Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

HITCON CTF 介紹 - HG 導覽活動

553 views

Published on

由 HITCON GIRLS 製作的 CTF 導覽投影片,如果沒有參加到兩天的導覽,歡迎大家瀏覽這份投影片裡的介紹!

Published in: Engineering
  • Be the first to comment

HITCON CTF 介紹 - HG 導覽活動

  1. 1. HITCON CTF 導覽 CTF 介紹 製作者:HITCON GIRLS
  2. 2. CTF 是甚麼? 全名 Capture The Flag ⼜又稱搶旗賽
  3. 3. CTF 的型式 The types of CTF 1 Jeopardy 2 Attack Defense
  4. 4. Jeopardy 1 Reverse Pwnable Crypto Forensics Misc 2 3 4 5 Web6
  5. 5. Attack & Defence 每回合 5min ! A 攻擊成功 "得分+10 #扣分 -10 ! BSuccessful Attack "awarded points+10 #deduct points -10
  6. 6. Attack & Defence 攻擊流程 1 每個隊伍獲得⼀一個 有漏洞洞服務的主機 2 3 4 分析主機上的漏洞洞 找到漏洞洞利利⽤用⽅方式 寫出攻擊程序 並攻擊其他隊伍 透過攻擊獲取 Flag 提交給⼤大會 $ 得分 " !💀 Service 💀 Service 💀 Service
  7. 7. The flow of Attack & Defence 1 Every team has a host with vulnerabilities 2 3 4 Analyze vulnerabilities
 Write the exploit
 Patch our service Successful attack Capture the Flag $ 得分 " !💀 Service 💀 Service 💀 Service
  8. 8. First Blood 第⼀一個利利⽤用漏洞洞成功的攻擊 被視為榮耀和實⼒力力的證明
  9. 9. A ! 0day 漏洞洞 B ! C ! D ! E ! 無法防禦 無法防禦 無法防禦 無法防禦 "得分+40 #扣分 -10 #扣分 -10 #扣分 -10 #扣分 -10 攻 擊 成 功 T_T T_T T_T T_T ^ ^
  10. 10. A ! 0day vulnerability B ! C ! D ! Unable to defend "awarded points+30 #deduct points -10 Successful Attack T_T T_T T_T ^ ^ Unable to defend #deduct points -10 Unable to defend #deduct points -10
  11. 11. 服務更更新 Update Service 💀 Service 💀 Service 💀 Service ! 漏洞洞升級 時間到 漏洞洞升級 漏洞洞升級 💀 主辦單位會隨時間更更新服務 反應真實世界服務的變化性 讓比賽更更刺刺激
  12. 12. 關閉服務會被扣分 Shutdown Service ! A 攻擊失敗 #扣掉所有得分 ! C ! B Service Unavailable% "均分給每個隊伍 每回合 5min Failed Attack
  13. 13. 隊伍內各司其職 Teamwork 漏洞洞分析 修補服務漏洞洞 撰寫⾃自動攻擊程式
  14. 14. 隊伍內各司其職 Teamwork Analyze Patch Create an exploit
  15. 15. 狀況比較 Round1 真實世界 參參賽隊伍需要具備分析 漏洞洞、修補漏洞洞、撰寫 exploit、熟悉各類 IT 技術、通訊協定與⼯工 具,比賽所公布的題⽬目 相當於縮⼩小版的商⽤用軟 體或線上服務 商⽤用軟體或線上服務的 使⽤用者熟悉各種 IT 技 術、通訊協定與⼯工具 CTF比賽
  16. 16. 狀況比較 Round2 最早挖到 0day 隊伍,得 以橫掃全場搶分,隨著時 間過去,有隊伍寫出修補 程式後,得分率下降 0day 出現時還沒有任 何修補程式,造成的危 害最⼤大 CTF比賽 真實世界
  17. 17. 狀況比較 Round3 避免有隊伍怕服務遭攻擊 ⽽而刻意關閉,每回合會檢 查服務狀狀況,若若關閉則會 將分數平分給服務存活的 隊伍 服務狀狀態必須持續 online,不能因為有任 何攻擊就關閉服務 CTF比賽 真實世界
  18. 18. 狀況比較 Round4 CTF比賽 主辦單位會不定期更更 新服務版本,因此會 出現新的漏洞洞 服務軟體經常會更更新版 本,可能會出現新的資 安問題 真實世界
  19. 19. 瞭解更更多:CTF TIME 隊伍積分1
  20. 20. 瞭解更更多:CTF TIME 過往比賽2 戰況 writeup
  21. 21. 瞭解更更多:CTF TIME 即將舉⾏行行的比賽3
  22. 22. 其他學習 CTF 資訊 • 練習與參參與各 CTF • 看 write-up • 與其他⼈人交流解題思路路

×