Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ipu LT - Introduction of CTF

29 views

Published on

ipu LT - Introduction of CTF

Published in: Technology
  • Be the first to comment

  • Be the first to like this

ipu LT - Introduction of CTF

  1. 1. Introduction of CTF Umeuchi Tsubasa @Sz4rny
  2. 2. 01 0402 03 はじめに くわしく 取り組む おわりに • まとめ 2 • CTFとは? • 形式とジャンル • Binary • Pwnable • Network • Web • Crypto • 必要な知識 • 勉強方法
  3. 3. 3 CTFとは?  CTF › Capture The Flag › 「旗取り合戦」「宝探し」 › ハッキング技術コンテスト  何をする? › コンピュータセキュリティの 技術を用いて,ポイントを競い合う はじめに くわしく 取り組む おわりに
  4. 4. 4 形式とジャンル  Jeopardy Style › 前もって用意されている問題を解く  Attack/Defense Style › 個々のチームに用意されたサーバを防御する › 相手チームのサーバを攻撃する はじめに くわしく 取り組む おわりに Binary Pwnable Network Web Crypto
  5. 5. 5 Binary  バイナリ解析! › 与えられた実行形式のファイルを解析する • ELF(Executable and Linkable Format) • EXE(EXEcution)  バイナリ解析の意義 › ソフトウェアのデバッギング › マルウェア解析 はじめに くわしく 取り組む おわりに hoge.c int main(){ puts(“hello world!”); } a.out mov eax,0x1 add rax,0x2 call 80482f0 <puts@plt> Compile
  6. 6. 6 Binary はじめに くわしく 取り組む おわりに
  7. 7. 7 Pwnable はじめに くわしく 取り組む おわりに  Pwnableとは › 「打ち負かす」を意味するスラング › 用意されたサーバへアクセスし,脆弱性をエクスプロイト エクスプロイトコード
  8. 8. 8 Network はじめに くわしく 取り組む おわりに  ネットワーク › キャプチャされたパケットの解析を行う › TCP/IP, HTTP, メールプロトコルが中心 • Wireless, Bluetooth, USB通信も...
  9. 9. 9 Network はじめに くわしく 取り組む おわりに
  10. 10. 10 Web はじめに くわしく 取り組む おわりに  Web › 最も人気で,初心者でも楽しめるジャンル › 攻撃手法が多岐に渡り,奥深い › SQLやHTTP, JavaScriptの脆弱性に関する問題が中心  どんな攻撃? SQL • SQL Injection • Blind SQL Injection HTTP/サーバ系 • HTTP Header Injection • OS Command Injection • Session Fixation • Directory Traversal • Open Redirect JavaScript • XSS(Cross Site Scripting) • CSRF(Cross Site Request Forgery)
  11. 11. 11 Web はじめに くわしく 取り組む おわりに  Example document.write("Flag{Iwate}")
  12. 12. 12 Crypto  Cryptography › 暗号解読を行うジャンル › 共通鍵/公開鍵暗号,ハッシュ関数,暗号化ZIP, ...  Example VJNGR CERSRPGHENY HAVIREFVGL IWATE PREFECTURAL UNIVERSITY はじめに くわしく 取り組む おわりに ROT13
  13. 13. 13 必要な知識 はじめに くわしく 取り組む おわりに C言語 ネットワーク プロトコル エクスプロイト アセンブリ言語 SQL HTTP 暗号 解析 リバース エンジニアリング 計算機科学 Java Script PHP UNIX バイナリ 解析 データ 復元 Authenti cation 画像解析 データ エンコーディング パスワード クラッキング stegano graphy ハード ウェア Data base ハッシュ 関数解析 マルウェア 解析 メモリ 改変 Python Logical Thinking PPC Exploit
  14. 14. 14 勉強方法  書籍で勉強する › セキュリティコンテストチャレンジブック › HACKING: 美しき策謀 › 体系的に学ぶ 安全なWebアプリケーションの作り方 › 暗号技術入門  常設CTFで勉強する › Web上で公開されているCTF問題集 › ksnctf (http://ksnctf.sweetduet.info/) › 8946 (http://www.hackerschool.jp/hack/index.php)  大会に参加する › SECCON (https://2017.seccon.jp/) はじめに くわしく 取り組む おわりに
  15. 15. 15 まとめ  CTFとは? › Capture The Flag!  いろんなジャンルの問題がある › Binary, Web, Crypto, etc.  問題を解きながら セキュリティ + α の知識・技術を身に着けられる はじめに くわしく 取り組む おわりに

×