EVENT_04

Initiation aux CTF

 

 

24/09/2019

17h30

Bonjour

Programme

  1. Qu'est-ce qu'un CTF ?

  2. Comment bien débuter ?

  3. Présentation des catégories

  4. Présentation d'outils

  5. mini-CTF

Qu'est-ce qu'un CTF ?

  • Capture The Flag

  • Conférences + CTF

  • Entreprises

  • Compétitions online : picoCTF, Santhacklaus

  • Compétitions offline : Grehack, ECW, SigSegv, HackSecuReims, ESAIP CTF, INS'HACK, Nuit du Hack, TRACS, Sthack

Comment bien débuter ?

  • Root-me, NewbieContest

  • Hack The Box, Vulnhub

  • Write-up: résolution d'un challenge

  • Youtube: LiveOverflow, John Hammond

  • Kali Linux

  • Actif sur Twitter et Discord

  • Reconnu par les entreprises

Les catégories

  • stegano

  • reverse

  • web

  • forensic

  • réseau

  • crypto

  • misc

  • ...

Outils

  • dirb, dirbuster (GUI)

  • Sonic Visualiser, Audacity

  • Burp Suite

  • Wireshark, tshark

  • CyberChef, Dcode, md5Decrypt

  • Aperi'Solve

  • exiftool , fcrackzip, John the Ripper

  • Python, Bash

  • Le meilleur outils

  • ...

Outils

  • dirb, dirbuster (GUI) : listing de fichiers/dossiers

$ dirb http://10.10.10.6 -r -o dirb.out
-----------------
DIRB v2.22    
By The Dark Raver
-----------------
...
-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://10.10.10.6/ ----
+ http://10.10.10.6/cgi-bin/ (CODE:403|SIZE:286)
+ http://10.10.10.6/index (CODE:200|SIZE:177)
+ http://10.10.10.6/index.html (CODE:200|SIZE:177)
+ http://10.10.10.6/server-status (CODE:403|SIZE:291)
+ http://10.10.10.6/test (CODE:200|SIZE:47330)
==> DIRECTORY: http://10.10.10.6/torrent/

-----------------
END_TIME: Wed Dec  5 17:17:05 2018
DOWNLOADED: 4612 - FOUND: 5

Outils

  • Sonic Visualiser : analyse spectrale de fichiers audio

Outils

  • Burp Suite : proxy HTTP

Outils

  • Wireshark : analyseur de protocoles réseaux

Outils

  • CyberChef : app. web pour chiffrement, encodage, ...

Outils

  • StegSolve : analyse d'images (stegano)

Outils

  • Dcode : chiffrement et déchiffrement (crypto)

Outils

  • md5Decrypt : base de données de hash (crypto)

Outils

  • Python, Bash, .........................................................., Java (lol)

Outils

  • FactorDB : Base de données pour la factorisation

Outils

  • RsaCtfTools : Attaque sur RSA avec des tailles de clés de petites tailles

Outils

  • OpenSSL: boîte à outils cryptographiques
# generate private key
$ openssl genrsa -out priv_key.pem 2048

# generate public key from priv_key.pem
$ openssl rsa -in priv_key.pem -pubout -out pub_key.pem

# encrypt flag.txt file with pub_key.pem to flag.txt.enc
$ openssl rsautl -encrypt -pubin -inkey pub_key.pem -in flag.txt -out flag.txt.enc

# decrypt flag.txt.enc with priv_key.pem
$ openssl rsautl -decrypt -inkey priv_key.pem -in flag.txt.enc -out flag.txt.dec

Outils

  • Python: exemple RSA
#!/usr/bin/env python3
from Crypto.Util.number import inverse

### encrypt with public key (n=3233,e=17)
message = 97
p = 61 # secret
q = 53 # secret

n = p*q
phi = (p-1)*(q-1)
e = 17

ciphertext = pow(message, e, n) # 2790

### decrypt
p = 61
n = 3233
e = 17
ciphertext = 1632

q = n//p
phi = (p-1)*(q-1)
d = inverse(e, phi)
message = pow(ciphertext, d, n)

Outils

  • Le meilleur outil

Informations utiles

  • Site : teamcryptis.fr

  • Discord : Team Cryptis

  • Sites pour s'entraîner (Root-me, PicoCTF ...)

  • Team CTF (offline, online)

mini-CTF

  • 2h30

  • Environ 30 challenges

  • Solo de préférence

  • Aide sur teamcryptis.fr (consulter les event_0X)

mini-CTF

  • Pas trop de brute force :)

  • Correction des challenges (fin de semaine)

À l'attaque !

https://ctf.teamcryptis.fr

Made with Slides.com