HITCON CTF 介紹 - HG 導覽活動
- 1. HITCON CTF 導覽 CTF 介紹 製作者:HITCON GIRLS
- 2. CTF 是甚麼? 全名 Capture The Flag ⼜又稱搶旗賽
- 3. CTF 的型式 The types of CTF 1 Jeopardy 2 Attack Defense
- 5. Attack & Defence 每回合 5min ! A 攻擊成功 "得分+10 #扣分 -10 ! BSuccessful Attack "awarded points+10 #deduct points -10
- 6. Attack & Defence 攻擊流程 1 每個隊伍獲得⼀一個 有漏洞洞服務的主機 2 3 4 分析主機上的漏洞洞 找到漏洞洞利利⽤用⽅方式 寫出攻擊程序 並攻擊其他隊伍 透過攻擊獲取 Flag 提交給⼤大會 $ 得分 " !💀 Service 💀 Service 💀 Service
- 7. The flow of Attack & Defence 1 Every team has a host with vulnerabilities 2 3 4 Analyze vulnerabilities Write the exploit Patch our service Successful attack Capture the Flag $ 得分 " !💀 Service 💀 Service 💀 Service
- 9. A ! 0day 漏洞洞 B ! C ! D ! E ! 無法防禦 無法防禦 無法防禦 無法防禦 "得分+40 #扣分 -10 #扣分 -10 #扣分 -10 #扣分 -10 攻 擊 成 功 T_T T_T T_T T_T ^ ^
- 10. A ! 0day vulnerability B ! C ! D ! Unable to defend "awarded points+30 #deduct points -10 Successful Attack T_T T_T T_T ^ ^ Unable to defend #deduct points -10 Unable to defend #deduct points -10
- 11. 服務更更新 Update Service 💀 Service 💀 Service 💀 Service ! 漏洞洞升級 時間到 漏洞洞升級 漏洞洞升級 💀 主辦單位會隨時間更更新服務 反應真實世界服務的變化性 讓比賽更更刺刺激
- 12. 關閉服務會被扣分 Shutdown Service ! A 攻擊失敗 #扣掉所有得分 ! C ! B Service Unavailable% "均分給每個隊伍 每回合 5min Failed Attack
- 13. 隊伍內各司其職 Teamwork 漏洞洞分析 修補服務漏洞洞 撰寫⾃自動攻擊程式
- 14. 隊伍內各司其職 Teamwork Analyze Patch Create an exploit
- 15. 狀況比較 Round1 真實世界 參參賽隊伍需要具備分析 漏洞洞、修補漏洞洞、撰寫 exploit、熟悉各類 IT 技術、通訊協定與⼯工 具,比賽所公布的題⽬目 相當於縮⼩小版的商⽤用軟 體或線上服務 商⽤用軟體或線上服務的 使⽤用者熟悉各種 IT 技 術、通訊協定與⼯工具 CTF比賽
- 16. 狀況比較 Round2 最早挖到 0day 隊伍,得 以橫掃全場搶分,隨著時 間過去,有隊伍寫出修補 程式後,得分率下降 0day 出現時還沒有任 何修補程式,造成的危 害最⼤大 CTF比賽 真實世界
- 22. 其他學習 CTF 資訊 • 練習與參參與各 CTF • 看 write-up • 與其他⼈人交流解題思路路