今年 HITCON CTF的特別?
台灣第一次國際性資安競賽
申請為 DEFCON 種子比賽
總獎金近新台幣60萬
1
2
3
CTF是甚麼?全名 Capture The Flag
又稱搶旗賽
CTF的型式
1 2
Jeopardy AttackDefence
Jeopardy1 Reverse
Pwnable
Crypto
Forensics
Misc
2
3
4
5
Attack & Defence每回合
5min
A攻擊成功
得分+10 扣分 -10
B
Attack & Defence 攻擊流程
1
每個隊伍獲得一個有漏洞服務的主機
2 3 4
分析主機上的漏洞找到漏洞利用的方式
將漏洞寫成攻擊程序並攻擊其他隊伍
透過攻擊獲取主機上的 Flag將 Flag 提交給大會
得分
💀 Service
💀 Service
💀 Service
A
0day漏洞B
C
D
E
😆
無法防禦
無法防禦
無法防禦
無法防禦
😣
😣
😣
😣得分+40
扣分 -10
扣分 -10
扣分 -10
扣分 -10
攻擊成功
Update Service
💀 Service
💀 Service
💀 Service
漏洞升級
時間到
漏洞升級
漏洞升級
💀
Shutdown Service每回合
5min
A 攻擊失敗
扣掉所有得分
CB
ServiceUnavailable
均分給每個隊伍
隊伍主要工作
漏洞分析 修補服務漏洞 撰寫自動攻擊程式
CTF比賽
真實世界
參賽隊伍需要具備分析漏洞、修補漏洞、撰寫exploit、熟悉各類 IT技術、通訊協定與工具,比賽所公布的題目相當於縮小版的商用軟體或線上服務
商用軟體或線上服務的使用者熟悉各種IT技術、通訊協定與工具
CTF比賽
真實世界
最早挖到 0day 隊伍,得以橫掃全場搶分,隨著每回合時間過去,有隊伍寫出修補程式後,得分率下降 0day 出現時還沒有任
何修補程式,造成的危害最大
CTF比賽
真實世界
避免有隊伍怕服務遭攻擊而刻意關閉,每回合會檢查服務狀況,若關閉則會將分數平分給服務存活的隊伍 服務狀態必須持續在
online,不能因為有任何攻擊就關閉服務
CTF比賽
真實世界
主辦單位會不定期更新服務版本,因此會出現新的漏洞
服務軟體經常會更新版本,可能會出現新的資安問題
台灣 CTF 戰隊戰績
2014年首度打入DEFCON CTF
奪得亞軍
2015 台灣 CTF 戰隊戰績
2月
日本東京SECCON
FINAL亞軍
3月
美國波士頓Key Party
亞軍
3月
中國BCTFFINAL冠軍
3月
韓國Codegate第六名
4月
中國0CTF
FINAL冠軍
4月
美國Plaid CTF
冠軍
5月
美國DEFCON資格賽第五名
7月
中國上海XCTFFINAL冠軍
8月
美國DEFCON總決賽第四名
台灣 CTF 隊伍有哪些?
台大 217
交大 BambooFox
台大<(_ _)>shik
oo at xx
各國著名CTF 賽事
美國
韓國
日本
俄國
Defcon Plaid CTF
Codegate Poc Belluminar Power XX
SECCON
Positive Hacks CTF
瞭解更多:CTF TIME
隊伍積分1
瞭解更多:CTF TIME
過往比賽2
戰況
writeup
瞭解更多:CTF TIME
即將舉行的比賽3
其他學習 CTF 資訊
• 練習與參與各CTF
• 看write-up
• 與其他人交流解題思路
https://goo.gl/x6Wha
FIRST BLOOD第一個找出漏洞並攻擊的隊伍
光劍效果怎麼做的?原光劍電路版不變,設計一款底座,使用開發版
聯發科 MTK LinkIt Smart 7688 做攻防燈控
DUO版本 一般版本
內建WIFI支援 GPIO, I2C, I2S, SPI, UART, PWM Ethernet Port580 MHz MIPS CPU32MB flash128MB DDR2 RAM、USB host可插卡Micro SD
King Of Hill類似搶灘遊戲,以佔領服務的時間多寡來決定分數