CTF
「CTFとは?」
Capture THe Flag
CTF
攻防戦形式:
脆弱性のあるサービスが動いているサーバが与えられ、敵チームのサーバからFlagを盗み取る
SECCON
日本でCTFといえばSECCON
1、ksnctfでCTFの問題に挑戦
2、SECCONでたり、CFT本を読んだりする
3、CTF TIMEとかをチェックする
セキュリティコンテストチャレンジブックがある
nmapで調査する
ネットワーク経由腕攻撃を仕掛ける場合にはどのTCP/IPポートが空いているか調べる、ポートスキャン
nmapでは、実行されているソフトの種類やバージョンもわかる
httpが空いているのでwebブラウザで開いてみる
CGIの挙動を確認する
CGIをハックする
「Kurenaif」
「DC CyberSec」
「Ninjastars」
「Grant Collins」
「自称セキュリティエンジニアがCTFで全く歯が立たなかった」
「SetodaNote」
「セキュリティ完全初心者がCTFに入門して半月」
CTFは与えられた問題からFlagをゲットすることを目的とした競技
ハッキングの競技
cpawCTFを埋めよう!
x64でpwnするときは注意!
「CTF初心者が考えるCTF入門」
ksnctfではなくcrawCTFから入るべき
出題ジャンル
・Cryptography
ネットにあるツールなどを使うと楽
・Network
WireSharkでのパケット解析など
・Binary Exploitation & Reversing
バイナリ解析やリバースエンジニアリング
C言語やアセンブリ言語の知識が前提
リバースエンジニアリングではGhidra、ddbを用いた解析がメイン
・Web Exploitation
Webセキュリティに関する問題
クライアントサイドとサーバーサイドに二分できる
JavaScriptからPerl、SQLの知識が求められる
・Pwn
プログラムの脆弱性を突く分野
ハッカーがやっていること
・Forensics
データから情報を抜き出しflagを探す
・OSINT
オシント、公開されている情報をもとに個人を特定したりする
・Miscellaneous
雑多を意味する
難読化シェル系など
picoCTF
「CpawCTF」
ksnctf
「Pwn入門」
「CTF pwn」
「SECCON2020」
8割解けるCTF「WEST-SEC」