HITCON CTF 介紹 - HG 導覽活動

HITCON CTF 導覽
CTF 介紹
製作者：HITCON GIRLS

CTF 是甚麼？
全名 Capture The Flag
⼜又稱搶旗賽

CTF 的型式 The types of CTF
1
Jeopardy
2
Attack
Defense

Jeopardy
1 Reverse
Pwnable
Crypto
Forensics
Misc
2
3
4
5
Web6

Attack & Defence
每回合
5min
!
A
攻擊成功
"得分+10 #扣分 -10
!
BSuccessful Attack
"awarded points+10 #deduct points -10

Attack & Defence 攻擊流程
1
每個隊伍獲得⼀一個
有漏洞洞服務的主機
2 3 4
分析主機上的漏洞洞
找到漏洞洞利利⽤用⽅方式
寫出攻擊程序
並攻擊其他隊伍
透過攻擊獲取 Flag
提交給⼤大會
$ 得分
"
!💀 Service
💀 Service
💀 Service

The flow of Attack & Defence
1
Every team has a
host with
vulnerabilities
2 3 4
Analyze
vulnerabilities 
Write the exploit 
Patch our service
Successful attack
Capture the Flag
$ 得分
"
!💀 Service
💀 Service
💀 Service

First Blood
第⼀一個利利⽤用漏洞洞成功的攻擊
被視為榮耀和實⼒力力的證明

A !
0day 漏洞洞
B !
C !
D !
E !
無法防禦
無法防禦
無法防禦
無法防禦
"得分+40
#扣分 -10
#扣分 -10
#扣分 -10
#扣分 -10
攻
擊
成
功
T_T
T_T
T_T
T_T
^ ^

A !
0day vulnerability
B !
C !
D !
Unable to defend
"awarded points+30
#deduct points -10
Successful Attack
T_T
T_T
T_T
^ ^
Unable to defend
#deduct points -10
Unable to defend
#deduct points -10

服務更更新 Update Service
💀 Service
💀 Service
💀 Service ! 漏洞洞升級
時間到
漏洞洞升級
漏洞洞升級
💀
主辦單位會隨時間更更新服務
反應真實世界服務的變化性
讓比賽更更刺刺激

關閉服務會被扣分 Shutdown Service
! A 攻擊失敗
#扣掉所有得分
! C
! B Service
Unavailable%
"均分給每個隊伍
每回合
5min
Failed Attack

隊伍內各司其職 Teamwork
漏洞洞分析修補服務漏洞洞撰寫⾃自動攻擊程式

隊伍內各司其職 Teamwork
Analyze Patch Create an exploit

狀況比較
Round1
真實世界
參參賽隊伍需要具備分析
漏洞洞、修補漏洞洞、撰寫
exploit、熟悉各類 IT
技術、通訊協定與⼯工
具，比賽所公布的題⽬目
相當於縮⼩小版的商⽤用軟
體或線上服務
商⽤用軟體或線上服務的
使⽤用者熟悉各種 IT 技
術、通訊協定與⼯工具
CTF比賽

狀況比較
Round2
最早挖到 0day 隊伍，得
以橫掃全場搶分，隨著時
間過去，有隊伍寫出修補
程式後，得分率下降
0day 出現時還沒有任
何修補程式，造成的危
害最⼤大
CTF比賽
真實世界

狀況比較
Round3
避免有隊伍怕服務遭攻擊
⽽而刻意關閉，每回合會檢
查服務狀狀況，若若關閉則會
將分數平分給服務存活的
隊伍
服務狀狀態必須持續
online，不能因為有任
何攻擊就關閉服務
CTF比賽
真實世界

狀況比較
Round4
CTF比賽
主辦單位會不定期更更
新服務版本，因此會
出現新的漏洞洞
服務軟體經常會更更新版
本，可能會出現新的資
安問題
真實世界

瞭解更更多：CTF TIME
隊伍積分1

過往比賽2
戰況
writeup

即將舉⾏行行的比賽3

其他學習 CTF 資訊
• 練習與參參與各 CTF
• 看 write-up
• 與其他⼈人交流解題思路路

HITCON CTF 介紹 - HG 導覽活動

More Related Content

More from HITCON GIRLS

HITCON CTF 介紹 - HG 導覽活動