Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

HITCON CTF 2016導覽

2,116 views

Published on

由 HITCON GIRLS 製作的 CTF 導覽投影片,如果沒有參加到兩天的導覽,歡迎大家瀏覽這份投影片裡的介紹!

Published in: Engineering
  • www.facebook.com/HITCONGIRLS/$aa/$bb/$cc
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • $aa = md5($aa); $bb = base64_encode($bb); $cc = dechex($cc); echo $aa."/".$bb."/".$cc
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Test
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

HITCON CTF 2016導覽

  1. 1. 導覽活動
  2. 2. 2016 HITCON CTF 國際駭客競賽 台灣連續二年舉辦國際規模的現場駭客攻防賽 第一場獲選為DEFCON CTF 2017種子賽事 初賽共1,024隊,評價超過世界知名賽事 決賽共 10國來台挑戰,總獎金近新台幣 60 萬 1 2 3 4
  3. 3. 本次HITCON CTF 13 支決賽隊伍 Cykorkinesis(韓國) Shellphish(美國) LCBC(俄羅斯) PPP(美國) TokyoWesterns(日本) CLGT(越南) !SpamAndHex(匈牙利) PwnThyBytes(羅馬尼亞) Kaist_GoN(韓國) 0ops(中國) Dispwnable(台灣) Hacker Forge(台灣) p4(波蘭) 為什麼沒有HITCON? 因為 HITCON戰隊都在出題啊
  4. 4. DEFCON CTF 駭客世界杯:最重要的 CTF 賽事 每年八月在美國拉斯維加斯
  5. 5. 到美國拉斯維加斯參加 DEFCON CTF 決賽資格 1. 線上選拔 參加5月舉辦的DEFCON Quals 線上初賽,打進前10名 2. 獲得種子冠軍 在以下各地獲得DEFCON主辦方認可的種子賽事冠軍  HITCON CTF(台灣主辦)  RuCTFE(俄羅斯主辦)  32C3 CTF(德國主辦)  SECCON CTF(日本主辦)  Boston Key Party(美國主辦)  PlaidCTF(美國主辦)  0CTF(中國主辦)
  6. 6. CTF是甚麼? 全名 Capture The Flag 又稱搶旗賽
  7. 7. CTF 競賽的型式 1 2 解題型 Jeopardy 對打攻防型 Attack & Defense
  8. 8. 解題型 ( Jeopardy ) 主辦單位出題目,參賽者解題,常見的題目類型: 1 Reverse Pwnable Crypto ForensicsMisc 2 3 4 5 6 Web
  9. 9. Attack & Defense 對打攻防型 1 每個隊伍獲得一個 有漏洞服務的主機 2 3 4 分析主機上的漏洞 找到漏洞利用的方式 將漏洞寫成攻擊程序 並攻擊其他隊伍 透過攻擊 獲取主機上的 Flag 將 Flag 提交給大會 得分 💀 Service 💀 Service 💀 Service
  10. 10. Attack & Defense 賽制說明 每回合 5min A 攻擊成功 得分+10 扣分 -10 B 零和賽制
  11. 11. A 0day漏洞 B C D E 😆 無法防禦 無法防禦 無法防禦 無法防禦 😣 😣 😣 😣 得分+40 扣分 -10 扣分 -10 扣分 -10 扣分 -10 攻 擊 成 功
  12. 12. 漏洞更新 💀 Service 💀 Service 💀 Service 時間到 出現新漏洞! 舊漏洞沒了! 💀 主辦單位會隨時間更新服務 反應真實世界服務的變化性 讓比賽更刺激
  13. 13. 關閉服務會被扣分 每回合 5min A 攻擊失敗 扣掉所有得分 C B Service Unavailable 均分給每個隊伍
  14. 14. 隊中成員必須各司其職 漏洞分析 修補服務漏洞 撰寫自動攻擊程式
  15. 15. CTF比賽 真實世界 參賽隊伍需要具備分析 漏洞、修補漏洞、撰寫 exploit、熟悉各類 IT 技術、通訊協定與工具, 比賽所公布的題目相當 於縮小版的商用軟體或 線上服務 商用軟體或線上服務的 使用者熟悉各種IT技術、 通訊協定與工具
  16. 16. CTF比賽 真實世界 最早挖到 0day 隊伍, 得以橫掃全場搶分,隨 著每回合時間過去,有 隊伍寫出修補程式後, 得分率下降 0day 出現時還沒有任 何修補程式,造成的危 害最大
  17. 17. CTF比賽 真實世界 避免有隊伍怕服務遭攻 擊而刻意關閉,每回合 會檢查服務狀況,若關 閉則會將分數平分給服 務存活的隊伍 服務狀態必須持續在 online,不能因為有任 何攻擊就關閉服務
  18. 18. CTF比賽 真實世界 主辦單位會不定期更新 服務版本,因此會出現 新的漏洞 服務軟體經常會更新版 本,可能會出現新的資 安問題
  19. 19. 今年的攻防燈效 聯發科物聯網開發版 LINKIT SMART 7688 DUO • 未受攻擊時,呈現呼吸燈效 • 被攻擊成功會狂閃紅燈 • First Blood時有隱藏版燈效 不須複雜的程式碼 即可結合記分板, 完成複雜且即時的 攻防燈效
  20. 20. FIRST BLOOD代表 第一個找出漏洞 並成功發動攻擊取分的隊伍
  21. 21. 本次的出題團隊 HITCON CTF 戰隊
  22. 22. 本次的出題團隊 HITCON CTF 戰隊 2014 年 DEFCON CTF 亞軍
  23. 23. 2016年 HITCON CTF戰隊 首度以種子賽冠軍資格取得世界大賽門票
  24. 24. 台灣CTF隊伍 217 交通大學 <(_ _)>shik台灣大學 BambooFox Balsn 台灣科技大學&TDOH forx 高雄第一科技大學 UCCU 1 2 3 4
  25. 25. 瞭解更多:CTF TIME 隊伍積分1 2016/11/27更新
  26. 26. 過往比賽2 writeup 瞭解更多:CTF TIME
  27. 27. 即將舉行的比賽3 瞭解更多:CTF TIME
  28. 28. Q&A 問答時間

×