Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

自作CTFについて考えてみる

2,324 views

Published on

某所で発表した時のアレ,初めて作った.

Published in: Technology
  • Be the first to comment

自作CTFについて考えてみる

  1. 1. 自作CTFを考えてみる Nomuken - @nomuken
  2. 2. Agenda ● 自己紹介 ● CTFって? ● よっしゃ作るべ ● プレイをしてもらって
  3. 3. お前誰だよ! ごもっともです.
  4. 4. 自己紹介 - @nomuken ● C 科に所属 →実はI科とも馴染が深い? →I科の演習サーバーの保守とか管理を細々してます ● 好きなもの →ArchLinux(一応vim教信者) ● 技術力 →コン基礎I(プログラミングの初歩の初歩,必修)落とし ました 技 術 力 技 術 力 isis し 無 し 無
  5. 5. ……なので今日は 簡単なお話です.ご安心ください
  6. 6. CTFとは? ● Capture The Flag の略 ● セキュリティがメインの一種の競技 ● 侵入,解析,防衛等がメイン ● 侵入を行ったサーバー内,解析した結果,からflagが手に入る ● 防衛は本戦でのみ(予選参加者分の鯖を立てるのは無理な話)
  7. 7. ……つまり ハッキングを楽しむ競技 ……( で良いのだろうか?)
  8. 8. 対象となるジャンル(知識) ● 非常に多岐にわたっていて常人じゃ無理 リバースエンジニアリング,Forensics(解析),Pwnable(脆弱性攻撃), Web(XSSやSQLインジェクション),Network(パケット解析), Miscellaneous(その他) - Wikipediaより ● なので,基本的にチーム戦として行う
  9. 9. 有名なCTF ● SECCON(本戦は本学で実施) 日本各地で予選が開催され,選ばれたチームが本戦に出 場. 本戦は本学のホールにて開催される. (どうやらLANケーブル等は私の職場から貸出しているらしいです) ● DEFCON(本戦は米国にて開催) 世界中から世界の怖い人が集合するマジ怖い. 問題も非常に難問ばかり,これどうやって解くんですか が多い.
  10. 10. CTFの有用性 ● 勉強に非常に向いている →確実に面白い,必要なことを調べあげ,使う力の育成 になる ● 管理する自分の方も知識がつく ……→しかし,どこで使えるやら
  11. 11. デメリット ● 作る側の負担がすごい →サーバー管理に非常に注意する事になる. →予期しない攻撃でサービス停止の危機 ● 作る側のスキルがそれなりに必要 →知らないと作れない
  12. 12. ともあれ,作りました. ● mlabCTF-xxxx is secure?:nomukenのパスワードを盗め →ちょうど勉強していたJava(Tomcat)で作成. →実際に使われているシステムの脆弱性を皆に周知する目 的で制作.
  13. 13. その2 ● mlabCTF-forget:見つけられる? →別業務でphp書いていたらすごく楽に出来たのでそちら で制作 →パスワードリセットをイメージ
  14. 14. その3 ● mlabCTF-treasure:Where is flag? →sshを使ったCTF →セキュリティよりもLinuxを使うということに主眼を置 いている.
  15. 15. 問題のジャンル ● Dendai is secure? パケット解析 ● Forget SQLインジェクション,(ちょっと解析?) ● Where is flag? Linuxの使い方
  16. 16. 外部のCTFと比較すると くっっっっそ簡単 (練習問題にすらなれないレベル)
  17. 17. プレイしてもらって ● 確実に効果はあった →作るときにここは気をつけようという話はよく聞く →興味をもつ一歩にもなったのでは? ● 作る側の知識向上 →そこ以外がセキュリティホールにならないよう作った →自分も知識定着につながった
  18. 18. ……というわけで 皆さん問題作って僕に解かせてください (圧倒的ネタ不足) …... any question?

×