Clever Geek Handbook

「ホワイトハッカー」のためのCTFコンペティション2020。参加者の登録







12月、OTUSは、VolgaCTFCTF.Moscowの支援を受けて情報セキュリティに近いすべての人をオンラインコンテストに招待し、脆弱性を見つけます。詳細と登録はこちらからそれまでの間、形式と参加について詳しく説明し、2019年のイベントの様子を思い出します。





フォーマット



略語CTFはCapturetheflagの略です。このようなコンテストには2つの形式があります。



  1. 攻撃防御。チームはサーバーまたはネットワークを取得し、機能を確保する必要があります。タスクは、敵チームからの防御または盗まれた情報(「フラグ」)に対して可能な限り多くのポイントを獲得することです。
  2. タスクベース。各参加者は一連のタスクを受け取り、割り当てられた時間内にソリューションを送信する必要があります。答え、別名フラグは、文字セットまたはフレーズにすることができます。


CTFコンテストは、タスクベースの形式で編成されています



去年はどうでしたか?



2019年には217名が参加しました。参加者は、リバースエンジニアリング、侵入テスト、Linuxセキュリティの9つのタスクを各方向に3つずつ解決する必要がありました。完了するまでに5時間かかりました。



タスクにはさまざまな難易度があり、それに応じてポイント単位のコストがあります。前回、送信された回答の40%のみが受け入れられました。昨年の課題を解決する例を次に示します。



1.リバースエンジニアリング



コードの逆コンパイル、低レベルのコードのみを使用したプログラムロジックの復元、モバイルアプリケーションの動作の調査のタスク。







: Bin

: 200



:

. , .

: task



:

. , ++.



, 5 .



. :



0)

1) flag{

2) feefa

3) _172a

4)k14sc

5)_eee}



フラグを組み合わせて取得します:



flag {feefa_172ak14sc_eee}


2.ペンテスト



参加者は、侵入テスト方法を使用してWebサイトの脆弱性を検索します。



タスクの例



名前:データベース

ポイント:100



説明:サイトはデータベースを積極的に使用しています。SQLインジェクションを試してください。

サイトへのリンク: 193.41.142.9:8001 /ショップ/ログイン



解決策:

ストア/ショップ/製品/のメインセクションに移動し、検索フィールドを突くと、sqlインジェクションが見つかります。



1 "OR" 1 "=" 1 "-と入力し、下にスクロールして、以前に存在しなかった製品を確認します。フラグは説明にあります。



フラグ:フラグ{5ql_1nject10n_15_t00_51mpl3_f0r_y0u}




3.Linuxセキュリティ+開発セキュリティ



これらのタスクは、サーバー構成の正確さをチェックし、ソフトウェア開発のエラーを見つけることを目的としています。







: Algo

: 50



: . safe development. . : 666c61677b32646733326473323334327d. .



.

: 193.41.142.9:8002/

: task.7z



:

ソースコードにはパスワードハッシュアルゴリズムがあります。実際、これはハッシュアルゴリズムではなく、単にデータを文字列から16進形式に変換するだけです。



Pythonの使用:



import binascii binascii.unhexlify( "666c61677b32646733326473323334327d")



フラグを取得し ます:flag {2dg32ds2342}




ここでCTF-2019のすべてのタスクを見ることができます



今年はどうなりますか?



4番目の分野「Webアプリケーションセキュリティ」を追加しました。参加者は6時間、12のタスクを解決する必要があります(各方向に3つ)。



日付と賞品



コンテストは12月5日の午前10時から16時まで開催されます。リバースエンジニアリング、侵入テスト、Linuxセキュリティ、Webアプリケーションセキュリティの各カテゴリで、勝者が決定されます。



登録は12月4日から19:45まで



受け付けています。主な賞品である情報セキュリティのOTUSコースでの無料トレーニングは、いずれかのカテゴリで3つの問題すべてを最初に正しく解決した人に贈られます。2位と3位の方は、授業料が特別割引になります。そしてもちろん、すべての参加者は新しい知識、問題を解決する喜び、そして10%のボーナス割引を受けられます。



12月8日と10日には、主催者と教師が特別なウェビナーを開催し、結果を要約し、問題の解決策を分析し、コースについて詳しく説明します。



CTFコンペティションに参加できるのは誰ですか?



このイベントは、情報セキュリティに多かれ少なかれ関心のあるすべての人に開かれています。



もっと知りたい?それから、12月3日20:00の紹介ウェビナーであなたを待っています。そこでは、開催のすべての条件について説明し、あなたの質問に答えます。 放送を見逃さないようにサインアップしてください


More articles:


All Articles