雖然是攻防奪旗賽,不過要真正進入到攻防階段,還有許多考驗。也就是說,進入戰場,需要拿到一個鑰匙。
這個鑰匙其實就是考驗基本的密碼解密能力,不難,但需要參賽者熟悉最新的最流行的網絡技術,計算機技術。theworldctf的題目設置十分直接,簡單不簡單因人而異,但是確實主辦方並沒有在鑰匙上面爲難大家
。
因爲畢竟是攻防戰,以奪旗互相攻擊爲主要內容。一天十二個小時的比賽,從早上八點到晚上八點,按理說十一個小時以上在虛擬網絡內部,也就是進入戰場,纔有取勝的希望。而作爲主辦方,也不希望只有寥寥幾隻隊伍進入這一階段,當然是隊伍越多,對抗越多,也越精彩。
所以這一關卡的只是基本功罷了。若這一關也過不去,那麼就算進入虛擬網絡內部,也肯定是巨型炮灰,沒什麼意義。
即便如此,一共報名的五十多隻隊伍,還是有十幾只被難倒,只能在外面苦苦徘徊。
這時候鍾錦他們自然不會去關心戰況,而是聚精會神地一步步按照主辦方引導的流程往裡走。
拿到提示圖片之後,上面一個大大的二維碼標誌,湯波立刻掏手機掃描:“一個地址。”
坐在他旁邊的張羽透頭髮都沒梳,炸着毛湊過去看,一邊看,一邊那邊已經盲打將地址輸入了。鏈接打開,又是一副圖片,不過圖片中間就是明顯的隨機碼,數字與字母相間。
鍾錦眼睛一掃,立刻道:“16位md5碼。先試試流行的破解網站,看能不能翻譯,不能再說。”
“我擦,這要是加密16位,又不是對照可查的話,破起來要麻煩了!”李週週叫喚一聲。
md5加密算法出現已經十幾年的時間,就算已經被破解,至今仍然是最流行的加密算法之一資本大唐。最常見的md5分爲16位和32位兩種。32位是直接經過算法加密,而16位相對來講情況複雜一些,有的可能是直接提取了32位碼中間的16位,也有可能是經過又一輪的加密處理,有一定規則。
有很多人想當然的看到32位比16位要長,就認爲32位更加安全,這其實是不對的。相比來講,16位的算法更加多樣,步驟更多,破解起來也更加麻煩。
不過事實證明,主辦方確實沒有在這方面爲難大家。直接在搜索引擎找到第一個專門破解md5碼的網站,輸入16位數字和字母,就能得到結果了。
“yes!”李週週興奮地跳起來。其他人也是一陣高興
。因爲這意味着他們可以正式參戰了。
鍾錦瞥向旁邊的時間顯示,八點四十出頭,進度還算不錯。
“咱們第一個?”張羽透站起來看了看大家的屏幕,“還有別人進來?”
鍾錦手上不停:“不要管那些,先架機子,拿權限,查漏洞。現在就算有人進來了去攻擊他們毫無意義,分析他們的時間反而把自己的優勢浪費了。”
雖然之前有分工,但是真到了場面上,都是什麼活多大家做什麼。就說vpn的連接,現在確定進入網絡之後,李週週就不需要時時刻刻看着連接狀態,他可以騰出手來和鍾錦一起做防禦部署。
既然是奪旗戰,那對照古代戰爭,每個隊伍就要有自己的陣地、堡壘和旗幟。所謂陣地,就是各個隊伍自己架設的虛擬機。
大部分用過蘋果電腦的人應該都接觸過虛擬機。其意義如字面所表述,是開闢在個人電腦上的一個虛擬電腦。利用軟件模擬一套硬件系統環境,在其中可以建立一個完全與真正使用的電腦系統隔離的系統。
至於爲什麼說用蘋果電腦的熟悉它,是因爲蘋果電腦的封閉系統,使得很多遊戲都不能在其操作系統上運行,那麼使用虛擬機,再裝一個windows就可以解決問題了。
接下來,陣地就是虛擬網絡本身,這是一個看不見摸不着,不侷限於物理連接的虛擬局域網,在這個局域網內只有拿到入網許可證,也就是之前說的鑰匙的人才能進來。
至於旗幟,通常也是一個key,鑰匙,長度不定但通常不會少於五十位。每個隊伍的虛擬機上運行着各種各樣的程序,每個程序裡都可能藏着隊伍的鑰匙,任務便是保護好自己的鑰匙,並試圖進入對方虛擬機,拿到對手的這個key並提交給主辦方。
同樣是ctf,像這種遠程攻防和defcon那種大家在一個空間裡,彼此攻防隨時看到大屏幕上的排名上下變動還是有區別的。
最明顯的一個,那就是你不能看到別人的屏幕。當然實戰之中很可能就算你看到了,也沒時間去理會和分析,根本沒用。
還有一個那就是一旦你的虛擬機權限被人全部獲得,將你內容格式化,踢出虛擬網絡,那基本也就意味着遊戲玩完了,只能認命或者重新架設虛擬機
。
想再找裁判理論攻擊是否合法?抱歉,沒那個時間。
當然基本的規定比如不能使用洪水攻擊,不能使用ip地址僞裝等等,這還是要遵守的。
主辦方給的虛擬機設置漏洞不少,有些還十分隱蔽。鍾錦的測試速度極快,對各種漏洞的理解和修補方法也是非常熟練,看得李週週眼花繚亂有點跟不上節奏。
“週週,來幫我吧。”那邊湯波叫他,“寫個腳本。”
“什麼腳本?”
“提交腳本勝者爲王。”這是一會兒用來向主辦方提交旗幟的腳本。爲什麼不用人工提交?原因也簡單,腳本比較快。
真正比賽的時候,所有隊伍都盯着自己的虛擬機,查看都有哪些連接連到了自己的機器上,一旦發現異常連接,必定會立刻切斷。只要不是特別的新手防禦,這個從連接到被切斷的過程通常不會超過三秒。那麼在這三秒裡,可能有的人連key都沒複製下來,更不要說提交了。
所以使用腳本,自動在連接之後複製key並且發送至主辦方,整個過程可能連半秒都用不了。
時間一點一滴的過去,實驗室裡開着的屏幕上被分成了幾類,開着各種黑色的終端界面。有的用來監控自己連接,有的用來記錄日誌,有的則現實記分牌,上面不斷刷新着各個隊伍的進度和成績。
而這時候湯波那裡全是開的代碼界面,在專注尋找漏洞。至於鍾錦,加固系統,控制連接,檢查權限的工作就從來沒停過,鍵盤噼裡啪啦作響。
三個多小時後,時間已經接近十二點。進入虛擬網絡的隊伍達到了十五隻,彼此之間的試探攻擊已經開始。在這個過程裡,後進來的隊伍絕對非常吃虧,他們沒有時間對自己的系統進行保護,一旦被發現並連接上,恐怕就要直接出局。
“有個隊伍很強啊,看到ip地址了嗎?”李週週道,“他們這防禦做的也太變態了吧?連都連不進去別說拿key了,你看有人連進他們的虛擬機嗎?”
鍾錦也注意到了這支隊伍,叫butcher,翻譯過來就是屠夫
。似乎是來自m國某大學的。不過她道:“別急,你看他們的評分。”
李週週一看,就發現雖然這支隊伍防禦雖然牛,但分數一直在下降,排名越來越靠後。“這是怎麼回事?”他問。
“他們設置太過分了。”鍾錦道,“你想想作爲一個真正的服務器虛擬機,你上面架着各種的服務,用戶需要訪問你的服務器獲得數據和迴應,才能體現它的價值。根據他們的設置,恐怕是每秒發送包數量大於某一值,自動切斷連接踢出去。那麼這中間可能誤傷多少正常用戶?”
李週週很快明白了:“不會是他們把主辦方的測試評分腳本也給踢了吧?”
鍾錦點頭:“沒錯。”
“……”李週週無語了。
所謂評分腳本,其實就是模擬現實世界裡的普通用戶。試想一下,如果一臺真正的服務器,連用戶都不能用,還有什麼存在的意義?不如拔除所有物理連接,關上電源,徹底束之高閣算了。
所以比賽的真正意義,其實就在於模擬真實的網絡世界中,攻擊網絡的黑客,負責服務器安全的技術人員,以及用戶三者關係。不過因爲是攻防戰,所以黑客和技術人員之間的鬥爭被放大,被激化,每個人都必須去攻擊對方,並且被迫防禦對方的攻擊。
因爲比賽一共只有12個小時,所以虛擬網絡沒有暫停給大家用餐時間。中間張羽透自告奮勇給所有人去買飯,回來的時候聽到一陣歡騰的聲音。
“怎麼了怎麼了?”他趕忙問。
湯波站起身來,細長的胳膊拍拍他的肩膀,臉上笑容收都收不住:“咱排第一啦!”
此時時間已經是下午三點,進入虛擬網絡的隊伍達到三十支,其中五支隊伍已經被不同隊伍取得最高權限,三個隊伍的虛擬機被格式化,需要重新配置進入。而鍾錦他們奪下的旗幟,也就是key達到了十個,被奪爲零。
國內又地震了,希望大家都平安
你可以在頂部";加入書籤";記錄本次(21居然第一)閱讀記錄,下次打開書架即可看到!請向你的朋友(QQ、博客、微信等方式)推薦本書,謝謝您的支持!!