Submit Search
Upload
Capture the flag(CTF)@shunaroo
•
1 like
•
659 views
S
shuna roo
Follow
セキュリティ競技であるCTFを紹介します。
Read less
Read more
Presentations & Public Speaking
Report
Share
Report
Share
1 of 42
Download now
Download to read offline
Recommended
安全性を証明するために知っておくべき4つのこと
安全性を証明するために知っておくべき4つのこと
shibataka000
CTFに参加してきました。
CTFに参加してきました。
kuro kuro
型安全性入門
型安全性入門
Akinori Abe
オープンソースソフトウェアのお話
オープンソースソフトウェアのお話
shuna roo
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよ
shuna roo
Mitre T1070 #INDICAOTR REMOVAL ON HOST
Mitre T1070 #INDICAOTR REMOVAL ON HOST
shuna roo
MITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer Protocol
shuna roo
TryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキル
shuna roo
Recommended
安全性を証明するために知っておくべき4つのこと
安全性を証明するために知っておくべき4つのこと
shibataka000
CTFに参加してきました。
CTFに参加してきました。
kuro kuro
型安全性入門
型安全性入門
Akinori Abe
オープンソースソフトウェアのお話
オープンソースソフトウェアのお話
shuna roo
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよ
shuna roo
Mitre T1070 #INDICAOTR REMOVAL ON HOST
Mitre T1070 #INDICAOTR REMOVAL ON HOST
shuna roo
MITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer Protocol
shuna roo
TryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキル
shuna roo
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ
shuna roo
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーン
shuna roo
Open xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunaroo
shuna roo
Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)
shuna roo
ハニーポットはじめてみました
ハニーポットはじめてみました
shuna roo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
shuna roo
ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性
shuna roo
いまさら話題のXML
いまさら話題のXML
shuna roo
セキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えよう
shuna roo
More Related Content
More from shuna roo
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ
shuna roo
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーン
shuna roo
Open xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunaroo
shuna roo
Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)
shuna roo
ハニーポットはじめてみました
ハニーポットはじめてみました
shuna roo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
shuna roo
ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性
shuna roo
いまさら話題のXML
いまさら話題のXML
shuna roo
セキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えよう
shuna roo
More from shuna roo
(9)
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーン
Open xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunaroo
Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)
ハニーポットはじめてみました
ハニーポットはじめてみました
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性
いまさら話題のXML
いまさら話題のXML
セキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えよう
Capture the flag(CTF)@shunaroo
1.
Capture The Flag
(CTF) ~体験しながら学ぶセキュリティ競技~ @shunaroo とっしんの会 #6 2018/6/23
2.
自己紹介 @shunaroo ▪ 経歴 ▪
大学院卒業後 SIierの社内Se 5年間 ▪ 来月からセキュリティエンジニア ▪ 興味ある事 ▪ セキュリティ ▪ 個人的ニュース ▪ 区役所の職業欄に「無職」と書いて手が震える
3.
今日の話題 Capture The Flag
(CTF)
4.
今日のゴール CTFをやりたくなる!!
5.
セキュリティを学ぶ壁達 ▪ どこから手を付けていいかわからない ▪ つまらない ▪
試す機会がない
6.
セキュリティを学ぶ壁達 ▪ どこから手を付けていいかわからない ▪ つまらない ▪
試す機会がない
7.
セキュリティを学ぶ壁達 ▪ どこから手を付けていいかわからない ▪ 技術とつけば、そこにはセキュリティ問題が・・・ →途方に暮れる →挫折
8.
セキュリティを学ぶ壁達 ▪ どこから手を付けていいかわからない ▪ つまらない ▪
試す機会がない
9.
セキュリティを学ぶ壁達 ▪ つまらない セキュリティは効果を直接見る機会が少ない 効果がでるまで時間がかかる (あなたが作った入力チェックのおかげで わが社が救われたといわれる?) →やっても意味少ない 保険的な技術 →つまらない
10.
セキュリティを学ぶ壁達 ▪ どこから手を付けていいかわからない ▪ つまらない ▪
学ぶ場が少ない
11.
セキュリティを学ぶ壁達 ▪ 学ぶ場が少ない ▪ 実在のサイトへの攻撃は犯罪 (やってはいけない) ▪
自社のサイトへの攻撃頻度が少ない (だからと言って攻撃してはいけない) ▪ 自分で勉強環境作ることが大変
12.
セキュリティを学ぶ壁達 ▪ どこから手を付けていいかわからない ▪ つまらない ▪
試す機会がない うまく壁を超える方法 ないかなあ
13.
そこで Capture The Flag
(CTF)
14.
CTFとは ▪ コンピュータセキュリティ技術の競技 (eスポーツに近い) ▪ 2通りの競技形式 ▪
クイズ形式 ←こっちをメインに紹介 ▪ お題に従いキーワードをゲットして得点を競い合う ▪ 攻防戦形式 ←やったことがないので後日 ▪ 相手を攻撃しつつ、自分を守りぬく バトルドームくらい攻防が激しいイメージ
15.
出題分野 ▪ バイナリ解析 ▪ pwn ▪
Web ▪ ネットワーク
16.
出題分野 ▪ バイナリ解析 ▪ pwn ▪
Web ▪ ネットワーク
17.
出題分野 ▪ バイナリ解析 ▪ バイナリ形式のデータを解析し、 お題のキーワード見つけて得点をゲットする 0101010101010111100111 1010101011111010101011 101101010010110101010 101001010101010101011 Congraturation! FLAG
is F1agSrawanuU 解析 出力
18.
出題分野 ▪ バイナリ解析 ▪ pwn ▪
Web ▪ ネットワーク
19.
出題分野 ▪ pwn ▪ プログラムの脆弱性をつき、 お題のキーワード見つけて得点をゲットする int
main( ・・・){ ・・・ ・・・ } Congraturation! FLAG is F1agSrawanuU 攻撃 出力
20.
出題分野 ▪ バイナリ解析 ▪ pwn ▪
Web ▪ ネットワーク
21.
出題分野 ▪ Web ▪ ウェブアプリケーションの脆弱性をつき、 お題のキーワード見つけて得点をゲットする Congraturation! FLAG
is F1agSrawanuU 攻撃 出力
22.
出題分野 ▪ バイナリ解析 ▪ pwn ▪
Web ▪ ネットワーク
23.
出題分野 ▪ ネットワーク ▪ ネットワークのパケットを解析し、 お題のキーワード見つけて得点をゲットする Congraturation! FLAG
is F1agSrawanuU 解析 出力 パケット
24.
参加方法 ▪ 常設型CTF ▪ 特設サイトで常に開催 ▪
ksnctf ▪ akictf ▪ イベント型CTF ▪ NPOや企業が開催 チーム戦が多い? ▪ SECCON ▪ その他にもctftimeでイベントを確認できる
25.
とりあえず やってみよう!!
26.
例題① ksnctfより出典
27.
例題① ksnctfより出典 解析して、FLAG_xxxxxを突っ込む
28.
例題① ksnctfより出典 ピリオドがある ピリオドの後ろが大文字 スペースがある
nだけ1単語で出る
29.
例題① ksnctfより出典 ▪ 得られた情報から想像 ▪
文章になっている ▪ 一文字ずつ置換している ▪ aをnに変えている ⇒シーザー暗号じゃね? 元 :abcdefghijklmnopqrstuvwxyz ↓13文字ずらし 暗号:nopqrstuvwxyzabcdefghijklm
30.
例題① ksnctfより出典 ▪ 暗号生成ツール『暗号くん』で解析 それっぽいのがでた
31.
例題① ksnctfより出典 ▪ 復号した値を加工 ▪
大文字小文字の対応 ▪ 出題形式に合わせる(FLAG_xxx形式にする)
32.
例題② ksnctfより出典 リンクを開く
33.
例題② ksnctfより出典 何もないのでとりあえずソースを表示
34.
例題② ksnctfより出典 まさにカオス(
^ω^)・・・
35.
例題② ksnctfより出典 構文上間違っていない jsでは変数に日本語も使える 知らなかった・・・
36.
例題② ksnctfより出典 console.logで解析してみる
37.
例題② ksnctfより出典 見慣れた形式で何かでた
38.
例題② ksnctfより出典 tを満たすキーワードを探すスクリプト作成 得られたスクリプトを整える
39.
例題② ksnctfより出典
40.
CTFはセキュリティを学ぶ壁達を壊せるか ▪ どこから手を付けていいかわからない ⇒問題形式になっているので、 その時必要な知識から学べばよい write-upで答えも検索できる ▪ つまらない ⇒攻撃/防御の効果をすぐ実感できるため面白い ▪
試す機会がない ⇒試す機会しかない(基本無料)
41.
そのほかにも ▪ 一緒に競いあう強敵(とも)にであえる ▪ ひとりで黙々とやっても飽きる ▪
CTFなら競いあう強敵(とも)がいるため飽きにくい (常設CTFでは、アカウントを作成してポイントを 競いあえる)
42.
おわりに さあやろうぜ! Capture The Flag!!
Download now