HITCON CTF 2016導覽

28
覽活動

Transcript of HITCON CTF 2016導覽

Page 1: HITCON CTF 2016導覽

導覽活動

Page 2: HITCON CTF 2016導覽

2016 HITCON CTF 國際駭客競賽

台灣連續二年舉辦國際規模的現場駭客攻防賽

第一場獲選為DEFCON CTF 2017種子賽事

初賽共1,024隊,評價超過世界知名賽事

決賽共 10國來台挑戰,總獎金近新台幣 60 萬

1

2

3

4

Page 3: HITCON CTF 2016導覽

本次HITCON CTF 13 支決賽隊伍

Cykorkinesis(韓國)

Shellphish(美國)

LCBC(俄羅斯)

PPP(美國) TokyoWesterns(日本)

CLGT(越南)

!SpamAndHex(匈牙利)

PwnThyBytes(羅馬尼亞)

Kaist_GoN(韓國)0ops(中國)

Dispwnable(台灣)

Hacker Forge(台灣)

p4(波蘭)

為什麼沒有HITCON?

因為 HITCON戰隊都在出題啊

Page 4: HITCON CTF 2016導覽

DEFCON CTF駭客世界杯:最重要的 CTF 賽事

每年八月在美國拉斯維加斯

Page 5: HITCON CTF 2016導覽

到美國拉斯維加斯參加 DEFCON CTF 決賽資格

1. 線上選拔

參加5月舉辦的DEFCON Quals 線上初賽,打進前10名

2. 獲得種子冠軍

在以下各地獲得DEFCON主辦方認可的種子賽事冠軍 HITCON CTF(台灣主辦)

RuCTFE(俄羅斯主辦)

32C3 CTF(德國主辦)

SECCON CTF(日本主辦)

Boston Key Party(美國主辦)

PlaidCTF(美國主辦)

0CTF(中國主辦)

Page 6: HITCON CTF 2016導覽

CTF是甚麼?全名 Capture The Flag

又稱搶旗賽

Page 7: HITCON CTF 2016導覽

CTF 競賽的型式

1 2

解題型Jeopardy

對打攻防型Attack & Defense

Page 8: HITCON CTF 2016導覽

解題型 ( Jeopardy )

主辦單位出題目,參賽者解題,常見的題目類型:

1 Reverse Pwnable Crypto

ForensicsMisc

2 3

4 5 6 Web

Page 9: HITCON CTF 2016導覽

Attack & Defense 對打攻防型

1

每個隊伍獲得一個有漏洞服務的主機

2 3 4

分析主機上的漏洞找到漏洞利用的方式

將漏洞寫成攻擊程序並攻擊其他隊伍

透過攻擊獲取主機上的 Flag將 Flag 提交給大會

得分

💀 Service

💀 Service

💀 Service

Page 10: HITCON CTF 2016導覽

Attack & Defense 賽制說明每回合

5min

A攻擊成功

得分+10 扣分 -10

B

零和賽制

Page 11: HITCON CTF 2016導覽

A

0day漏洞B

C

D

E

😆

無法防禦

無法防禦

無法防禦

無法防禦

😣

😣

😣

😣得分+40

扣分 -10

扣分 -10

扣分 -10

扣分 -10

攻擊成功

Page 12: HITCON CTF 2016導覽

漏洞更新

💀 Service

💀 Service

💀 Service

時間到

出現新漏洞!

舊漏洞沒了!

💀

主辦單位會隨時間更新服務反應真實世界服務的變化性讓比賽更刺激

Page 13: HITCON CTF 2016導覽

關閉服務會被扣分

每回合

5min

A 攻擊失敗

扣掉所有得分

CB

ServiceUnavailable

均分給每個隊伍

Page 14: HITCON CTF 2016導覽

隊中成員必須各司其職

漏洞分析 修補服務漏洞 撰寫自動攻擊程式

Page 15: HITCON CTF 2016導覽

CTF比賽 真實世界

參賽隊伍需要具備分析漏洞、修補漏洞、撰寫exploit、熟悉各類 IT技術、通訊協定與工具,比賽所公布的題目相當於縮小版的商用軟體或線上服務

商用軟體或線上服務的使用者熟悉各種IT技術、通訊協定與工具

Page 16: HITCON CTF 2016導覽

CTF比賽 真實世界

最早挖到 0day 隊伍,得以橫掃全場搶分,隨著每回合時間過去,有隊伍寫出修補程式後,得分率下降

0day 出現時還沒有任何修補程式,造成的危害最大

Page 17: HITCON CTF 2016導覽

CTF比賽 真實世界

避免有隊伍怕服務遭攻擊而刻意關閉,每回合會檢查服務狀況,若關閉則會將分數平分給服務存活的隊伍

服務狀態必須持續在online,不能因為有任何攻擊就關閉服務

Page 18: HITCON CTF 2016導覽

CTF比賽 真實世界

主辦單位會不定期更新服務版本,因此會出現新的漏洞

服務軟體經常會更新版本,可能會出現新的資安問題

Page 19: HITCON CTF 2016導覽

今年的攻防燈效

聯發科物聯網開發版 LINKIT SMART 7688 DUO

• 未受攻擊時,呈現呼吸燈效• 被攻擊成功會狂閃紅燈• First Blood時有隱藏版燈效

不須複雜的程式碼即可結合記分板,完成複雜且即時的攻防燈效

Page 20: HITCON CTF 2016導覽

FIRST BLOOD代表第一個找出漏洞並成功發動攻擊取分的隊伍

Page 21: HITCON CTF 2016導覽

本次的出題團隊

HITCON CTF 戰隊

Page 22: HITCON CTF 2016導覽

本次的出題團隊HITCON CTF 戰隊

2014 年 DEFCON CTF

亞軍

Page 23: HITCON CTF 2016導覽

2016年 HITCON CTF戰隊首度以種子賽冠軍資格取得世界大賽門票

Page 24: HITCON CTF 2016導覽

台灣CTF隊伍217

交通大學

<(_ _)>shik台灣大學

BambooFox

Balsn

台灣科技大學&TDOH forx

高雄第一科技大學 UCCU

1

2

3

4

Page 25: HITCON CTF 2016導覽

瞭解更多:CTF TIME

隊伍積分1

2016/11/27更新

Page 26: HITCON CTF 2016導覽

過往比賽2

writeup

瞭解更多:CTF TIME

Page 27: HITCON CTF 2016導覽

即將舉行的比賽3

瞭解更多:CTF TIME

Page 28: HITCON CTF 2016導覽

Q&A問答時間


2015 hitcon ctf 1-2月計畫與展望

2015 hitcon ctf 1-2月計畫與展望

[2014/10/06] HITCON Freetalk - App Security on Android

[2014/10/06] HITCON Freetalk - App Security on Android

CTF - Customers' Testing FacilityCTF - Customers' Testing Facility CTF Assessment Report (CTF Stages 3 and 4) (Based on ISO/IEC 17025:2017) CTF name CTF address,

CTF - Customers' Testing FacilityCTF - Customers' Testing Facility CTF Assessment Report (CTF Stages 3 and 4) (Based on ISO/IEC 17025:2017) CTF name CTF address,

CTF Programme

CTF Programme

d2 s2 r0 - HITCON

d2 s2 r0 - HITCON

REMOTE ATTACKS ON VEHICLES BY EXPLOITING VULNERABLE TELEMATICS Conf/Hitcon/Hitcon-2016/12… · REMOTE ATTACKS ON VEHICLES BY EXPLOITING VULNERABLE TELEMATICS Dawei Lyu, Lei Xue,

REMOTE ATTACKS ON VEHICLES BY EXPLOITING VULNERABLE TELEMATICS Conf/Hitcon/Hitcon-2016/12… · REMOTE ATTACKS ON VEHICLES BY EXPLOITING VULNERABLE TELEMATICS Dawei Lyu, Lei Xue,

Introduction to CTF - HITCON · Which CTF to play? Beginner CTFs Backdoor CSAW Qualification ASIS Advanced CTFs DEFCON PlaidCTF 最強PPP組織的比賽 CodeGate 韓國 SECCON 日本

Introduction to CTF - HITCON · Which CTF to play? Beginner CTFs Backdoor CSAW Qualification ASIS Advanced CTFs DEFCON PlaidCTF 最強PPP組織的比賽 CodeGate 韓國 SECCON 日本

CTF Peroxisome

CTF Peroxisome

Exploiting JRE - HITCON 2020 Lee - Exploiting... · 2013. 7. 22. · Exploiting JRE - JRE Vulnerability: Analysis & Hunting @Hitcon 2013 xye0x01@gmail.com nforest@live.cn. About Us

Exploiting JRE - HITCON 2020 Lee - Exploiting... · 2013. 7. 22. · Exploiting JRE - JRE Vulnerability: Analysis & Hunting @Hitcon 2013 [email protected] [email protected]. About Us

CTF-200 and CTF-200EXT Cable Tray Feeders

CTF-200 and CTF-200EXT Cable Tray Feeders

CTF 22.03.11

CTF 22.03.11

Career and Technology Foundations (CTF) Welcome to this introductory session to CTF. Today we will specifically address: What is CTF? What does a CTF classroom.

Career and Technology Foundations (CTF) Welcome to this introductory session to CTF. Today we will specifically address: What is CTF? What does a CTF classroom.

ITF.競プロCTF勉強#3 CTF Network ed.

ITF.競プロCTF勉強#3 CTF Network ed.

CTF News Briefs - Michigan · CTF News Briefs 6 CTF Team Richard Bearup 517.335.1938 BearupR2@michigan.gov Executive Director With CTF since 2006 Sylvia Brown Jones, LMSW 517.241.7792

CTF News Briefs - Michigan · CTF News Briefs 6 CTF Team Richard Bearup 517.335.1938 [email protected] Executive Director With CTF since 2006 Sylvia Brown Jones, LMSW 517.241.7792

CTF 2 - DiaMon Workgroup · 18-11-2016  · msg: “Hello, World! ” Introduction to CTF 2 (DiaMon conference) 6 What is CTF? Current CTF ecosystem: babeltrace (CLI) Babeltrace Python

CTF 2 - DiaMon Workgroup · 18-11-2016  · msg: “Hello, World! ” Introduction to CTF 2 (DiaMon conference) 6 What is CTF? Current CTF ecosystem: babeltrace (CLI) Babeltrace Python

HITCON CTF 導覽

HITCON CTF 導覽

CTF Playing Rules & Bylaws - Canadian Tenpin Federation · All CTF rules and specifications shall be followed for all CTF adult and CTF Youth competitions (leagues and tournaments)

CTF Playing Rules & Bylaws - Canadian Tenpin Federation · All CTF rules and specifications shall be followed for all CTF adult and CTF Youth competitions (leagues and tournaments)

Einf¨uhrung – Wtf ist ein CTF? Klassische …Einf¨uhrung – Wtf ist ein CTF? Klassische Sicherheitsl¨ucken Diskussion Ein eigener CTF CTF – Capture the Flag Hans-Christian

Einf¨uhrung – Wtf ist ein CTF? Klassische …Einf¨uhrung – Wtf ist ein CTF? Klassische Sicherheitsl¨ucken Diskussion Ein eigener CTF CTF – Capture the Flag Hans-Christian

Exploitation Of Windows .NET Framework - HITCON

Exploitation Of Windows .NET Framework - HITCON

HITCON X Playground - CRAX

HITCON X Playground - CRAX