Перейти к содержимому

Jeopardy ctf что это

  • автор:

Всё о CTF в России

Task-Based (или Jeopardy) — формат, в котором игрокам предоставляется набор заданий (тасков), к которым требуется найти ответ и отправить его. Ответом является флаг в форме набора символов или произвольной фразы. За верное выполнение каждого задания команда получает определенное количество очков. Чем сложнее таск, тем больше очков даётся за правильный ответ. Все задания в CTF-соревнованиях формата Task-Based, как правило, делятся на следующие категории: задачи на нахождение веб-уязвимостей (web), поиск и эксплуатацию уязвимостей в приложениях (PWN), исследование программ без исходного кода (reverse), расследование инцидентов (forensic), администрирование (admin), криптографию (crypto), стеганографию (stegano), поиск информации из открытых источников (OSINT) и категория joy, состоящая из различных развлекательных задач.

Последние новости

CTF News © 2014-2023

Координируйте проекты из любой точки мира

Написать нам Добавить новость

Проект при поддержке компании RU-CENTER

Предложить новость

С помощью данной формы можно предложить свою новость на сайт. После просмотра новости редактором она появится на главной странице.

Введение в CTF¶

task-based ctf (jeopardy) — игрокам предоставляется набор заданий (тасков), к которым требуется найти ответ. Ответом является флаг — набор символов или произвольная фраза. Каждое задание оценивается различным количеством очков, в зависимости от сложности. Обычно выделяются следующие категории:

  • admin — задачи на администрирование.
  • joy — различные развлекательные задачи вроде коллективной фотографии или мини-игры.
  • ctb — задачи на аудит удалённых машин (crack the box).
  • reverse — исследование программ без исходного кода (реверс-инжиниринг).
  • stegano — стеганография.
  • ppc — задачи на программирование (professional programming and coding).
  • crypto — криптография.
  • web — задачи на веб-уязвимости, такие как SQL injection, XSS и другие.
  • forensics — одна из сложных категорий заданий, сравнимая с PWN.

Рекомендации¶

  • Обращайте внимание на текст задания, название, адрес. Там могут быть подсказки.
  • Активно используйте интеренет, некоторые таски специально сделаны с расчетом на это.
  • Гуглите все, что вам кажется подсказкой.

Описание категорий и способы решения¶

admin¶

  • Обычно задания, связанные с работой сисадмина : восстановление данных, виртуальные машины и т.д. Скорее всего, вам нужно будет просто погуглить, как делается та или инная вещь.

Joy¶

  • Обычно какая-то игра , в которой нужно найти флаг. Например, пройти карту в какой-нибудь Half-Life.

Reverse¶

  • Достаточно сложная категория. Обычно приходится дизассемблерировать, затем редактровать код на ассемблере.
  • Но бывают и более простые задания. Сперва следует обратить внимание на формат файла , что он из себя представляет. Затем открыть бинарник в текстовом редакторе и пробежать по нему глазами в поисках чего-то интересного. В этом может помочь перевод в hex. В vim это делается командой :%!xxd , обратно: :%!xxd -r .

Stegano¶

  • Стеганография — это наука о скрытой передаче информации путём сохранения в тайне самого факта передачи.
  • Чаще всего вам дается изображения в котором скрыт флаг. В самом простом случае он находится на картинке, но его не видно. Тут можно либо пробежаться по каналам, либо сделать XOR с оригинальным изображением, если оно есть. Программа для этого указана ниже .
  • В более сложных случаях в изображении зашит не просто флаг, а какая-то другая информация, которую нужно дальше преобразовать в него.
  • Первым делом при решении открываем Stegsolve (см. здесь).
  • Так же есть стега с аудио-файлами, такие задания достаточно сложные.

PPC¶

  • Это категория должна вам понравиться! Ничего искать не надо, просто напишите программу для автоматизации ваших действий.
  • Обычно эти таски решаются на python , так как это самый удобный язык для прототипирования.
  • Если вам необходимо делать POST и GET запросы используйте встроенную библиотеку requests в python . Если вам нужно куда-то подключаться используйте сокеты .

Crypto¶

  • Ознакомьтесь с базовыми алгоритмами шифрования тут. Поймите, какой подходит вам. Это пригодится!
  • Так же бывают таски с эзотерическими языкми . Погуглите этот язык и перевидите программу на нормальный для дальнейшего решения.
  • Если вам дан код программы и выходные данные, просто разберитесь в коде и напишите декодер.

Web¶

  • Внимательно осмотрите весь html код .
  • Обратите внимание, какие cookie передаются.
  • Посмотрите, что происходит при работе с сайтом: что отправляется и что примается. Используйте встроенный в браузер отладчик .
  • Проверьте сайт на наличие известных папок. Например, /phpmyadmin или /admin .
  • Проверьте сайт на наличие sql-injection .
  • Если вам необходимо отправить POST запрос с вашими параметрами или cookies, будет удобно использовать библиотеку requests в python .

Forensics¶

  • Каких-либо универсальных методов решения тасков категории forensic нет. Никогда не знаешь, что тебе за инцидент попадется и как с ним справляться.
  • Чаще всего таски решаются использованием binwalk .
  • Получить подробную информацию о содержании файла и распаковать все, что внутри: binwalk -e file .

© Copyright 2019, Школа 9 им А. С. Пушкина

Built with Sphinx using a theme provided by Read the Docs.

Jeopardy ctf что это

CTF (Capture the flag) — соревнования по компьютерной безопасности, целью которых является получение наибольшего числа флагов — строк определенного вида.

Выделяют два основных формата проведения: task-based и attack-defense.

Task-based (Jeopardy)

  • Задача – решить как можно больше заданий из различных категорий.
  • Флаг – строка, полученная при решении задания.
  • Баллы за каждый сданный флаг.
  • Командный/индивидуальный зачёт.

Attack-Defense (Classic)

  • Вам предоставляется образ с уязвимыми сервисами (сайтами, FTP и тп)
  • Задачи:
    • Развернуть сервер;
    • Закрыть уязвимости сервисов;
    • Атаковать уязвимости сервисов у других команд.

    В данном курсе будет рассматриваться подготовка к соревнованиям именно в формате task-based, так как данный формат больше подходит для начинающих.

    Чтобы не пропустить различные интересные соревнования, можно отслеживать их на CTFtime.

    Всё о CTF в России

    Формат Сapture the Flag используется в пейнтболе, среди ролевиков, в компьютерных играх и в информационной безопасности. Сapture the Flag или CTF в ИБ — это соревнования в форме командной игры, главная цель которой — захватить «флаг» у соперника в приближенных к реальности условиям. Команды решают прикладные задачи, чтобы получить уникальную комбинацию символов (флаг). Далее участники отправляют флаг в специальную платформу и получают подтверждение, что задача решена верно или стоит попытаться дать ответ ещё раз.

    Введите описание изображения

    Фото: Москва, финал студенческих соревнований III Кубок CTF

    Соревнования формата CTF проходят удалённо (в сети) и очно. В первом случае команды соревнуются через интернет, находясь в разных точках мира. Такие соревнования длятся больше суток в формате нон-стоп. На очных соревнованиях команды собираются в одном месте, каждая за отдельным столом. Такие соревнования длятся шесть — семь часов, а то и больше. За это время командам предлагается решить несколько десятков заданий из областей информатики и защиты информации. Часто практикуется совмещение форматов: например, отборочные этапы на некоторые СTF-соревнования проходят в сети, а финал — очно в городе организаторов контеста. Победа в отборочном туре онлайн даёт команде право участвовать на очном этапе соревнований.

    В каком формате проходят CTF-соревнования?

    CTF-турниры традиционно проводятся в двух форматах: в формате Task-Based (или Jeopardy) игрокам предоставляется набор заданий (тасков), к которым требуется найти и отправить ответ. Ответ даётся в виде флага, состоящего из набора символов или произвольной фразы. За верное выполнение каждого задания команда получает очки. Чем сложнее таск, тем больше очков даётся за правильный ответ. Задания в CTF-соревнованиях формата Task-Based, как правило, делятся на следующие категории: задачи на нахождение веб-уязвимостей (web), поиск и эксплуатацию уязвимостей в приложениях (PWN), исследование программ без исходного кода (reverse), расследование инцидентов (forensic), администрирование (admin), криптографию (crypto), стеганографию (stegano), поиск информации из открытых источников (OSINT) и категория joy, состоящая из развлекательных задач.

    Второй формат проведения CTF-соревнований — Classic (или Attack-Defense). Команды получают идентичные серверы с набором уязвимых сервисов, на которые жюри периодически посылает приватную информацию — флаги. Задача каждой команды заключается в том, чтобы найти и устранить уязвимости на своем сервере и воспользоваться найденными уязвимостями для получения флагов у соперников. Классические соревнования проводятся реже, чем Task-Based, поскольку делать сервисы гораздо сложнее, чем писать таски.

    Читайте подробнее:

    • Советы от bykva: как играть в классический CTF
    • Статья от C4T BuT S4D: Attack-Defense CTF. Что это такое и как в это играть

    Введите описание изображения

    Фото: Самара, международные соревнования по защите информации VolgaCTF 2020

    CTF в мире

    О соревнованиях по компьютерной безопасности в формате игры Capture the flag мир узнал около тридцати лет назад. Впервые CTF-соревнования проводились на хакерской конференции DEF CON в Лас-Вегасе в 1993 году. DEF CON CTF по-прежнему считается одним из самых знаменитых соревнований по компьютерной безопасности в мире. Ежегодно на них съезжаются сильнейшие команды со всего мира. В 2019 году в Лас-Вегасе состоялся 27-ой DEF CON CTF.

    В Калифорнийском университете в Санта-Барбаре соревнования по компьютерной безопасности формата CTF стали проводиться позже, чем DEF CON CTF — с 2001 года. Сначала в них участвовали команды только одного вуза — University of California, Santa Barbara (UCSB). Через два года участие приняло уже четырнадцать команд со всей Америки. Спустя еще год, в 2004, в названии соревнования UCSB перед CTF появляется буква i — international. Так соревнования UCSB iCTF стали международными. Сегодня UCSB iCTF считается крупнейшим межконтинентальным контестом формата CTF.

    В России тоже проводятся международные CTF-соревнования. В 2009 году российская команда Хакердом (Уральский государственный университет, Екатеринбург) провела первые международные CTF-соревнования в России RuCTFE. В них участвовало 43 команды со всего мира: России, Индии, Германии, Вьетнама, Австрии, США и других стран. Первый контест RuCTFE проходил в режиме онлайн на протяжении 10 часов. За RuCTFE 2009 последовали следующие игры, в которые ежегодно играло всё больше и больше команд. Расширялась также и география участников. С каждым годом в RuCTFE участвует всё больше и больше представителей стран Азии, Европы, Африки, а также Австралии, Южной и Северной Америки. В 2019 году в RuCTFE сражалось уже более 180 команд!

    Высокий результат на соревнованиях RuCTFE даёт студенческим командам право на участие в очном турнире RuCTF, ежегодно проводящимся в Екатеринбурге с 2008 года.

    Введите описание изображения

    Фото: Екатеринбург, всероссийские межвузовские соревнования по защите информации RuCTF 2019

    Можно долго изучать географию СTF-соревнований по всему миру: швейцарский Insomni’hack, китайский 0CTF и польский Dragon CTF. С каждым годом количество международных CTF-соревнований только возрастает. Не имеет смысла перечислять здесь все, даже самые значимые: это уже сделали на CTFtime.org.

    Похожие публикации:
    1. Как запустить код в atom
    2. Как из 1с выгрузить список контрагентов с инн
    3. Как сделать счетчик очков в unity 2d
    4. Какие теги определяют цвета элементов страницы

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *