21居然第一
雖然是攻防奪旗賽,不過要真正進入到攻防階段,還有許多考驗。也就是說,進入戰場,需要拿到一個鑰匙。
這個鑰匙其實就是考驗基本的密碼解密能力,不難,但需要參賽者熟悉最新的最流行的網路技術,計算機技術。theworldctf的題目設定十分直接,簡單不簡單因人而異,但是確實主辦方並沒有在鑰匙上面為難大家
。
因為畢竟是攻防戰,以奪旗互相攻擊為主要內容。一天十二個小時的比賽,從早上八點到晚上八點,按理說十一個小時以上在虛擬網路內部,也就是進入戰場,才有取勝的希望。而作為主辦方,也不希望只有寥寥幾隻隊伍進入這一階段,當然是隊伍越多,對抗越多,也越精彩。
所以這一關卡的只是基本功罷了。若這一關也過不去,那麼就算進入虛擬網路內部,也肯定是巨型炮灰,沒什麼意義。
即便如此,一共報名的五十多隻隊伍,還是有十幾只被難倒,只能在外面苦苦徘徊。
這時候鍾錦他們自然不會去關心戰況,而是聚精會神地一步步按照主辦方引導的流程往裡走。
拿到提示圖片之後,上面一個大大的二維碼標誌,湯波立刻掏手機掃描:“一個地址。”
坐在他旁邊的張羽透頭髮都沒梳,炸著毛湊過去看,一邊看,一邊那邊已經盲打將地址輸入了。連結開啟,又是一副圖片,不過圖片中間就是明顯的隨機碼,數字與字母相間。
鍾錦眼睛一掃,立刻道:“16位md5碼。先試試流行的破解網站,看能不能翻譯,不能再說。”
“我擦,這要是加密16位,又不是對照可查的話,破起來要麻煩了!”李週週叫喚一聲。
md5加密演算法出現已經十幾年的時間,就算已經被破解,至今仍然是最流行的加密演算法之一資本大唐。最常見的md5分為16位和32位兩種。32位是直接經過演算法加密,而16位相對來講情況複雜一些,有的可能是直接提取了32位碼中間的16位,也有可能是經過又一輪的加密處理,有一定規則。
有很多人想當然的看到32位比16位要長,就認為32位更加安全,這其實是不對的。相比來講,16位的演算法更加多樣,步驟更多,破解起來也更加麻煩。
不過事實證明,主辦方確實沒有在這方面為難大家。直接在搜尋引擎找到第一個專門破解md5碼的網站,輸入16位數字和字母,就能得到結果了。
“yes!”李週週興奮地跳起來。其他人也是一陣高興
。因為這意味著他們可以正式參戰了。
鍾錦瞥向旁邊的時間顯示,八點四十出頭,進度還算不錯。
“咱們第一個?”張羽透站起來看了看大家的螢幕,“還有別人進來?”
鍾錦手上不停:“不要管那些,先架機子,拿許可權,查漏洞。現在就算有人進來了去攻擊他們毫無意義,分析他們的時間反而把自己的優勢浪費了。”
雖然之前有分工,但是真到了場面上,都是什麼活多大家做什麼。就說vpn的連線,現在確定進入網路之後,李週週就不需要時時刻刻看著連線狀態,他可以騰出手來和鍾錦一起做防禦部署。
既然是奪旗戰,那對照古代戰爭,每個隊伍就要有自己的陣地、堡壘和旗幟。所謂陣地,就是各個隊伍自己架設的虛擬機器。
大部分用過蘋果電腦的人應該都接觸過虛擬機器。其意義如字面所表述,是開闢在個人電腦上的一個虛擬電腦。利用軟體模擬一套硬體系統環境,在其中可以建立一個完全與真正使用的電腦系統隔離的系統。
至於為什麼說用蘋果電腦的熟悉它,是因為蘋果電腦的封閉系統,使得很多遊戲都不能在其作業系統上執行,那麼使用虛擬機器,再裝一個windows就可以解決問題了。
接下來,陣地就是虛擬網路本身,這是一個看不見摸不著,不侷限於物理連線的虛擬區域網,在這個區域網內只有拿到入網許可證,也就是之前說的鑰匙的人才能進來。
至於旗幟,通常也是一個key,鑰匙,長度不定但通常不會少於五十位。每個隊伍的虛擬機器上執行著各種各樣的程式,每個程式裡都可能藏著隊伍的鑰匙,任務便是保護好自己的鑰匙,並試圖進入對方虛擬機器,拿到對手的這個key並提交給主辦方。
同樣是ctf,像這種遠端攻防和defcon那種大家在一個空間裡,彼此攻防隨時看到大螢幕上的排名上下變動還是有區別的。
最明顯的一個,那就是你不能看到別人的螢幕。當然實戰之中很可能就算你看到了,也沒時間去理會和分析,根本沒用。
還有一個那就是一旦你的虛擬機器許可權被人全部獲得,將你內容格式化,踢出虛擬網路,那基本也就意味著遊戲玩完了,只能認命或者重新架設虛擬機器
。
想再找裁判理論攻擊是否合法?抱歉,沒那個時間。
當然基本的規定比如不能使用洪水攻擊,不能使用ip地址偽裝等等,這還是要遵守的。
主辦方給的虛擬機器設定漏洞不少,有些還十分隱蔽。鍾錦的測試速度極快,對各種漏洞的理解和修補方法也是非常熟練,看得李週週眼花繚亂有點跟不上節奏。
“週週,來幫我吧。”那邊湯波叫他,“寫個指令碼。”
“什麼指令碼?”
“提交指令碼勝者為王。”這是一會兒用來向主辦方提交旗幟的指令碼。為什麼不用人工提交?原因也簡單,指令碼比較快。
真正比賽的時候,所有隊伍都盯著自己的虛擬機器,檢視都有哪些連線連到了自己的機器上,一旦發現異常連線,必定會立刻切斷。只要不是特別的新手防禦,這個從連線到被切斷的過程通常不會超過三秒。那麼在這三秒裡,可能有的人連key都沒複製下來,更不要說提交了。
所以使用指令碼,自動在連線之後複製key並且傳送至主辦方,整個過程可能連半秒都用不了。
時間一點一滴的過去,實驗室裡開著的螢幕上被分成了幾類,開著各種黑色的終端介面。有的用來監控自己連線,有的用來記錄日誌,有的則現實記分牌,上面不斷重新整理著各個隊伍的進度和成績。
而這時候湯波那裡全是開的程式碼介面,在專注尋找漏洞。至於鍾錦,加固系統,控制連線,檢查許可權的工作就從來沒停過,鍵盤噼裡啪啦作響。
三個多小時後,時間已經接近十二點。進入虛擬網路的隊伍達到了十五隻,彼此之間的試探攻擊已經開始。在這個過程裡,後進來的隊伍絕對非常吃虧,他們沒有時間對自己的系統進行保護,一旦被發現並連線上,恐怕就要直接出局。
“有個隊伍很強啊,看到ip地址了嗎?”李週週道,“他們這防禦做的也太變態了吧?連都連不進去別說拿key了,你看有人連進他們的虛擬機器嗎?”
鍾錦也注意到了這支隊伍,叫butcher,翻譯過來就是屠夫
。似乎是來自m國某大學的。不過她道:“別急,你看他們的評分。”
李週週一看,就發現雖然這支隊伍防禦雖然牛,但分數一直在下降,排名越來越靠後。“這是怎麼回事?”他問。
“他們設定太過分了。”鍾錦道,“你想想作為一個真正的伺服器虛擬機器,你上面架著各種的服務,使用者需要訪問你的伺服器獲得資料和迴應,才能體現它的價值。根據他們的設定,恐怕是每秒傳送包數量大於某一值,自動切斷連線踢出去。那麼這中間可能誤傷多少正常使用者?”
李週週很快明白了:“不會是他們把主辦方的測試評分指令碼也給踢了吧?”
鍾錦點頭:“沒錯。”
“……”李週週無語了。
所謂評分指令碼,其實就是模擬現實世界裡的普通使用者。試想一下,如果一臺真正的伺服器,連使用者都不能用,還有什麼存在的意義?不如拔除所有物理連線,關上電源,徹底束之高閣算了。
所以比賽的真正意義,其實就在於模擬真實的網路世界中,攻擊網路的駭客,負責伺服器安全的技術人員,以及使用者三者關係。不過因為是攻防戰,所以駭客和技術人員之間的鬥爭被放大,被激化,每個人都必須去攻擊對方,並且被迫防禦對方的攻擊。
因為比賽一共只有12個小時,所以虛擬網路沒有暫停給大家用餐時間。中間張羽透自告奮勇給所有人去買飯,回來的時候聽到一陣歡騰的聲音。
“怎麼了怎麼了?”他趕忙問。
湯波站起身來,細長的胳膊拍拍他的肩膀,臉上笑容收都收不住:“咱排第一啦!”
此時時間已經是下午三點,進入虛擬網路的隊伍達到三十支,其中五支隊伍已經被不同隊伍取得最高許可權,三個隊伍的虛擬機器被格式化,需要重新配置進入。而鍾錦他們奪下的旗幟,也就是key達到了十個,被奪為零。
國內又地震了,希望大家都平安>
你可以在頂部";加入書籤";記錄本次(21居然第一)閱讀記錄,下次開啟書架即可看到!請向你的朋友(QQ、部落格、微信等方式)推薦本書,謝謝您的支援!!