好每一场比赛,就是最大的成长过程。
参与了这么多次CTF比赛,我认为AWD攻防兼备的比赛模式相比于传统的解题模式,对选手分析漏洞、编写exploit的速度和质量要求更高。比赛中考察到的知识面更广,除了攻击技术以外,防御技术涉及到漏洞修补、流量分析、系统维护等多方面,这对防御能力的锻炼是非常有效的。比如修补漏洞方面,就需要能找到漏洞,了解漏洞原理以及选择合适的修复方案一系列的技术掌握,所以AWD攻防兼备的比赛对参赛选手的锻炼更有实际意义。