Руководство по использованию платформы NSSCTF

Автор: 探姬_Official

Адрес платформы NSSCTF: https://www.nssctf.cn/

Сохранено в Руководстве по быстрому началу работы с CTF

Спасибо за поддержку.

Регистрация и вход

Регистрация

• В новой версии регистрации требуется заполнить соответствующие данные, при этом отменена необходимость в приглашении.
• Обратите внимание, если во время регистрации вы не получаете код подтверждения по электронной почте, проверьте папку спам и используйте популярную почту для регистрации. Если вы не получаете код подтверждения, обратитесь к администратору в пользовательской группе.
• Если все данные заполнены, но кнопка регистрации не реагирует, возможно, имя пользователя уже занято, рекомендуется изменить его. Если после изменения имени пользователя проблема сохраняется, обратитесь к администратору.
• Если вы столкнулись с другими проблемами во время регистрации, свяжитесь с нами.

Вход

• Если вы уже зарегистрированы, вы можете войти с помощью имени пользователя и пароля.
• Если вы забыли пароль, вы можете нажать "Забыли пароль" и следовать инструкциям.
• Кроме того, вы можете войти с помощью учетных записей третьих сторон GitHub и Gitee.## Главная страница
• Главная страница состоит из верхней навигационной панели, левой области объявлений и правой области функций.
• Левая область объявлений включает в себя последние соревнования (если есть соревнования, они будут отображаться с обратным отсчетом до начала), топ-10 пользователей, последние статьи и новости.
• Верхняя навигационная панель слева направо включает Задания Статьи Соревнования Таблица лидеров Новости Исследование Команды Уведомления Управление контейнерами Личный кабинет## Задания
• При наведении указателя мыши на таб Задания появляются два варианта: Открытая база заданий и Список заданий, по умолчанию открытая база заданий. ! imageВот описание интерфейса для открытого банка задач:

О типах задач

• https://www.nssctf.cn/note/set/659
• CTF — Capture The Flag, соревнование по решению задач, где участники должны найти скрытые строки (флаги) через уязвимости в задачах.
• KOH — King Of Hill, соревнование, где уязвимости в программах используются для сравнения эффективности решений участников, чтобы получить более высокие баллы.
• RHG — Robot Hacking Game, соревнование, где участники должны написать скриптового робота, который будет автоматически запускаться и выполнять задачи через определенные интерфейсы. Результаты сравниваются с другими участниками для получения более высоких баллов.

Типы задач

Кроме пяти основных направлений, мы также предлагаем несколько других типов задач:

• MOBILE — мобильная безопасность, задачи по разбору Android.
• ETH — Ethereum, задачи, связанные с умными контрактами Ethereum и т. д.
• IOT — безопасность IoT, задачи, связанные с Интернетом вещей.
• AI — безопасность искусственного интеллекта, задачи, связанные с искусственным интеллектом.- Практика включает общие靶场, такие как upload-labs, pikachu, sqli-labs, dvwa, xss-labs и другие靶场, а также некоторые靶机 для воспроизведения уязвимостей, такие как Spring Core RCE, CVE и т. д.### Процесс выполнения задач Нажав на название задачи, вы попадете на страницу с подробной информацией о задаче, как показано на следующем рисунке:

Нажав на кнопку "Запустить окружение", вы начнете выполнение задачи.

Основные формы запуска CTF задач:

• Приложение — обычно это архив, который может быть связан с любым типом задачи, это может быть сама задача или исходный код, связанный с задачей.

• Контейнер (часто встречается в задачах Web Pwn, но также может встречаться в задачах Misc, Crypto и т.д.)

  • Web靶机 — обычно это ip:port / domain:port

    

    Пример: 1.11.45.14:1919 / node3.anna.nssctf.cn:28622

    Такие靶机 можно открыть в браузере:

    

  • nc靶机 — форма представления аналогична Web靶机: ip:port / domain:port

    Также может отсутствовать символ : — ip port / domain port

    Иногда靶机 явно указывают на использование nc: nc ip port / nc domain port

    

    Такие靶机 нельзя открыть в браузере, их нужно подключаться к ним с помощью инструмента nc, обычно это происходит в Linux системе или с использованием определенных инструментов для взаимодействия, таких как pwntool.

Примечания по терминологии:

• Web靶机 — веб-таргет (web-target)
• nc靶机 — nc-таргет (nc-target)

Такие термины как Web靶机 и nc靶机 переводятся как веб-таргет и nc-таргет соответственно.- Приложение +靶机 Web-задачи, которые требуют аудита исходного кода. Pwn или другие задачи с взаимодействием через nc, которые требуют аудита исходного кода серверной части. ! Untitled 4

Случайная задача

После нажатия будет случайным образом перенаправлено на страницу с детальной информацией о нерешенной задаче.

Информация о задаче

! image

ID & Заголовок

• ID — это уникальный идентификатор задачи, который можно использовать для доступа к задаче по ссылке "https://www.nssctf.cn/problem/ + ID".
• Заголовок — это заголовок задачи, который включает источник задачи и её название.

Статус

• Не решено — белая строка в таблице, указывает на то, что вы ещё не пробовали решить эту задачу.
• В процессе — оранжевая строка в таблице, указывает на то, что вы уже пробовали решить задачу, но ещё не решили её.
• Решено — зелёная строка в таблице, указывает на то, что вы уже решили эту задачу.

Теги

Обычно первый тег указывает на направление задачи, а остальные теги указывают на проверяемые аспекты задачи.

Выпадающий список

! image

• По умолчанию, выпадающий список уже содержит информацию о его назначении.- При нажатии можно развернуть дополнительные параметры поиска. Вы можете искать задачи по тегам соревнований, по тегам задач или по автору задачи.

Левая панель

• Радарная диаграмма —посмотрим, нет ли шестигранных бойцов!
• Прогресс решения —говорят, что когда полоса прогресса заполнена, можно вызвать дракона?
• Рекомендации мастерской —если вы ещё не знакомы с определёнными направлениями или столкнулись с препятствиями, загляните сюда

Список задач

• Ранее было упомянуто, что при наведении мыши на теги задач в навигационной панели появляются два варианта: "Открытая библиотека задач" и "Список задач". По умолчанию выбрана "Открытая библиотека задач".
• Наведите и щелкните по "Список задач", чтобы переключиться на "Список задач". ! image В настоящее время источник задач представлен четырьмя вариантами:
• "Задачи прошлых соревнований" —задачи с прошлых соревнований
• "Официальный список задач" —официальный список задач из NSS мастерской
• "Поделиться задачами" —список задач, поделенных пользователями на платформе NSS. Вы также можете поделиться своим списком задач
• "Мой список задач" —список задач, созданный вами на платформе NSS

Статьи

! image- Страница статей включает типы статей, соответствующие соответствующим тегам. Здесь нет необходимости в подробном описании.

• В настоящее время статьи после публикации не могут быть изменены. Эта функция будет добавлена в следующем обновлении. ! image
• В нижней части страницы статей есть функции пожертвования и комментариев. Вы можете поддержать автора через пожертвование, а также обсудить статью через комментарии. Пожертвование можно сделать, выбрав соответствующее количество монет или указав свое количество.
• Монеты являются виртуальной валютой платформы NSS. Каждый день при входе в систему вам автоматически начисляется определенное количество монет. В настоящее время монеты можно использовать для обмена на мастерские учебные материалы, пожертвования статьям, а также для покупки Round-списков задач и приложений (примечание: за другие задачи монеты не взимаются). Вы также можете поддержать работу платформы NSS, приобретая монеты. Подробнее см. механизм членства.

Соревнования

Описание страницы с соревнованиями

! image

• Страница с соревнованиями также имеет двухколоночную структуру, слева находится список соревнований, а справа — соответствующая функциональная область.- Соревновательные каналы можно переключать в разделе Категории, по умолчанию отображается общедоступный трек, нажатием кнопки можно зарегистрироваться на участие.
• Нажатие на категорию Приватный переключает на приватный трек, где участие требует ввода пригласительного кода.
• При нажатии на кнопку, расположенную после названия соревнования, система автоматически перенаправляет на страницу соревнования, которая включает в себя следующие элементы: ! image
• На странице отображаются соответствующие сведения о соревновании, все элементы уже отмечены, поэтому подробное описание не требуется.
• Для соревнований, не являющихся личными, необходимо нажать на тег Команда слева для создания и управления командой.

О соревнованиях NSS

В настоящее время NSS поддерживает проведение следующих типов соревнований:

• Round (рейтинговые соревнования)
• Школьные соревнования/командные соревнования/соревнования для новичков/общедоступные соревнования
• Закрытые приватные соревнования

Соревнования Round

• Цель проведения соревнований Round — определение уровня участников и повышение навыков. Только соревнования Round влияют на рейтинг, на основе которого мы рассчитываем ваш Rating.

• О методе расчета Rating, см. Расчет Rating- Соревнования Round имеют два формата: личные и командные. Каждое личное соревнование длится от 2 до 5 часов, количество задач — от 2 до 6. Каждое командное соревнование длится от 4 до 5 часов, количество задач — от 4 до 8.

• Уровень сложности задач в соревнованиях Round различается, и они не требуют длительного времени для решения. #### Публичные соревнования / Командные соревнования / Соревнования для новичков / Объединённые соревнования

• Если вы и ваша команда планируете провести соревнование и хотите привлечь больше людей, присоединиться к вашему идейному обмену, мы рады предложить вам провести публичное соревнование на NSS. Для публичных соревнований помимо предоставления задач и других материалов, вам также потребуется оплатить определённые серверные расходы в зависимости от количества участников (это не будет слишком дорого). Вы можете ознакомиться с историческими соревнованиями на NSS для обсуждения деталей. Мы обеспечим поддержку соревнований, включая техническую поддержку до и во время соревнований, а также предоставим полные таблицы результатов и проверку нарушений после соревнований. Если у вас и вашей команды есть другие специфические требования, которые помогут участникам, мы будем рады их рассмотреть.#### Частные соревнования

• Если вы и ваша команда планируете провести внутреннее отборочное соревнование или тренировочное соревнование, вы можете использовать функцию команд для самостоятельного управления соревнованиями. Если вам требуется наша помощь в предоставлении набора задач или других услуг, пожалуйста, свяжитесь с нами для обсуждения.

• Конечно, мы поддерживаем двойные треки для частных и публичных соревнований. Вы можете провести публичное соревнование на NSS, чтобы привлечь больше участников, а также провести частное соревнование для более детального управления.

В целом, мы рады приветствовать вас и вашу команду для участия в наших соревнованиях или организации соревнований на NSS. Если у вас есть вопросы или детали, пожалуйста, свяжитесь с нами для дальнейшего обсуждения.

Если вы и ваша команда хотите использовать соревнования для продвижения, вы можете ознакомиться с спонсорством соревнований и связаться с нами.

Рейтинговые таблицы

• Рейтинговые таблицы основаны на рейтинге участников, который вы можете улучшить, участвуя в раундах NSS.
• Подробности о раундах и методика расчета рейтинга были описаны выше в разделе соревнования.## Новости
• Новости задач ——посмотрите, какие новые задачи появились
• Новости решений ——кто-то вовсю решает задачи!
• Новости статей ——а? опубликовали что-то интересное! ? !

Исследование

Исследовательская мастерская

Мастерскую можно рассматривать как улучшенную версию списка задач. Мастерская может включать задачи, статьи, а также видео-объяснения и многое другое. Вы можете создавать свои разделы в мастерской, а также покупать разделы других пользователей. В мастерской NSS официально регулярно выпускает подобранные оригинальные и качественные разделы, которые вы можете приобрести в мастерской.

Звёздное море

Звёздное море также является формой списка задач, использующая модель исследовательских якорей. Каждый якорь представляет собой набор задач по определенному разделу, и каждый якорь имеет свои условия для разблокировки. Вам необходимо выполнить условия разблокировки, чтобы разблокировать следующий якорь. ——Вы должны исследовать область, чтобы рассеять больше тумана войны

КомандаФункция команд является одним из ключевых функциональных элементов NSS, позволяя вам и вашей команде осуществлять более детализированное управление на платформе NSS, а также проводить более детализированное обучение.Вот что вы можете сделать:

• Создать закрытую базу задач, управлять данными соревнований.
• Использовать внутренние соревнования для тренировки навыков.
• Получать различные виды визуализированных данных для оценки способностей команды.Вы можете присоединиться к команде других пользователей или создать свою собственную команду. ! image После присоединения к команде, внутренняя страница команды выглядит следующим образом ! image Слева находится навигационная панель функций команды, далее мы рассмотрим каждую из этих функций.

Обзор информации

• Главная страница При нажатии на команду, пользователь автоматически перенаправляется на главную страницу обзора информации. Эту страницу можно настроить в настройках (поддерживается Markdown).
• Настройки В настройках можно определить главную страницу (то есть главную страницу уведомлений), а также настроить логотип команды, приветствие при входе, описание команды и открытие заявок на вступление в команду.
• Уведомления ! image

Банк задач

• Банк задач команды Банк задач команды представляет собой независимый банк задач внутри команды, функциональность которого аналогична функциональности раздела NSS задач. Процесс выполнения задач также аналогичен, поэтому подробное описание не требуется. ! image
• Управление задачамиВ качестве администратора команды, вы можете управлять задачами в банке задач команды, включая добавление, удаление, редактирование задач и решение, следует ли открывать задачи для членов команды. ! image
• Создание задачи В качестве администратора команды, вы можете создавать задачи здесь. Как показано на рисунке, заполните соответствующую информацию о задаче. Если вы столкнетесь с проблемами, такими как контейнеры или динамические флаги при создании задачи, свяжитесь с нами. ! image

Соревнования

• Соревнования команды Функциональность аналогична функциональности модуля соревнований. Отображаются последние соревнования, и при нажатии кнопки можно зарегистрироваться и присоединиться к соревнованию. Поскольку функциональность раздела аналогична функциональности модуля соревнований, при возникновении вопросов обратитесь к разделу соревнования. ! image
• Управление соревнованиями В качестве администратора команды, вы можете управлять соревнованиями команды, включая добавление, удаление, редактирование соревнований и изменение содержания соревнований, включая задачи и типы задач.com/41804496/233801534-76e70f9d-37c2-4690-88e0-1b9dfcae58c0.png)
• Создание соревнования В качестве администратора команды вы можете создавать соревнования здесь. Всего за несколько минут вы сможете создать приватное соревнование для своей команды.

Члены команды

• Таблица лидеров Функциональность аналогична функциональности модуля таблицы лидеров. Отображается таблица лидеров внутри команды.
• Управление участниками В качестве администратора команды вы можете управлять участниками команды, включая добавление, удаление и изменение участников, а также настройку их прав доступа.
• Управление заявками В качестве администратора команды вы можете управлять заявками участников, включая одобрение и отклонение.

Анализ данных

• Использование Мы устанавливаем разные уровни в зависимости от размера команды, и каждая команда на определенном уровне имеет разное количество ресурсов. Вы можете просмотреть использование вашей команды здесь. Конкретные правила уровней будут обновлены в последующих версиях.

УведомленияЧерный 🔔 значок справа от аватара, при нажатии на него, вы попадете на страницу уведомлений, где сможете просмотреть ваши уведомления, включая системные уведомления, уведомления о соревнованиях, уведомления о командах и т. д.

! [image](https://user-images. githubusercontent. com/41804496/233802119-971e6a29-5250-41a6-a870-07ba46eb3827. png)

Управление контейнерами

! [image](https://user-images. githubusercontent. com/41804496/233802097-e13b2b29-f244-4d71-a3fa-b2b488eafcbd. png) Справа от аватара находится значок 🐳, при нажатии на него, вы попадете на страницу управления контейнерами, где сможете просмотреть ваши контейнеры, включая ID контейнера, URL контейнера, порты контейнера, состояние контейнера и оставшееся время работы контейнера. Также вы можете управлять своими контейнерами, включая продление срока действия и остановку. Вы также можете приобрести VIP-услуги, что позволит вам использовать функции логирования и виртуального терминала.## Механизм VIP-услуг Механизм VIP-услуг представляет собой платные услуги на платформе NSS, которые представлены в двух основных типах:

NSS-валюта

На текущий момент на платформе NSS используются две валюты: золотые монеты и N-очки.

• Золотые монеты — это виртуальная валюта платформы NSS, которая автоматически начисляется при входе в систему каждый день. Золотые монеты можно использовать для обмена на уроки мастерской, за авторские статьи, а также для покупки задач и дополнительных материалов в соревновании Round (примечание: за другие задачи золотые монеты не взимаются).
• N-очки — получают при пополнении счета, и в настоящее время могут использоваться только для обмена на золотые монеты.

VIP-услуги

Мы ввели VIP-услуги, обеспечивая, что это не повлияет на опыт обычных пользователей. В VIP-услугах представлены продвинутые функции, которые не влияют на опыт обычных пользователей. Пожалуйста, будьте уверены, что VIP-услуги не разделяют пользовательскую аудиторию, все пользователи могут пользоваться базовыми функциями платформы. Различия в услугах представлены на следующем рисунке:

Продвинутые функции#### Уникальный VIP-значок

——Если вы также VIP-пользователь, это действительно круто!!!

Персонализированный фон профиля

——Рекламное место в аренду!

Более мощные функции управления контейнерами

——Логирование и виртуальный терминал, быстрее и точнее для локализации проблем

Платформа с множеством настроек — Hackground

• [NSSCTF]Основное использование Hackground - Использование ShellAssist (инструмента для RCE)