Uploaded byicchy
PDF, PPTX8,539 views

CTF初心者🔰

year's end hack day 2014@FMS

Embed presentation

Download as PDF, PPTX
CTF初心者🔰 12/25 year-end s hack day @FMS
こんにちは
Who am I
自己紹介 • @icchyr • 某濃厚な大学のB2 • CTF初心者 • tuat_mcc
本日はお招きいただき(?) ありがとうございます
CTFやってる人∼?
SECCON お疲れ様でした
BBQR…
The Golden Gate…
さておき
CTFとは何ぞや?
CTF • Capture The Flag の略 • 問題に隠されたFlagを探し出す • コンピュータ全般に関する知識を問われる • セキュリティに関するものが多い
CTF • Capture The Flag の略 • 問題に隠されたFlagを探し出す • コンピュータ全般に関する知識を問われる • セキュリティに関するものが多い
CTF • Trivia • Forensics • Recon • PPC • Crypto • Web • Pwn
Trivia • 単に知識を問う問題 • ググり力を試される • ググりにくいものが出題されることもある • 例) #!/bin/bash の#はなんと読むか?
Forensics • Computer Forensicsの略 • データの中に隠されたフラグを見つける • 犯罪の法的証拠を探し出す技術 • 例) 画像の中に隠された別のファイルを取り出す
Recon • reconnaissanceの略 • 目標の調査能力を問う • いわゆるネットストーキング能力 • 例) 作問者の中学時代の写真を探せ
PPC • Professional Programming and Codingの略 • 素早く問題を理解して解くためのコードを書く • 競技プログラミングに似ている • 例) あみだくじを解け(画像)
Crypto • 暗号に関する知識を問う • 古典暗号が多い印象 • マイナーな暗号が出ることも • 例) RSAで暗号化された文章を解読せよ
Web • Webに関する知識を問う • ほぼ何らかの脆弱性が絡んでいる • SQL injection, XSSは外せない • 例) adminのパスワードを入手せよ
Pwn • ownが転じたスラング • プログラムの脆弱性をついてflagを読む(shell奪取) • サーバーで動いているバイナリが与えられる • 例) nc pwnme.example.com 1337
対策 • CTFは時間が限られている • 解けない問題は早急にあきらめることも肝心 • 大体の場合問題にヒントがある
 → 作問者の意図を読む • いろんな脆弱性を知る
脆弱性 • 作成者が意図しない動作をさせられる原因 • SQL injection • XSS • Stack over flow • など
SQL injection • SQL文を組み立てるときに発生 • SELECT id FROM user 
 WHERE name= $name and pass= $pass ; • OR 1=1;̶ をpassに入れたらどうなるか? • and pass= OR 1=1;̶ ; (̶以降は無視される)
 → 常にTRUE (passがわからなくても通る)
XSS • HTMLを動的に生成する際に発生
 → 確認画面など • <a href= <?php echo $_GET[ url ] ?> >link</a> • <a href= ><script>alert(1);</script> >link</a>
 → alert(1);が実行される • 第三者によって予期しないスクリプトを正規サイト で実行させられる
Stack over flow • 許容量を超える入力を受け取った際に発生
 → stackへあふれる • 通常はSegmentation fault
 → スタックの中身を監視するcanaryが書き換えら れることによって発生
 (-fno-stack-protectorで無効化できる)
Stack over flow • Stack over flowを利用してstack上にあるリター ンアドレスを書き換える
 → 任意の場所へ制御を移すことができる • 予めstack上に機械語のデータを配置しておき、
 その先頭に制御がくるようにする • shellを起動するような機械語を用意しておく • マシンのshellを奪うことができる
脆弱性 • 本来の構造を破壊されることが原因 • 作成者の意図しないバグ
 → CTFは意図して作られたバグ • CTFでは各コンポーネントへの深い理解も必要
CTF • チーム戦がほとんど • CTF TIME(http://ctftime.org)
 → CTF情報サイト 世界中のCTF情報が集まる • 開催されるCTFの情報もここに載る
CTFやりたい! • オンラインのCTFで練習 • ksnctf • akictf, adctf • npcactf • など
たのしくCTFしましょう
ありがとうございました

More Related Content

PDF
CTF超入門 (for 第12回セキュリティさくら)
bykikuchan98
 
PDF
CTFはとんでもないものを 盗んでいきました。私の時間です…
byHiromu Yakura
 
PDF
えっ今日はハッキングしてもいいのか?(CTF Web入門)
byotya mura
 
PDF
ctfで学ぼうリバースエンジニアリング
byjunk_coken
 
PDF
PWNの超入門 大和セキュリティ神戸 2018-03-25
byIsaac Mathis
 
PDF
CTFとは
byHiromu Yakura
 
PDF
実践イカパケット解析α
byYuki Mizuno
 
PDF
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 
CTF超入門 (for 第12回セキュリティさくら)
bykikuchan98
 
CTFはとんでもないものを 盗んでいきました。私の時間です…
byHiromu Yakura
 
えっ今日はハッキングしてもいいのか?(CTF Web入門)
byotya mura
 
ctfで学ぼうリバースエンジニアリング
byjunk_coken
 
PWNの超入門 大和セキュリティ神戸 2018-03-25
byIsaac Mathis
 
CTFとは
byHiromu Yakura
 
実践イカパケット解析α
byYuki Mizuno
 
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 

What's hot

PDF
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
byYahoo!デベロッパーネットワーク
 
PDF
CTF for ビギナーズ バイナリ講習資料
bySECCON Beginners
 
PDF
MCC CTF講習会 pwn編
byhama7230
 
PDF
RSA暗号運用でやってはいけない n のこと #ssmjp
bysonickun
 
PDF
初心者向けCTFのWeb分野の強化法
bykazkiti
 
PDF
Union find(素集合データ構造)
byAtCoder Inc.
 
PPTX
キーボード自作のススメ
byRetrieva inc.
 
PDF
CVE、JVN番号の取得経験者になろう!
bykazkiti
 
PDF
libpgenでパケット操作
byslankdev
 
PDF
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
byHiroh Satoh
 
PDF
katagaitai CTF勉強会 #5 Crypto
bytrmr
 
PDF
Pcapngを読んでみる
byYagi Shinnosuke
 
PDF
実践イカパケット解析
byYuki Mizuno
 
PPTX
CyberChefの使い方(HamaCTF2019 WriteUp編)
byShota Shinogi
 
PDF
セキュリティを楽しむ(CTFとbugbountyの始め方)
bykazkiti
 
PDF
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
PDF
サーバPUSHざっくりまとめ
byYasuhiro Mawarimichi
 
PPTX
深層学習の非常に簡単な説明
bySeiichi Uchida
 
PDF
論理回路シミュレータ Logisim の使い方
byTakashi Kawanami
 
PDF
とある診断員と色々厄介な脆弱性達
byzaki4649
 
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
byYahoo!デベロッパーネットワーク
 
CTF for ビギナーズ バイナリ講習資料
bySECCON Beginners
 
MCC CTF講習会 pwn編
byhama7230
 
RSA暗号運用でやってはいけない n のこと #ssmjp
bysonickun
 
初心者向けCTFのWeb分野の強化法
bykazkiti
 
Union find(素集合データ構造)
byAtCoder Inc.
 
キーボード自作のススメ
byRetrieva inc.
 
CVE、JVN番号の取得経験者になろう!
bykazkiti
 
libpgenでパケット操作
byslankdev
 
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
byHiroh Satoh
 
katagaitai CTF勉強会 #5 Crypto
bytrmr
 
Pcapngを読んでみる
byYagi Shinnosuke
 
実践イカパケット解析
byYuki Mizuno
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
byShota Shinogi
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
bykazkiti
 
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
サーバPUSHざっくりまとめ
byYasuhiro Mawarimichi
 
深層学習の非常に簡単な説明
bySeiichi Uchida
 
論理回路シミュレータ Logisim の使い方
byTakashi Kawanami
 
とある診断員と色々厄介な脆弱性達
byzaki4649
 

Similar to CTF初心者🔰

PPTX
たのしいPwn 公開用
byuu ymd
 
PPTX
CTF(Capture the Flag)って何?
byKenji Aiko
 
PPTX
ipu LT - Introduction of CTF
byTsubasa Umeuchi
 
ODP
自作CTFについて考えてみる
bynomuken
 
PPTX
CTFのはじめかた @ 2018年度技術系サークル合同新歓
byuecmma
 
PDF
CTFの布教
byFPC_COMMUNITY
 
PDF
ITF. 競プロCTF勉強会 #2 web編
byMasaki Kobayashi
 
PPTX
Defcon
byishiki-takai
 
PDF
FIT-HAC CTF
bysasenomura
 
PDF
出張 CTF for ビギナーズ 2015 幕張 in セキュリティ・キャンプ 成果報告
byIkumi Shimizu
 
PDF
CTF for ビギナーズ 2015開催報告 at SECCON 2015 カンファレンス
bySECCON Beginners
 
PDF
TRY CTF
byYuya Masumura
 
PDF
OSC Kyoto CTF Seminar
bypinksawtooth
 
PDF
CTFというハッカーイベント+α
byYuichi Nagayama
 
PDF
About ctf jwmoon
byted0201
 
PDF
Capture the flag(CTF)@shunaroo
byshuna roo
 
PDF
Kosenconf sendai2
byYutaka Watanabe
 
PDF
Kobe sec#8 summary
byYukio NAGAO
 
PDF
Capture the flag!
bySaya Katafuchi
 
PDF
私立プログラミングキャンプ
byqqww77
 
たのしいPwn 公開用
byuu ymd
 
CTF(Capture the Flag)って何?
byKenji Aiko
 
ipu LT - Introduction of CTF
byTsubasa Umeuchi
 
自作CTFについて考えてみる
bynomuken
 
CTFのはじめかた @ 2018年度技術系サークル合同新歓
byuecmma
 
CTFの布教
byFPC_COMMUNITY
 
ITF. 競プロCTF勉強会 #2 web編
byMasaki Kobayashi
 
Defcon
byishiki-takai
 
FIT-HAC CTF
bysasenomura
 
出張 CTF for ビギナーズ 2015 幕張 in セキュリティ・キャンプ 成果報告
byIkumi Shimizu
 
CTF for ビギナーズ 2015開催報告 at SECCON 2015 カンファレンス
bySECCON Beginners
 
TRY CTF
byYuya Masumura
 
OSC Kyoto CTF Seminar
bypinksawtooth
 
CTFというハッカーイベント+α
byYuichi Nagayama
 
About ctf jwmoon
byted0201
 
Capture the flag(CTF)@shunaroo
byshuna roo
 
Kosenconf sendai2
byYutaka Watanabe
 
Kobe sec#8 summary
byYukio NAGAO
 
Capture the flag!
bySaya Katafuchi
 
私立プログラミングキャンプ
byqqww77
 

More from icchy

ODP
Format string Attack
byicchy
 
PDF
シェル芸初心者によるシェル芸入門
byicchy
 
PDF
シェル芸初心者によるシェル芸入門 (修正版)
byicchy
 
PDF
VMMを用いたタイミングベースサイドチャネル攻撃に対する緩和策
byicchy
 
PDF
how to port * to BitVisor (2)
byicchy
 
PDF
how to port * to BitVisor
byicchy
 
Format string Attack
byicchy
 
シェル芸初心者によるシェル芸入門
byicchy
 
シェル芸初心者によるシェル芸入門 (修正版)
byicchy
 
VMMを用いたタイミングベースサイドチャネル攻撃に対する緩和策
byicchy
 
how to port * to BitVisor (2)
byicchy
 
how to port * to BitVisor
byicchy
 

Recently uploaded

PDF
20260119_VIoTLT_vol22_kitazaki_v1___.pdf
byAyachika Kitazaki
 
PDF
TomokaEdakawa_職種と講義の関係推定に基づく履修支援システムの基礎検討_HCI2026
byMatsushita Laboratory
 
PDF
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
PDF
アジャイル導入が止まる3つの壁 ─ 文化・他部門・組織プロセスをどう乗り越えるか
byGraat(グラーツ)
 
PDF
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 
PDF
maisugimoto_曖昧さを含む仕様書の改善を目的としたアノテーション支援ツールの検討_HCI2025.pdf
byMatsushita Laboratory
 
PDF
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 
20260119_VIoTLT_vol22_kitazaki_v1___.pdf
byAyachika Kitazaki
 
TomokaEdakawa_職種と講義の関係推定に基づく履修支援システムの基礎検討_HCI2026
byMatsushita Laboratory
 
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
アジャイル導入が止まる3つの壁 ─ 文化・他部門・組織プロセスをどう乗り越えるか
byGraat(グラーツ)
 
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 
maisugimoto_曖昧さを含む仕様書の改善を目的としたアノテーション支援ツールの検討_HCI2025.pdf
byMatsushita Laboratory
 
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 

CTF初心者🔰