RE:從零開始的CTF生活

Transcript

1. RE:從零開始的CTF生活 Zodius

2. What CTF(Catch The Flag) • 駭客之間的小遊戲 • 透過不同的技術取得主辦方暗藏的flag • 常見分類

   • Jeopardy - 解題類型(大多數比賽都是這個形式) • Attack & Defence • King of the Hill - 占地盤

3. Who CTF • 想成為駭客大大的人 • 想了解資安領域的人 • 想了解自己寫出來的程式是什麼鬼的人

4. Why CTF • 學資安、學技術 • 有個靶場可以練習(避免今天拿root明天查水表) • 其實滿好玩的 當遊戲消遣也不錯 (Y)

5. CTF&資安的大一必修 • Web Application Security • Reverse Engineering • Pwn

   • Crypto • Forensic - 資料鑑識 (最近幾年比較常出現) • Misc - 難以分類的題目、Steganography等等 • 不管未來各位想成為駭客大大或是國家網安專家，這些都是基礎

6. Web Application Security • 網站應用程式的各式弱點 • 入門門檻相對較低，但相對範圍也較廣 • 了解網頁安全，才能避免自己辛苦的作品被人利用 •

   先備知識 • 後端 PHP, Perl, SQL等等等 • 前端 JavaScript, HTML • 連線的 HTTP protocol • 資工系同學之後可以回頭看看自己資料庫的期末專題

7. 等等大家就會練習到了 不多做解釋XD

8. Reverse Engineering • 給你一個編譯過的執行檔，想辦法還原出程式運作的流程，並從 中找出弱點 • 然後就可以寫外掛或分離出盜版遊戲 • 先備知識 •

   Assembly code • Compile and linking

9. For example

10. None

11. Pwn • To compromiss and to control 攻破與控制 • 透過服務本身的弱點或是不良的設計，進而控制他人的電腦

    • 之前wanna cry等病毒攻破的便是系統漏洞，屬於pwn領域的議題 • 先備知識 • Assembly, again • Computer Architecture • OS • Exploit db

12. 常見buffer overflow 正常執行結果

13. 巫術

14. Crypto • 給你一串字串，你給我翻譯翻譯 • 目前主流能考的加密法並不多，類似題目大多在於你能不能看出 所使用的加密法 • flag可能在解密後的字串 或是加密時所使用的key •

    先備知識 • 古典密碼 • 各式對稱與非對稱加密 • 常見編碼如ASCII, base64, 用英文鍵盤打注音e04等等

15. For example • ji3vu; vup4284ru8 2. h9 2k6tj x965k4tj04y4ul4yp3ak7ru,3au4 •

    Base64: “SGVsbG8hCg==“ => “Hello!” • 另外有些題目會給你自製的加密演算法source code與加密後的字 串, 我們要想辦法看懂、並加以還原

16. Forensic • 在眾多資料中尋找特定的結果 • 給你的可能是Memory Dump, Disk image, Packect Collection或是基

    本的pdf檔等等 • 先備知識 • OS • File format or Disk format • 常見Application Layer Protocol

17. Misc • Steganography 圖片隱寫術 • 給你圖片，找出藏在裡面的字串、檔案等等 • 也遇過magic header修復、寫程式自動答題之類的題目 •

    把皮卡丘的圖片塞進寶貝球的圖片裡 • 有人說，Misc類型的題目大多像是出題者的興趣，所以會有很多 很有意思的題目或是搞笑的題目，至於會出現什麼樣的題目...真 的只能問神了:P

18. 那麼 • 常聽見的DoS, DDoS, DDDoS, DDDDoS...或是想要去路邊幹別人wife 是哪個領域呢？

19. • 這些領域在CTF比賽中較難實現，也是學會這些基本後才會慢慢 接觸到的領域 • 而且都違法 沒事不要偷別人wife

20. 學習CTF的路程 • 累積經驗，多看就能大概猜到出題方向 • 保持活力，隨時準備學習新的事物、新的領域 • 最重要，玩得開心

21. 在迎接AIS3前 • 練習題目 • hackme.inndy.tw • Ais3 2016, 2015 pre-exam

    • pwnable.tw • pikoCTF 2013, 2017 • CTFtime • 觀摩Write up: 別人在進行CTF時的筆記 • 好的write up不會只有告訴你答案，會一併記錄下他的解題過程，思考過 程，曾經做過的嘗試等等 • 也希望各位初學的時候，養成紀錄write up的習慣，能加深自己的印象， 日後也容易回想 • Google “AIS3 2016 pre-exam write up”

22. 最後, whoami • Zodius(黑白) • 資工大四(要畢業了ㄅㄅ) • 一年前坐在跟各位一樣的位子上 • 玩出興趣後

    • 2016 AIS3 pre-exam #27, final 中區#2 • 2016 資安金盾獎抽獎得主<3 • 2017 國家資安辦網路攻防演練廉價勞工 • 2017 CDX koth #4

23. 我個人相信 • 持續嘗試，總能在不同領域間找到自己的方向 • 保有熱忱，總能在找到方向後持續前行

24. Get Resource • 致力於資安推廣的校外團體 • TDoH • 許多針對新手的小課程 • 2016開始舉辦pipe計畫，協助各校資安社團發展

    • 面向新手的TDoH conference • 很多食物 • UCCU • 南部為主 • 不定期技術小聚

25. 校內資源 請找他們三個

26. 最後，不免俗 • 資訊安全是一門具有傷害性的技術和學問 • 用在好的方面，可以保護我們與身邊的人 • 一念之差，也可能造成自己或他人的危險 • 請不要忘記學習的初衷

27. 歡迎各位來到CTF的世界 • 活下去吧! • 發問 尿尿 開打