Über die Entwicklung der kommenden CTF mit einer Offline-Suche nach dem allukrainischen Kampf der Hacker

    Hallo Khabrovchans! Ich hoffe, viele von Ihnen kennen und besuchen gemütliche Hacking-Konferenzen, Foren und Meetings nicht nur zum Zweck der After-Party, sondern auch, um Ihren Verstand und Ihren Einfallsreichtum bei CTF (Capture The Flag) zu erweitern. Bei der Organisation einer Veranstaltung, bei der alle oben genannten Punkte kombiniert werden, möchte ich die Erfahrungen unseres Teams bei der Auswahl einer Plattform für CTF und die Entwicklung selbst teilen.

    CTF - Wettbewerbe im Zusammenhang mit der Suche nach Schwachstellen und versteckten Daten, die bedingt in Klassiker und Aufgaben unterteilt sind. Klassische Wettbewerbe werden auch als Attack-Defense bezeichnet: Es geht darum, das Image des Systems zu analysieren, Schwachstellen zu finden, diese zu beheben und auf den Servern anderer Teams auszunutzen. Es geht um Aufgabenzuweisungen.

    Bild

    Es gibt viele Leute auf Habrahabr, die sich für CTF-Spiele begeistern, daher die Frage: Warum es so viele Websites mit einer Bewertung von Teams und Teilnehmern, Anzeigetafeln und analytischen Artikeln gibt, haben viele schon lange eine Antwort gefunden. Schließlich ist dies fast die einzige Beschäftigung, in der Wettbewerbsgeist herrscht und jeder „Sicherheitsbeamte“ seine Würde messen kann, wenn auch unter künstlichen Bedingungen und nur in gewisser Weise realitätsnah.

    Es ist eine Sache, an CTF teilzunehmen, es ist eine ganz andere, die ich Ihnen vorstellen werde - diese Veranstaltung zu erstellen und zu organisieren.

    Plattformauswahl


    Es gibt zwei Arten von CTF-Plattformen: fertige und selbstgeschriebene. Vorgefertigte Plattformen sind gut für ihre „Funktionen“, die im Laufe der Jahre entwickelt und von vielen Wettbewerben getestet wurden. Samopisnye garantiert tatsächlich die Sicherheit der Website, weil Sie werden von Leuten geschrieben, die mehr darüber wissen als der durchschnittliche Satzprogrammierer (was wir bei vorgefertigten Plattformen nicht garantieren können, alles hängt von direkten Händen ab). Daher fiel unsere Wahl persönlich auf die Facebook CTF-Plattform - ein interessantes System mit folgenden Einstellungen:

    Verschiedene Arten von Aufgaben:

    • Quiz - das gleiche wie gewöhnliche Fragen, die beantwortet werden müssen (Wort, Satz)
    • Flag - Task Task (Datei, Link usw.), deren Antwort ein Flag im entsprechenden Format ist (unser Format ist h4ck1t {text}).
    • Bases - die Analogie des Spiels "King of the Hill", der zuerst die Aufgabe löst, die meisten Punkte bekommt (und so weiter absteigend)

    Beim Öffnen gibt es auch Tipps, bei denen eine bestimmte Anzahl von Punkten entfernt wird. Kein kleines Plus: Facebook hat eine der aufregendsten Schnittstellen zwischen Plattformen.

    Die Facebook CTF-Plattform wurde erstmals in CTFs wie dem Facebook CTF auf der Csu San Bernardino und auf der BruCON 2014-Konferenz verwendet. Anschließend begann Facebook mit der Förderung der OpenSource-Softwarerichtlinie. Dies betraf auch die CTF-Plattform.

    Und im Mai 2016 haben sie ihren Quellcode auf Github geöffnet . Wie Sie sich vorstellen können, war das Produkt noch nicht fertig, aber die Entwickler waren wach und hatten bis September bereits etwa 401 Änderungen an ihrem Code zum Zeitpunkt der Veröffentlichung vorgenommen. Wir hoffen, dass sie ihr Produkt weiterhin im gleichen Tempo aktualisieren werden :)

    Plattform-Setup


    Und hier stehen wir vor den ersten Schwierigkeiten: Es stellte sich heraus, dass sich die Plattform nur im Beta-Test befindet und viele Mängel aufweist. Wir standen vor der Aufgabe, einige Fehler zu korrigieren und zu korrigieren. Ich werde nicht den gesamten Prozess der Korrektur und Krücken beschreiben , ich kann nur sagen, dass sie die Plattform mehrmals wechseln wollten, aber dennoch beschlossen haben, dass wir einer der ersten sein würden, der Facebook CTF erobert.

    Wir haben alle Änderungen aufgrund unserer dreijährigen Erfahrung bei der Teilnahme an CTF-Wettbewerben vorgenommen. Alle Mängel anderer Wettbewerbe wurden berücksichtigt, wie das Fehlen von Bugbounty und Punkten dafür, die Kommunikation mit den Erstellern von Aufgaben und vieles mehr! Es wurde auch von der ctftime-Plattform beeinflusst, die unter anderem viele Erhöhungen mit Rückmeldungen der Teilnehmer zu Wettbewerben vorsah.

    Aufgabenerstellung


    Und dies ist eine der interessantesten Phasen in der Entwicklung von CTF'a! Betrachten Sie die Bereiche, die wir abgedeckt haben:

    • Admin / Misc - Aufgaben, die den täglichen Problemen der Systemadministratoren nahe kommen.
    • Kryptographie - Aufgaben, die auf den Merkmalen kryptographischer Algorithmen basieren.
    • PWN - Suche nach Schwachstellen und dem anschließenden Betrieb eines Dienstes, der auf einem Port ausgeführt wird.
    • Exploit - ähnlich wie bei PWN werden nur noch die Quellen dieser Binärdatei bereitgestellt.
    • Forensik - Untersuchung von Vorfällen, Analyse verschiedener Deponien usw.
    • Freude - Sie müssen regelmäßig von leichtfertigen Aufgaben abgelenkt werden :)
    • Netzwerk - Netzwerkaufgaben.
    • PPC - Programmieraufgaben.
    • Reverse-Analyse von Binärdateien mit anschließender Untersuchung der im Programm verwendeten Algorithmen zum Erhalten von Flags
    • Steganographie - Suche nach versteckten Kanälen für die Informationsübertragung.
    • Web ist Web-Sicherheit.

    Und für diejenigen, die sich in der Erstellung von Aufgaben versuchen wollen, haben wir einen Wettbewerb von Aufgaben durchgeführt.

    Aufgabenwettbewerb


    Weiter zum Aufgabenwettbewerb: Dies ist für Sie eine echte Gelegenheit, das Erstellen eigener Aufgaben in praktisch allen Kategorien zu üben! Wenn Ihre Aufgabe auf CTF stattfindet, erhalten Sie ein kostenloses Konferenzticket. Respektieren Sie den Respekt. Bisher wurden nur wenige Aufgaben gesendet, daher ist die Chance, ausgewählt zu werden, hoch! Bewerbungen werden per E-Mail entgegengenommen: ctf@hackit-ukraine.com

    Offline-Tour H4ck1t CTF


    Zusätzlich zu 12 vorbereiteten Kategorien mit interessanten Aufgaben, die sowohl für Anfänger als auch für Profis in jedem Bereich konzipiert sind, werden die Top-10-Teams eine Offline-Tour mit nicht standardmäßigen und interessanten Wettbewerben haben, ein unterhaltsameres, aber noch nicht ohne Einfallsreichtum-Genre (vorerst) Was für ein Geheimnis :)).

    Bild

    Wettbewerb


    Eine Online-Tour findet vom 23. September bis 2. Oktober statt . Und jeden Tag werden mehrere Aufgaben aus verschiedenen Kategorien geöffnet. Den Ergebnissen zufolge werden die besten Teams am 7. Oktober auf der HackIT-2016-Konferenz zu einer Offline-Tour eingeladen . Im Finale erwartet das Team eine knifflige CTF, aber im wirklichen Leben mit nicht standardmäßigen Wettbewerben, Blackjack und Ladies . Unser Team bereitet faszinierende Aufgaben in der Realität mit Hacking-Webcams, RFID, Schlössern und vielem mehr vor.

    Ich hoffe, sie berücksichtigen keine kommerzielle Werbung. Sie können sich hier für CTF registrieren

    Eine Übersicht über die interessantesten Aufgaben für die Betroffenen wird nach der Veranstaltung veröffentlicht.

    Und ein Rabatt auf die Veranstaltung selbst für Einwohner von Chabrowsk: ein 10% iger Aktionscode, vielleicht ist jemand hilfreich :
    HABR0710

    Jetzt auch beliebt: