Slide 1

Slide 1 text

RE:從零開始的CTF生活 Zodius

Slide 2

Slide 2 text

What CTF(Catch The Flag) • 駭客之間的小遊戲 • 透過不同的技術取得主辦方暗藏的flag • 常見分類 • Jeopardy - 解題類型(大多數比賽都是這個形式) • Attack & Defence • King of the Hill - 占地盤

Slide 3

Slide 3 text

Who CTF • 想成為駭客大大的人 • 想了解資安領域的人 • 想了解自己寫出來的程式是什麼鬼的人

Slide 4

Slide 4 text

Why CTF • 學資安、學技術 • 有個靶場可以練習(避免今天拿root明天查水表) • 其實滿好玩的 當遊戲消遣也不錯 (Y)

Slide 5

Slide 5 text

CTF&資安的大一必修 • Web Application Security • Reverse Engineering • Pwn • Crypto • Forensic - 資料鑑識 (最近幾年比較常出現) • Misc - 難以分類的題目、Steganography等等 • 不管未來各位想成為駭客大大或是國家網安專家,這些都是基礎

Slide 6

Slide 6 text

Web Application Security • 網站應用程式的各式弱點 • 入門門檻相對較低,但相對範圍也較廣 • 了解網頁安全,才能避免自己辛苦的作品被人利用 • 先備知識 • 後端 PHP, Perl, SQL等等等 • 前端 JavaScript, HTML • 連線的 HTTP protocol • 資工系同學之後可以回頭看看自己資料庫的期末專題

Slide 7

Slide 7 text

等等大家就會練習到了 不多做解釋XD

Slide 8

Slide 8 text

Reverse Engineering • 給你一個編譯過的執行檔,想辦法還原出程式運作的流程,並從 中找出弱點 • 然後就可以寫外掛或分離出盜版遊戲 • 先備知識 • Assembly code • Compile and linking

Slide 9

Slide 9 text

For example

Slide 10

Slide 10 text

No content

Slide 11

Slide 11 text

Pwn • To compromiss and to control 攻破與控制 • 透過服務本身的弱點或是不良的設計,進而控制他人的電腦 • 之前wanna cry等病毒攻破的便是系統漏洞,屬於pwn領域的議題 • 先備知識 • Assembly, again • Computer Architecture • OS • Exploit db

Slide 12

Slide 12 text

常見buffer overflow 正常執行結果

Slide 13

Slide 13 text

巫術

Slide 14

Slide 14 text

Crypto • 給你一串字串,你給我翻譯翻譯 • 目前主流能考的加密法並不多,類似題目大多在於你能不能看出 所使用的加密法 • flag可能在解密後的字串 或是加密時所使用的key • 先備知識 • 古典密碼 • 各式對稱與非對稱加密 • 常見編碼如ASCII, base64, 用英文鍵盤打注音e04等等

Slide 15

Slide 15 text

For example • ji3vu; vup4284ru8 2. h9 2k6tj x965k4tj04y4ul4yp3ak7ru,3au4 • Base64: “SGVsbG8hCg==“ => “Hello!” • 另外有些題目會給你自製的加密演算法source code與加密後的字 串, 我們要想辦法看懂、並加以還原

Slide 16

Slide 16 text

Forensic • 在眾多資料中尋找特定的結果 • 給你的可能是Memory Dump, Disk image, Packect Collection或是基 本的pdf檔等等 • 先備知識 • OS • File format or Disk format • 常見Application Layer Protocol

Slide 17

Slide 17 text

Misc • Steganography 圖片隱寫術 • 給你圖片,找出藏在裡面的字串、檔案等等 • 也遇過magic header修復、寫程式自動答題之類的題目 • 把皮卡丘的圖片塞進寶貝球的圖片裡 • 有人說,Misc類型的題目大多像是出題者的興趣,所以會有很多 很有意思的題目或是搞笑的題目,至於會出現什麼樣的題目...真 的只能問神了:P

Slide 18

Slide 18 text

那麼 • 常聽見的DoS, DDoS, DDDoS, DDDDoS...或是想要去路邊幹別人wife 是哪個領域呢?

Slide 19

Slide 19 text

• 這些領域在CTF比賽中較難實現,也是學會這些基本後才會慢慢 接觸到的領域 • 而且都違法 沒事不要偷別人wife

Slide 20

Slide 20 text

學習CTF的路程 • 累積經驗,多看就能大概猜到出題方向 • 保持活力,隨時準備學習新的事物、新的領域 • 最重要,玩得開心

Slide 21

Slide 21 text

在迎接AIS3前 • 練習題目 • hackme.inndy.tw • Ais3 2016, 2015 pre-exam • pwnable.tw • pikoCTF 2013, 2017 • CTFtime • 觀摩Write up: 別人在進行CTF時的筆記 • 好的write up不會只有告訴你答案,會一併記錄下他的解題過程,思考過 程,曾經做過的嘗試等等 • 也希望各位初學的時候,養成紀錄write up的習慣,能加深自己的印象, 日後也容易回想 • Google “AIS3 2016 pre-exam write up”

Slide 22

Slide 22 text

最後, whoami • Zodius(黑白) • 資工大四(要畢業了ㄅㄅ) • 一年前坐在跟各位一樣的位子上 • 玩出興趣後 • 2016 AIS3 pre-exam #27, final 中區#2 • 2016 資安金盾獎抽獎得主<3 • 2017 國家資安辦網路攻防演練廉價勞工 • 2017 CDX koth #4

Slide 23

Slide 23 text

我個人相信 • 持續嘗試,總能在不同領域間找到自己的方向 • 保有熱忱,總能在找到方向後持續前行

Slide 24

Slide 24 text

Get Resource • 致力於資安推廣的校外團體 • TDoH • 許多針對新手的小課程 • 2016開始舉辦pipe計畫,協助各校資安社團發展 • 面向新手的TDoH conference • 很多食物 • UCCU • 南部為主 • 不定期技術小聚

Slide 25

Slide 25 text

校內資源 請找他們三個

Slide 26

Slide 26 text

最後,不免俗 • 資訊安全是一門具有傷害性的技術和學問 • 用在好的方面,可以保護我們與身邊的人 • 一念之差,也可能造成自己或他人的危險 • 請不要忘記學習的初衷

Slide 27

Slide 27 text

歡迎各位來到CTF的世界 • 活下去吧! • 發問 尿尿 開打