Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RE:從零開始的CTF生活
Search
oval68100
June 14, 2017
Programming
1
290
RE:從零開始的CTF生活
2017/6/19@Moliday
oval68100
June 14, 2017
Tweet
Share
More Decks by oval68100
See All by oval68100
封包側錄與無線安全
oval68100
1
150
Other Decks in Programming
See All in Programming
Djangoにおける複数ユーザー種別認証の設計アプローチ@DjangoCongress JP 2025
delhi09
PRO
4
460
5分で理解する SOLID 原則 #phpcon_nagoya
shogogg
1
300
生成AIで加速するテスト実装 - ロリポップ for Gamersの事例と 生成AIエディタの活用
kinosuke01
0
110
データの整合性を保つ非同期処理アーキテクチャパターン / Async Architecture Patterns
mokuo
54
19k
たのしいSocketのしくみ / Socket Under a Microscope
coe401_
8
1.2k
Honoとフロントエンドの 型安全性について
yodaka
7
1.4k
CloudNativePGを布教したい
nnaka2992
0
110
機能が複雑化しても 頼りになる FactoryBotの話
tamikof
0
110
コミュニティ駆動 AWS CDK ライブラリ「Open Constructs Library」 / community-cdk-library
gotok365
2
240
Go 1.24でジェネリックになった型エイリアスの紹介
syumai
2
280
バッチを作らなきゃとなったときに考えること
irof
2
520
CI改善もDatadogとともに
taumu
0
200
Featured
See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Designing for Performance
lara
604
68k
Designing for humans not robots
tammielis
250
25k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
990
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Product Roadmaps are Hard
iamctodd
PRO
50
11k
How STYLIGHT went responsive
nonsquared
98
5.4k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
Transcript
RE:從零開始的CTF生活 Zodius
What CTF(Catch The Flag) • 駭客之間的小遊戲 • 透過不同的技術取得主辦方暗藏的flag • 常見分類
• Jeopardy - 解題類型(大多數比賽都是這個形式) • Attack & Defence • King of the Hill - 占地盤
Who CTF • 想成為駭客大大的人 • 想了解資安領域的人 • 想了解自己寫出來的程式是什麼鬼的人
Why CTF • 學資安、學技術 • 有個靶場可以練習(避免今天拿root明天查水表) • 其實滿好玩的 當遊戲消遣也不錯 (Y)
CTF&資安的大一必修 • Web Application Security • Reverse Engineering • Pwn
• Crypto • Forensic - 資料鑑識 (最近幾年比較常出現) • Misc - 難以分類的題目、Steganography等等 • 不管未來各位想成為駭客大大或是國家網安專家,這些都是基礎
Web Application Security • 網站應用程式的各式弱點 • 入門門檻相對較低,但相對範圍也較廣 • 了解網頁安全,才能避免自己辛苦的作品被人利用 •
先備知識 • 後端 PHP, Perl, SQL等等等 • 前端 JavaScript, HTML • 連線的 HTTP protocol • 資工系同學之後可以回頭看看自己資料庫的期末專題
等等大家就會練習到了 不多做解釋XD
Reverse Engineering • 給你一個編譯過的執行檔,想辦法還原出程式運作的流程,並從 中找出弱點 • 然後就可以寫外掛或分離出盜版遊戲 • 先備知識 •
Assembly code • Compile and linking
For example
None
Pwn • To compromiss and to control 攻破與控制 • 透過服務本身的弱點或是不良的設計,進而控制他人的電腦
• 之前wanna cry等病毒攻破的便是系統漏洞,屬於pwn領域的議題 • 先備知識 • Assembly, again • Computer Architecture • OS • Exploit db
常見buffer overflow 正常執行結果
巫術
Crypto • 給你一串字串,你給我翻譯翻譯 • 目前主流能考的加密法並不多,類似題目大多在於你能不能看出 所使用的加密法 • flag可能在解密後的字串 或是加密時所使用的key •
先備知識 • 古典密碼 • 各式對稱與非對稱加密 • 常見編碼如ASCII, base64, 用英文鍵盤打注音e04等等
For example • ji3vu; vup4284ru8 2. h9 2k6tj x965k4tj04y4ul4yp3ak7ru,3au4 •
Base64: “SGVsbG8hCg==“ => “Hello!” • 另外有些題目會給你自製的加密演算法source code與加密後的字 串, 我們要想辦法看懂、並加以還原
Forensic • 在眾多資料中尋找特定的結果 • 給你的可能是Memory Dump, Disk image, Packect Collection或是基
本的pdf檔等等 • 先備知識 • OS • File format or Disk format • 常見Application Layer Protocol
Misc • Steganography 圖片隱寫術 • 給你圖片,找出藏在裡面的字串、檔案等等 • 也遇過magic header修復、寫程式自動答題之類的題目 •
把皮卡丘的圖片塞進寶貝球的圖片裡 • 有人說,Misc類型的題目大多像是出題者的興趣,所以會有很多 很有意思的題目或是搞笑的題目,至於會出現什麼樣的題目...真 的只能問神了:P
那麼 • 常聽見的DoS, DDoS, DDDoS, DDDDoS...或是想要去路邊幹別人wife 是哪個領域呢?
• 這些領域在CTF比賽中較難實現,也是學會這些基本後才會慢慢 接觸到的領域 • 而且都違法 沒事不要偷別人wife
學習CTF的路程 • 累積經驗,多看就能大概猜到出題方向 • 保持活力,隨時準備學習新的事物、新的領域 • 最重要,玩得開心
在迎接AIS3前 • 練習題目 • hackme.inndy.tw • Ais3 2016, 2015 pre-exam
• pwnable.tw • pikoCTF 2013, 2017 • CTFtime • 觀摩Write up: 別人在進行CTF時的筆記 • 好的write up不會只有告訴你答案,會一併記錄下他的解題過程,思考過 程,曾經做過的嘗試等等 • 也希望各位初學的時候,養成紀錄write up的習慣,能加深自己的印象, 日後也容易回想 • Google “AIS3 2016 pre-exam write up”
最後, whoami • Zodius(黑白) • 資工大四(要畢業了ㄅㄅ) • 一年前坐在跟各位一樣的位子上 • 玩出興趣後
• 2016 AIS3 pre-exam #27, final 中區#2 • 2016 資安金盾獎抽獎得主<3 • 2017 國家資安辦網路攻防演練廉價勞工 • 2017 CDX koth #4
我個人相信 • 持續嘗試,總能在不同領域間找到自己的方向 • 保有熱忱,總能在找到方向後持續前行
Get Resource • 致力於資安推廣的校外團體 • TDoH • 許多針對新手的小課程 • 2016開始舉辦pipe計畫,協助各校資安社團發展
• 面向新手的TDoH conference • 很多食物 • UCCU • 南部為主 • 不定期技術小聚
校內資源 請找他們三個
最後,不免俗 • 資訊安全是一門具有傷害性的技術和學問 • 用在好的方面,可以保護我們與身邊的人 • 一念之差,也可能造成自己或他人的危險 • 請不要忘記學習的初衷
歡迎各位來到CTF的世界 • 活下去吧! • 發問 尿尿 開打