前言

CTF，全称 Capture The Flag，即夺旗赛，起源于 1996 年 DEFCON 全球黑客大会，是网络安全技术人员进行技术竞技的一种比赛。

balabala~

赛棍入门

自2015年起，一次偶然，我参加了“第三届-360信息安全大赛”，还取得了不小的成绩。自那个时候起，我就一发不可收拾，彻底爱上了她。

CTF，这是一个新世界，每次参加比赛，都热血沸腾，很多时候为了解出一个题目而通宵达旦的战斗，疯狂的测试，寻找突破口，各种百度、谷歌搜索题目相关的信息。

那个时候的CTF远不如现在的多，等待比赛开启的时候如同心里有无数只蚂蚁在爬。

后来，国内打CTF比赛的潮流逐渐风靡，各大赛事如雨后春笋般竞相出现。

赛棍进阶

参加了大大小小的数个线上CTF解题赛，技术经验都有了一个长足的进步。

又一次偶然的机会，参加了“第六届全国网络安全攻防大赛总决赛”。

以一个萌新的身份，参加一次全新赛制的比赛，毫无准备，懵懵懂懂的看着比赛规则，一脸懵逼。

在挨打中站起来，逐渐了解了AWD的竞赛模式。

不懂得第一时间修改默认密码，被其他选手删库跑路，不得不向主办方申请重置。

手忙脚乱之中，凭借还算可以的代码基础，通过审计和抓取别人的流量发现漏洞，勉强修补了Web题目的漏洞，做到不在Web题目中失分。

快速写完自动化攻击脚本后，也开始了坐享得分的成果。

当然，由于缺乏Pwn选手，二进制方面还是不断失分的。

下午，主办方开启独立新题，我在比赛结束前成果拿下，得到了一定的分数，最后取得三等奖的成绩。

赛棍养成

不论是线上Jeopardy解题还是线下AWD攻防，她的魅力都让人无法自拔，深深的沉迷进去。

作为一名纯Web的CTF选手，其实还是很苦逼的。即使AK了所有的Web也不可能拿到进入决赛的名次，更别提都没有AK了。

所有，线下比赛的机会少得可怜，同时，受限于专业问题，参赛时间也有限。

虽然如此，2016-2017年间，大大小小的赛事还是参加了不少的。

逐渐完成了赛棍的自我修养！

做题的胃口也养刁了不少，太次的脑洞题目一般跳过不做，做题只是为了学习最新的，我不会的技术。

赛棍战友

CTF的征途，我并不是孤身一人，Blue，乐清小俊杰，l3m0n，ByStudent，凉茶，hazzel，风伤，xcanwin，AK等，有老友，有新人。

既是对手，亦是战友。

当年一起征战各大比赛，如今他们的身影已经不多见了，事了俯身去，深藏功与名。大佬们也一个个都退出赛事，静静围观。

毕业了，或实习，或工作，各自为生活而奔波忙碌，少有机会再现身CTF了。

走了，走了，都将离去。

赛棍退休

CTF是入门学习的兴趣所在，通过解题提高技术，通过解题的过程学会如何学习，参加CTF比赛能够锻炼自己，并提高对安全技术的学习兴趣。

名次荣誉，奖金都是动力。

其实吧，还是我老了，脑子不够用了，发际线上升，发色渐变。做不动题目了，也丢失了当年的热血。

当然，也有一部分原因是题目基本上都做的差不多了，来来回回都是那些套路在不断重复。题目的重心也从Web转移到了Bin。作为一个Web狗，实在是无能为力。

毕竟不是每个人都是全栈大佬复旦刘大爷，一个人硬肛两千多队伍，又不眠不休32小时硬肛23支队伍，怼到强网杯亚军！我反正只是菜鸡一枚。

现在偶尔也是做题的，好的比赛也都有关注，发现有意思的题目也会做一做的，学一学新技术，大多数只是看看一笑而过。

赛棍总结

CTF赛棍生涯基本上到这里了，其实吧，我觉得现在的线下赛更有意思。当然也不否认还是有一些好的线上题目，比如Orange大佬出的综合渗透环境。

虽然套路简单，安全运维->查找并修复漏洞->针对漏洞写自动化攻击脚本。但是更能让人学习更多的技术。

打了一次CTF比赛，除了名次，更重要的是学到新东西新技术。而不是如何猜测一个无脑的脑洞题纯属浪费时间浪费精力。

好的CFT题目应该有好的技术点：

• 学会某个函数的特殊利用方式
• 学会快速挖掘漏洞
• 知道某个漏洞的原理和利用方式
• 知道某个程序，某个框架存在一个怎样的漏洞或缺陷
• 学习如何编写一些脚本
• 学会如何安全运维
• 团队如何配合、分工
• 中间件的黑科技
• 做题的思路和渗透经验

当然还有其他的知识。

另外，希望以后的线下赛名额不要被线上赛阻挡吧。一堆乱七八糟的Misc，Crypto等题目线下是没有的。线上打不好不代表线上不牛逼。

线上线下应该分离并独立起来。

搅屎棍

不搅屎的赛棍不是好赛棍

Web怼多了，也总结出了一些经验。比如，不死马、通防Waf、流量记录。虽然我贡献的只是PHP的，但是其他语言也是可以有相类似的技巧。

有一点听自豪的，某次有人问我是不是参加XXX比赛了，因为上次的Shell都变成了“Virink”。

其实我并没有参赛，而是有选手用了我的Waf。

我在某个最大CTF同性交流群问他们，为啥不改了。他们的回答是尊重原创。

开心，装个逼就跑。（不要打脸！！！不要打脸！！！不要打脸！！！）

自己写的东西能够被认可，还是蛮开心的。

通防成为过去式了，Checker有了新的姿势检测通防，希望更牛逼的搅屎棍玩出更厉害的花样。

我觉得，CTF并不只是解题，出题人与解题人的博弈也是关键点。怼出非预期的也是大佬！！！

另外，技术性（非DDOS）日穿平台也是技术牛B啊，为啥要限制。平台做的不好还不准人日？

反正即将与我无关了~~

结束语

其实吧，我是个假的赛棍。以上都是假的，我瞎编的。

希望大家CTF快乐！