Capture The Flag

Le 17/11/2020

Présentation par MrCaluem et Urgau

Sommaire

  1. Qu'es ce qu'un CTF?
  2. Pourquoi un CTF?
  3. Participer a un CTF?
  4. S’entraîner pour un CTF?

Capture The  _ _ _ _

Qu'est ce qu'un CTF ?

  • Un concours de sécurité informatique

Jargon

  • flag
  • key
  • service
  • binary
  • quals
  • prequals

Qu'est ce qu'un CTF ?

Catégories

Qu'est ce qu'un CTF ?

Reverse

Catégories

Qu'est ce qu'un CTF ?

Pwnable

Catégories

Qu'est ce qu'un CTF ?

Crypto

Catégories

Qu'est ce qu'un CTF ?

Forensices

Catégories

Qu'est ce qu'un CTF ?

WEB

Catégories

Qu'est ce qu'un CTF ?

Misc

Catégories

Qu'est ce qu'un CTF ?

Pourquoi un CTF ?

Pourquoi un CTF ?

Pourquoi un CTF ?

Pourquoi un CTF ?

Pourquoi un CTF ?

$3550.01 au enchères

Pourquoi un CTF ?

Participer a un CTF ?

Participer a un CTF ?

Blue Team

Participer a un CTF ?

Red Team

Participer a un CTF ?

Full Spectrum

Participer a un CTF ?

Jeopardy

Concourir a un CTF ?

DEFCON

Concourir a un CTF ?

  • DEF CON Quals
  • Ghost in the Shellcode
  • PlaidCTF
  • CSAW
  • Kommand && Kontroll
  • RuCTF Quals
  • Nuit du Hack Quals
  • Hack.lu
  • Collegiate Cyber Defense Competition (CCDC)
  • Cyber Defense Exercise (CDX)
  • DEF CON Finals
  • CODEGATE YUT
  • RuCTF Finals
  • Nuit du Hack Finals
  • rwthCTF
  • iCTF

Concourir a un CTF ?

root-me

Concourir a un CTF ?

Defend the Web

Workflow

Workflow

  1. Run "file"
  2. Read spec (RFC-1952)
  3. Extract / re-arrage
  4. GOTO 1
$ file 35e25782a7b3b88409e58756e63c40c2.bin
35e25782a7b3b88409e58756e63c40c2.bin: XZ compressed data   
“A gzip file consists of a series of ‘members’ (compressed data sets). The format of each member is specified in the following section. The members simply appear one after another in the file, with no additional information before, between, or after them.” 
Exercise for the reader. (python, binwalk, shell script)  
$ file output
output: POSIX tar archive (GNU)
$ tar –xvf output
keming/
keming/index.html
keming/pronoun.woff
keming/preposition.woff
keming/adjective.woff
keming/interjection.woff

Ressources

Ressources

Skills...

  • x86/MIPS/ARM/PPC/Atmel
  • Reverse Engineering
  • Binary Exploitation
  • File System Forensics
  • File Format Forensics
  • Cryptography
  • Web App Sec
  • Hacker Trivia
  • Emulation/Virtualization
  • Custom compression
  • Programming (scripting and the real deal)
  • PHP “Phun
  • Binary Protection Mechanisms
  • Formal Methods
  • Network Protocol Analysis
  • Shellcode Tricks
  • Number Systems
  • Bizarre Encodings

Le seul vrai secret de la réussite :

ESSAYER

Ressources

CTF-Time

Ressources

Archives

Ressources

Vidéos

Les nombreuses maximes d'un CTF à succès

http://captf.com/maxims.html

Maximes

  1. We hack for fun, not for frustration.
  2. The scoring mechanism should always be the easiest challenge.
  3. Solutions might be a surprise, but recognizing when you have one shouldn't be.
  4. When the next step requires a leap of faith, be sure to include a bridge.
  5. An homage honors, but duplication doesn't

Maximes

  1. Learners always win even when winners don't learn.
  2. Your point estimates are exactly that until calibrated.
  3. Never rely on the survival of a vulnerable server.
  4. Competitors are more clever than you, they also have more time.
  5. Learning starts where prior knowledge ends.

   FIN

8 Challenges

mrCaelum/HUB_workshop_CTF

Workshop

Challenge Catégorie Difficulté
01 Reverse Easy
02 Reverse Easy
03 Reverse Medium
04 Reverse Medium
05 Reverse Hard
06 WEB Easy
07 WEB Medium
08 WEB Hard
Made with Slides.com