Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RE:從零開始的CTF生活
Search
oval68100
June 14, 2017
Programming
1
230
RE:從零開始的CTF生活
2017/6/19@Moliday
oval68100
June 14, 2017
Tweet
Share
More Decks by oval68100
See All by oval68100
封包側錄與無線安全
oval68100
1
150
Other Decks in Programming
See All in Programming
ペパボOpenTelemetry革命
pyama86
2
180
GNU Makeの使い方 / How to use GNU Make
kaityo256
PRO
12
4.2k
WebGLで始める コンピュータグラフィックス入門
heller77
0
360
仕様と実装で学ぶOpenTelemetry
drumato
1
140
業務ツールとして使うPostman
msys75
0
120
CDKコントリビュートの最初の壁を越えよう! -簡単issueの見つけ方-
badmintoncryer
3
370
Timeline エディター拡張入門
yucchiy
0
340
Next.js App Router
quramy
13
2.2k
Powerfully Typed TypeScript
euxn23
1
160
酒飲んでたらテックリードになった話
spbaya0141
0
130
Scalable Customer Journey Orchestration (CJO)
lewuathe
0
450
Ruby on Fails - effective error handling with Rails conventions
talyssonoc
0
210
Featured
See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Unsuck your backbone
ammeep
664
57k
Practical Orchestrator
shlominoach
183
9.7k
Documentation Writing (for coders)
carmenintech
60
4k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Music & Morning Musume
bryan
41
5.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
66
14k
GraphQLとの向き合い方2022年版
quramy
33
12k
Web Components: a chance to create the future
zenorocha
306
41k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
358
22k
Facilitating Awesome Meetings
lara
43
5.6k
Transcript
RE:從零開始的CTF生活 Zodius
What CTF(Catch The Flag) • 駭客之間的小遊戲 • 透過不同的技術取得主辦方暗藏的flag • 常見分類
• Jeopardy - 解題類型(大多數比賽都是這個形式) • Attack & Defence • King of the Hill - 占地盤
Who CTF • 想成為駭客大大的人 • 想了解資安領域的人 • 想了解自己寫出來的程式是什麼鬼的人
Why CTF • 學資安、學技術 • 有個靶場可以練習(避免今天拿root明天查水表) • 其實滿好玩的 當遊戲消遣也不錯 (Y)
CTF&資安的大一必修 • Web Application Security • Reverse Engineering • Pwn
• Crypto • Forensic - 資料鑑識 (最近幾年比較常出現) • Misc - 難以分類的題目、Steganography等等 • 不管未來各位想成為駭客大大或是國家網安專家,這些都是基礎
Web Application Security • 網站應用程式的各式弱點 • 入門門檻相對較低,但相對範圍也較廣 • 了解網頁安全,才能避免自己辛苦的作品被人利用 •
先備知識 • 後端 PHP, Perl, SQL等等等 • 前端 JavaScript, HTML • 連線的 HTTP protocol • 資工系同學之後可以回頭看看自己資料庫的期末專題
等等大家就會練習到了 不多做解釋XD
Reverse Engineering • 給你一個編譯過的執行檔,想辦法還原出程式運作的流程,並從 中找出弱點 • 然後就可以寫外掛或分離出盜版遊戲 • 先備知識 •
Assembly code • Compile and linking
For example
None
Pwn • To compromiss and to control 攻破與控制 • 透過服務本身的弱點或是不良的設計,進而控制他人的電腦
• 之前wanna cry等病毒攻破的便是系統漏洞,屬於pwn領域的議題 • 先備知識 • Assembly, again • Computer Architecture • OS • Exploit db
常見buffer overflow 正常執行結果
巫術
Crypto • 給你一串字串,你給我翻譯翻譯 • 目前主流能考的加密法並不多,類似題目大多在於你能不能看出 所使用的加密法 • flag可能在解密後的字串 或是加密時所使用的key •
先備知識 • 古典密碼 • 各式對稱與非對稱加密 • 常見編碼如ASCII, base64, 用英文鍵盤打注音e04等等
For example • ji3vu; vup4284ru8 2. h9 2k6tj x965k4tj04y4ul4yp3ak7ru,3au4 •
Base64: “SGVsbG8hCg==“ => “Hello!” • 另外有些題目會給你自製的加密演算法source code與加密後的字 串, 我們要想辦法看懂、並加以還原
Forensic • 在眾多資料中尋找特定的結果 • 給你的可能是Memory Dump, Disk image, Packect Collection或是基
本的pdf檔等等 • 先備知識 • OS • File format or Disk format • 常見Application Layer Protocol
Misc • Steganography 圖片隱寫術 • 給你圖片,找出藏在裡面的字串、檔案等等 • 也遇過magic header修復、寫程式自動答題之類的題目 •
把皮卡丘的圖片塞進寶貝球的圖片裡 • 有人說,Misc類型的題目大多像是出題者的興趣,所以會有很多 很有意思的題目或是搞笑的題目,至於會出現什麼樣的題目...真 的只能問神了:P
那麼 • 常聽見的DoS, DDoS, DDDoS, DDDDoS...或是想要去路邊幹別人wife 是哪個領域呢?
• 這些領域在CTF比賽中較難實現,也是學會這些基本後才會慢慢 接觸到的領域 • 而且都違法 沒事不要偷別人wife
學習CTF的路程 • 累積經驗,多看就能大概猜到出題方向 • 保持活力,隨時準備學習新的事物、新的領域 • 最重要,玩得開心
在迎接AIS3前 • 練習題目 • hackme.inndy.tw • Ais3 2016, 2015 pre-exam
• pwnable.tw • pikoCTF 2013, 2017 • CTFtime • 觀摩Write up: 別人在進行CTF時的筆記 • 好的write up不會只有告訴你答案,會一併記錄下他的解題過程,思考過 程,曾經做過的嘗試等等 • 也希望各位初學的時候,養成紀錄write up的習慣,能加深自己的印象, 日後也容易回想 • Google “AIS3 2016 pre-exam write up”
最後, whoami • Zodius(黑白) • 資工大四(要畢業了ㄅㄅ) • 一年前坐在跟各位一樣的位子上 • 玩出興趣後
• 2016 AIS3 pre-exam #27, final 中區#2 • 2016 資安金盾獎抽獎得主<3 • 2017 國家資安辦網路攻防演練廉價勞工 • 2017 CDX koth #4
我個人相信 • 持續嘗試,總能在不同領域間找到自己的方向 • 保有熱忱,總能在找到方向後持續前行
Get Resource • 致力於資安推廣的校外團體 • TDoH • 許多針對新手的小課程 • 2016開始舉辦pipe計畫,協助各校資安社團發展
• 面向新手的TDoH conference • 很多食物 • UCCU • 南部為主 • 不定期技術小聚
校內資源 請找他們三個
最後,不免俗 • 資訊安全是一門具有傷害性的技術和學問 • 用在好的方面,可以保護我們與身邊的人 • 一念之差,也可能造成自己或他人的危險 • 請不要忘記學習的初衷
歡迎各位來到CTF的世界 • 活下去吧! • 發問 尿尿 開打