web-dev-qa-db-ja.com

どんな「ハッキング」競争/挑戦が存在しますか?

私は、私が実際にいじる必要のないものにアクセスしようとすることをいつも楽しんでいます。ずっと前に Hack This Site を見つけて、それから多くのことを学びました。私がHTSで抱えている問題は、彼らがコンテンツを非常に長期間更新しておらず、課題も非常に似ていることです。私は13歳ではなくなったので、もっと大きくて複雑な課題を求めています。

Cyber​​ Security ChallengeUS Cyber​​ Challenge@ sjpのような課題について考えていましたこれらについて meta

また、 Def Con 以外の大きなソーシャルエンジニアリングコンペティションはありますか?

現在のリスト:

戦争ゲーム:

  • Over the Wire コードの分析、単純なTCP通信アプリケーション、暗号解読など)のような小さなハッキングの課題がたくさんあります。
  • We Chall We ChallはOver The Wireに似ています。たくさんの挑戦。また、同様の課題を持つ他のサイトのリストも多数あります。
  • スマッシュザスタック
  • spider.io

ダウンロード:

大会:

CRT:

このような他のリスト:

その他の興味深いサイト:


リストにさらに追加してください。

139
KilledKenny

私はさらに読むために指し示す適切な参照を知りません。したがって、私が個人的に楽しんでいる時間浪費者をいくつか挙げてみます。

以下では、ハッキング競技のさまざまなスタイルを区別できるようにします。これが標準的なアプローチであるかどうかはわかりませんが、おそらく私が知っているアプローチの違いを説明するのに役立ちます。

戦争ゲーム

これらのゲームは特定のサーバーで行われます。サーバーはsshログインから開始し、setuid-binariesを利用してより高い権限を取得しようとします。これらのゲームは通常24時間年中無休で利用でき、いつでも参加できます。

チャレンジベースのコンテスト

これらのゲームは、個別に解決できる多数のタスクを提示します。課題は主に、悪用、CrackMes、暗号、フォレンジック、Webセキュリティなどから異なります。これらのゲームは通常数日に制限されており、最も多くのタスクが解決されたチームが勝者として発表されます。私はあなたがそれらのより多くを簡単に見つけることができると確信しているので、私のお気に入りをリストします。リストされているもののいくつかはちょうど行われたばかりで、他のものは次の月に行われます。

旗を取れ

これらは実際にキャプチャしてprotect「フラグ」を必要とします。最もよく知られているのはおそらくiCTFであり、過去数年の間にいくつかの規則の変更が行われました。このゲームも一定の時間枠に制限されています。参加者は通常、VPNに接続する仮想マシンを備えています。あなたの仕事は、提示されたマシンを分析し、セキュリティバグを見つけてパッチを当て、VPN内の他のマシンのバグを悪用することです。 「フラグ」は、チームの可用性と以前に保存されたフラグが盗まれていないかどうかをチェックする中央のゲームサーバーによって保存および取得されます。

  • iCTF (通常は12月)
  • CIPHER CTF (今年は新しい主催者によって更新されます)
  • RuCTFおよび RuCTFe (ロシアのCTFおよびその国際版)

その他の

オフラインで再生できるダウンロード可能な仮想マシンもたくさんあります。これは3)と2)の間のある種の混合だと思います。

編集:

鬼ごっこ

私は他のどこにも見たことのない5番目のゲームタイプに出会いました。すべてのチームはいくつかのラウンド中に互いに競争し、各ラウンドは2つのチーム間の対戦です。フェーズ1:両方のチームがLinuxシステムに根付き、15分以内にできるだけ多くのバックドアを隠そうとします。これらの15分後、チームはPCを交換し、可能な限り多くのバックドア(ルートアクセスも含む)を検出して削除しようとします。 3番目のフェーズでは、各チームはサーバーを(ルートアクセスなしで)元に戻し、同じ数のバックドアを悪用してルートアクセスを再度取得することになっています。リモートで悪用可能なバックドアはボーナスポイントを獲得します:)

このようなゲームは、ここ数年のドイツでのLinuxTagLinuxコンベンションの間に行われたようです。

シナリオについて詳しく説明します ここ (ドイツ語のみ!)

/編集

この投稿が長すぎるために混乱しすぎないことを願っています;)

ハッキング競技のリストの順不同リスト:

50
freddyb

私は本当に楽しんでいます: http://exploit-exercises.com/

彼らのサイトから:

  1. Nebula-Nebulaは、Linux特権の昇格、スクリプト言語の一般的な問題、ファイルシステムの競合状態など、さまざまな単純で中間的な課題に対応しています。
  2. Protostar-Protostarは、バッファオーバーフロー、フォーマット文字列、フォームのない「古いスタイル」のLinuxシステムでのヒープの活用など、基本的なメモリ破損の問題を引き起こします最新のエクスプロイト緩和システムの有効化。
  3. Fusion-Fusionはメモリの破損、フォーマット文字列、ヒープの悪用を続行しますが、今回はより高度なシナリオと最新の保護システムに焦点を当てます。
11
mandreko

OverTheWireにあるような「puzzles "」が必要な場合は、「war games」キーワードを検索できます。 org

その他のチャレンジサイトのリストは次のとおりです:

残念ながら、私はあなたがすでに言及したもの以外の注目を集めるコンテストについては知りません。

ちなみに、この質問はcommunity wikiステータスに当てはまると思います。

8
Karol J. Piczak

iCTF: http://ictf.cs.ucsb.edu/
DC3(現在進行中): http://www.dc3.mil/challenge/
NetWars SANS: http://www.sans.org/netwars/

Shmoocon、DEFCONなどの大規模な会議では、セキュリティCTFのコンテストがたくさんあります。詳細については、いくつかの短所を参照することをお勧めします。

それは本当に、CTF、フォレンジック、ライブレスポンスなど、どのような最終目標が必要かによって異なります。

8
mrnap

それ以上のものはありません。

4
Ajith

http://ctftime.org/ は、今後のキャプチャフラグイベントについて知るのに適したサイトです。また、ランキングと優れた記事も掲載されています。

4
DaniloNC

私はこのポッドキャストにまったく関わっていないので、これは恥知らずなプラグインではありませんが、この1週間のEd Skoudisとのisdpodcastを聞いてください。正確な日付は覚えていませんが、火曜日または水曜日だったと思います。 Edは、さまざまな課題とCTFについて多く話します。

2
getahobby

私はウィキを作成して、さまざまなコンテストの詳細を説明し、記事へのリンクと初心者向けのリソースをいくつか提供しています。そこで見る: http://ctf.forgottensec.com

2
Forgotten

Spider.io(Webハッキング)の The Spider Challenge もあります。

目標:

challenge.spider.ioとその周辺に14個のコードを隠しました。見つけたコードごとに、次のコードを見つける手掛かりを提供します。チャレンジにサインインするとすぐに、時計が動き始めます。時間との戦いです。他のハッカーとの戦いです。幸運を祈ります!

参加するにはTwitterアカウントが必要です。

1
thane

Ed Skoudisは、侵入テスト/フォレンジックの課題の素晴らしいコレクションをここに持っています: http://www.counterhack.net/Counter_Hack/Challenges.html

0
mzet

Enigmagroup には、いくつかの興味深いハッキングの課題があります...いくつかの逆転[elfバイナリチャレンジとウィンドウの逆転]、キャプチャクラッキング、現実的な課題、速記、暗号化、およびxss、javascriptなどの他の通常のものオン。

0
kiran

ハックインザボックス(HITB)キャプチャフラグ http://conference.hitb.org/hitbsecconf2012kul/event/capture-the-flag/

HITBSecConf中の毎年のハッキング大会

0
d3t0n4t0r

x41414141.com は良いものです...終了すると、履歴書を求められます。

0
Dave

これは最近のハッキング競争であり、現在も続いています:www.hackimind.com

コンテストについて:

ファイル(2012年11月30日に公開)は暗号化されており、デコードキーは2013年3月17日(コンテストの終了日)に公開されます。

あなたの課題は、キーなしでファイルをデコードすることです。

賞品を請求するには、復号化されたファイルをイノベーションエクスチェンジプラットフォームに送信します。

コンテストの期間中、このサイトはすべての参加者とヒントを共有するために使用されます。

0
user21331