ゾンビ狩りクラブ

Linux, Server, Network, Security 関連などをゆるーくテキトーに載せてます

CTF (Capture The Flag) まとめ

Index

1. CTFとは

Capture The Flagの略で、情報セキュリティ系の問題を解いてFLAGと呼ばれる隠された文字列を見つける競技。
Jeopardy(クイズ)形式とAttack & Defence形式がある。 通常オンライン参加のCTFはJeopardy形式。決勝戦などにいくとAttack & Defence形式が多い。

Jeopardyでは、問題ごとにジャンルと得点があり、問題を解いてFlagを送信する方式である。
Attack & Defenceでは、その名の通り自分たちのサーバを守りながら、相手サーバを攻撃する方式である。

2. Genre

CTFのジャンルには主に以下のようなものがある。
CTFによっては、多少ジャンルが異なったりすることがあるので、大体こんなものという認識。

  • Binary
    バイナリファイルを解析しflagを取得する問題。
    Binary問としてReverse問を出すCTFもある。

  • Reverse
    プログラムを解析しflagを取得する問題。
    ジャンルをBinaryとして出題されることもある。

  • Pwnable
    プログラムの脆弱性を攻撃し、 シェルを奪取または、flagが書かれたファイルを読み込む問題。

  • Web
    Webアプリケーションの脆弱性を攻撃しflagを取得する問題。

  • Network
    ネットワークパケットを解析、問題によってはサーバに接続してflagを取得する問題。
    最近はForensicsとして出題されることが多い。

  • Forensics
    イメージファイルなどを解析してflagを取得する問題。

  • Steganography
    画像や音楽ファイルなどを解析してflagを取得する問題。
    Forensicsとして出題されることが多い。

  • Crypto
    暗号を解読してflagを取得する問題。

  • PPC
    Professional Programming and Codingの略で、 プログラミング能力を試す問題。

  • Recon
    ネットストーカーをする問題。
    FacebookやらTwitterやらを探す。
    flagは名前だったり、職場だったりいろいろ。

  • Trivia
    知識を聞いてくる問題
    とにかくググる。

  • Misc
    その他上記で分類されないもの

3. CTFに参加してみる

CTFがいつどこで開催されるかは、CTF Timeというサイトにまとめられている。
参加したいCTFがあれば、各Webサイトに飛んでRegisterしよう。

f:id:Garfields:20171029201054p:plain

CTF Timeには、終了したCTFのwrite upもまとめてあるので、そこから解けなかった問題の解法を学ぶことができる。
また、自分たちが参加したCTFのWrite upを書いて、ブログかなにかで公開するのもCTFを学ぶ上で重要である。

4. 常設CTFサイト

オンラインで定期的に行われているCTFのほかに、常設で開かれているCTFもある。
初めてCTFをするという方などにおすすめである。

5. 国内でのCTF関連のイベント/勉強会

  • セキュリティキャンプ
    http://www.security-camp.org/
    情報セキュリティの合宿勉強会で全国大会と地方大会がある。 日本最大級の人材育成イベント?である。 全国大会の参加条件は22歳以下の学生で、応募用紙にある問題に挑戦した上で運営人の心を射止めた人に限られる。

  • SECCON
    http://seccon.jp 日本最大級のセキュリティコンテストである。 毎年決勝は東京電機大学 北千住キャンパスで行われる。

  • ctf4b (CTF for Beginners)
    CTF初心者のための勉強会。

  • ctf4g (CTF for Girls)
    ctf4bの女性のみバージョン

  • Cpaw CTF勉強会
    法政大学と工学院大学の合同サークルであるcpawが主催する勉強会である。 内容は初心者向きでやさしい。

  • TDU CTF
    東京電機大学の学生が開催するオンサイトCTFである。

  • katagaitai勉強会
    某企業のCTFチームkatagaitaiが主催する勉強会である。 内容的には、中~上級となっており、一歩踏み込んだ内容を学びたい人にはちょうど良い。

  • SANS NETWARS
    学生のみ(抽選)の二日間のイベントである。
    SANSの認定インストラクターの方からトレーニングを受けることができる。
    一日目はworkshopで、ペンテストに関するトレーニングを受け、二日目にCTFを行う。

6. その他参考になるサイト

参考

http://nanuyokakinu.hatenablog.jp/entry/2015/08/24/213158