举办一场“捕捉国旗”风格的比赛，为乐趣和学习？

Question

有几个朋友和我想要举办某种类型的反恐比赛，在比赛中我们都有相同的OSes，我们可以作为球队/个人来进攻和防守。

我在网上发现了一些好的东西，比如Metasploitable和vulnhub.com上的一些东西

我基本上是在寻求任何的建议，什么是最好的方式来实现这个东西，以及是否有任何其他酷的好处，如上述提到的。

你会如何安排这场比赛？你会制定什么目标？我们需要多少时间来保护这个系统，我们需要多少时间来攻击？欢迎任何建议。我们对计算机安全非常新手(但都在it领域工作)，我们只需要一个如何启动它和如何对其进行分级的想法。

Answer 1

Metasploitable的问题和相似之处在于，这些漏洞大多用于演示，并且包含太多的漏洞，这也不容易修复。同样，在CTF中，您不希望人们破坏整个VM，而只希望从单个服务中获得一个令牌。

我建议看看iCTF，他们有一些样本服务。如果你们都是IT仿真器，为了好玩和教育目的做CTF，那么编写自己的易受攻击的服务是个好主意。它们可以是简单的web或CLI应用程序，在iCTF上有广泛的设计指南。他们也有一个完整的框架，任何类型的CTF。