使用 GZCTF 结合 GitHub 仓库搭建独立容器与动态 Flag 的 CTF 靶场+基于 Docker 的 Web 出题与部署+容器权限控制

在现代的信息安全教育中，CTF（Capture The Flag）靶场的构建越来越受到关注。CTF靶场不仅可以帮助学习者提高技术水平，也能进行安全测试。为了快速搭建一个能够动态生成 Flag 的 CTF 靶场，可以结合 GZCTF 和 GitHub 仓库，使用 Docker 来实现容器化部署和权限控制。下面，我将介绍如何使用 GZCTF、Docker 和 GitHub 仓库搭建一个独立的 CTF 靶场。

一、环境准备

首先，确认你的开发环境中已安装好 Docker 和 Git。Docker 是一个容器化平台，可以将应用及其依赖打包到一个轻量级的容器中，而 Git 可以方便我们管理代码。

二、项目结构

在开始之前，我们需要合理组织项目结构。下面是一个简单的文件结构示例：

ctf-example/
│
├── docker/
│   ├── Dockerfile
│   └── entrypoint.sh
│
├── flags/
│   ├── flag1.txt
│   └── flag2.txt
│
├── src/
│   ├── app.py
│   └── requirements.txt
│
└── docker-compose.yml

三、编写 Flask 应用

在 src/app.py 中，我们可以使用 Flask 框架搭建一个简单的 Web 应用。

from flask import Flask, jsonify
import os
import random

app = Flask(__name__)

@app.route('/flag')
def get_flag():
    # 随机生成一个动态 Flag
    flag = f"FLAG-{random.randint(1000, 9999)}"
    return jsonify({"flag": flag})

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

在 src/requirements.txt 文件中，我们需要声明依赖：

Flask==2.0.1

四、创建 Dockerfile

在 docker/Dockerfile 文件中，定义我们的 Docker 镜像：

# 使用 Python 基础镜像
FROM python:3.9-slim

# 设置工作目录
WORKDIR /app

# 拷贝依赖文件并安装
COPY src/requirements.txt .
RUN pip install -r requirements.txt

# 拷贝应用代码
COPY src/ .

# 设置默认命令
CMD ["python", "app.py"]

五、编写入口脚本

在 docker/entrypoint.sh 中，我们可以添加一些初始化操作，比如生成初始 Flag 文件：

#!/bin/bash

# 生成初始 Flag
echo "FLAG-INITIAL" > /app/flags/flag1.txt
echo "FLAG-INITIAL" > /app/flags/flag2.txt

# 启动 Flask 服务
exec "$@"

别忘了给这个脚本添加执行权限：

chmod +x docker/entrypoint.sh

六、创建 Docker Compose 文件

在 docker-compose.yml 中，我们可以定义多种服务，包括设置网络等：

version: '3'

services:
  ctf_app:
    build:
      context: .
      dockerfile: docker/Dockerfile
    volumes:
      - ./flags:/app/flags
      - ./docker/entrypoint.sh:/docker-entrypoint-init.d/entrypoint.sh
    ports:
      - "5000:5000"
    entrypoint: ["/docker-entrypoint-init.d/entrypoint.sh"]

七、运行靶场

在项目根目录下，使用 docker-compose 启动应用：

docker-compose up --build

这样就可以在浏览器中访问 http://localhost:5000/flag 来获取动态 Flag 了。

八、容器权限控制

最后，为了提高安全性，你还可以通过 Docker 的用户权限配置，限制容器内的用户权限。例如，在 Dockerfile 中添加：

RUN useradd -m user
USER user

这样可以创建一个非特权用户，降低潜在的安全风险。

结论

通过结合 GZCTF 与 GitHub，运用 Docker 技术可以快速构建一个动态 Flag 的 CTF 靶场。这样不仅能提高学生的安全意识和技术能力，同时对于各类安全测试也大有裨益。希望这个示例能帮助你更好地理解如何搭建一个 CTF 靶场。