it-swarm.it

Quali competizioni / sfide "di hacking" esistono?

Mi è sempre piaciuto provare ad accedere a cose con cui non dovrei davvero giocare. Ho trovato Hack This Site molto tempo fa e ho imparato molto da esso. Il problema che ho con HTS è che non hanno aggiornato i loro contenuti da molto tempo e le sfide sono molto simili. Non ho più 13 anni e voglio sfide più grandi e complesse.

Stavo pensando a sfide come Cyber ​​Security Challenge e S Cyber ​​Challenge ( @ sjp ha scritto di queste sul meta)

Inoltre, ci sono grandi concorsi di ingegneria sociale oltre a quello in Def Con ?

Elenco attuale:

Giochi di guerra:

  • Over The Wire Hanno molte piccole sfide di hacking come: analizzare il codice, semplice TCP, crypto cracking.
  • We Chall We Chall è simile a Over The Wire. Molte sfide. Hanno anche un ampio elenco di altri siti con sfide simili.
  • Smash The Stack
  • spider.io

Download:

Concorsi:

CRT:

Altro elenco come questo:

Altri siti interessanti:


Aiutatemi ad aggiungere altro alla lista.

139
KilledKenny

Non conosco un buon riferimento a cui fare riferimento per ulteriori letture. Quindi cercherò di elencare alcuni perditempo che mi piacciono personalmente.

Di seguito mi permetterò di distinguere tra vari stili di competizioni di hacking. Non so se questo sia un approccio canonico, ma probabilmente aiuterà a spiegare le differenze tra quelli che conosco:

Giochi di guerra

Questi giochi si svolgono su un determinato server, dove inizi con un login ssh e provi a sfruttare setuid-binaries per ottenere permessi più alti. Questi giochi sono generalmente disponibili 24 ore su 24, 7 giorni su 7 e puoi iscriverti quando vuoi.

Competizioni basate sulle sfide

Questi giochi ti presenteranno numerose attività che puoi risolvere separatamente. Le sfide variano principalmente da sfruttamento, CrackMes, crypto, forense, sicurezza web e altro ancora. Questi giochi sono generalmente limitati a pochi giorni e il team con il maggior numero di compiti risolti viene annunciato il vincitore. Elencherò il mio preferito, poiché sono abbastanza convinto che ne troverai facilmente di più. Alcuni degli elenchi sono appena avvenuti e altri avranno luogo nei mesi seguenti.

Cattura la bandiera

Questi in realtà richiedono di catturare e proteggere "bandiere". Il più noto è probabilmente iCTF, che ha subito alcune modifiche alle regole negli ultimi anni. Questo gioco è anche limitato a un certo lasso di tempo. I concorrenti sono in genere dotati di una macchina virtuale che devono connettersi a una VPN. Il tuo compito è analizzare la macchina presentata, trovare i bug di sicurezza, correggerli e sfruttare i bug su altri computer nella tua VPN. I "flag" vengono archiviati e recuperati da un server di gioco centrale che controlla la disponibilità di una squadra e se i flag precedentemente memorizzati non sono stati rubati.

  • iCTF (in genere a dicembre)
  • CIPHER CTF (sarà rinnovato dai nuovi organizzatori quest'anno)
  • RuCTF e RuCTFe (un CTF russo e la sua versione internazionale)

Altro

Ci sono anche un sacco di macchine virtuali scaricabili disponibili per giocare offline, che è una sorta di mix tra 3) e 2) suppongo.

Edit:

Etichetta

Ho appena incontrato un quinto tipo di gioco che non ho visto da nessun'altra parte. Tutte le squadre competono tra loro durante diversi round e ogni round è una partita tra due squadre. Fase 1: entrambi i team eseguono il root su un sistema Linux e cercano di nascondere il maggior numero di back-door nel giro di 15 minuti possibile. Dopo questi 15 minuti, i team scambiano i PC e provano a scoprire e rimuovere quante più backdoor possibili (anche con accesso root). Nella terza fase, ogni squadra recupera il proprio server (senza accesso root) e dovrebbe sfruttare altrettante backdoor per ottenere nuovamente l'accesso root. Le backdoor sfruttabili a distanza ottengono punti bonus :)

Sembra che giochi come questo siano stati realizzati durante le Convenzioni Linux LinuxTag in Germania negli ultimi anni.

Lo scenario è spiegato più in dettaglio qui (solo in tedesco!)

/Edit

Spero che questo post non sia diventato troppo confuso a causa della sua lunghezza;)

Elenco non ordinato di elenchi di competizioni di hacking:

50
freddyb

Mi sono davvero divertito: http://exploit-exercises.com/

Dal loro sito:

  1. Nebulosa - Nebulosa copre una varietà di sfide semplici e intermedie che coprono l'escalation dei privilegi di Linux, i problemi del linguaggio di scripting comuni e le condizioni di competizione del file system.
  2. Protostar - Protostar introduce problemi di corruzione della memoria di base come overflow del buffer, stringhe di formato e sfruttamento dell'heap nel sistema Linux "vecchio stile" che non ha alcuna forma dei moderni sistemi di mitigazione degli exploit abilitati.
  3. Fusion - Fusion continua il danneggiamento della memoria, le stringhe di formattazione e lo sfruttamento dell'heap ma questa volta concentrandosi su scenari più avanzati e sistemi di protezione moderni.
11
mandreko

Puoi cercare " giochi di guerra " parola chiave se vuoi " puzzle" come quelli in OverTheWire.org .

Ecco un elenco di altri siti di sfida:

Sfortunatamente, non conosco altre competizioni di alto profilo rispetto a quelle che hai già menzionato.

A proposito, penso che questa domanda corrisponderebbe a uno stato wiki della comunità.

8
Karol J. Piczak

iCTF: http://ictf.cs.ucsb.edu/
DC3 (in corso proprio ora): http://www.dc3.mil/challenge/
NetWars SANS: http://www.sans.org/netwars/

Ci sono anche molte competizioni CTF sulla sicurezza in grandi conferenze come Shmoocon, DEFCON, ecc. Consiglierei di andare ad alcuni contro per maggiori informazioni.

Dipende davvero dall'obiettivo finale che desideri, CTF, medicina legale, risposta dal vivo, ecc.

8
mrnap

Non può essere più fantastico di così.

4
Ajith

http://ctftime.org/ è un buon sito per conoscere l'imminente acquisizione degli eventi della bandiera, inoltre ha una classifica e delle scritture che sono fantastiche.

4
DaniloNC

Questa non è una spina spudorata perché non sono affatto coinvolto in questo podcast, ma ascolto il film isdpodcast della scorsa settimana con Ed Skoudis. Non ricordare la data esatta, ma pensa che fosse martedì o mercoledì. Ed parla molto di varie sfide e cose del CTF.

2
getahobby

Ho creato una wiki che descrive dettagliatamente diverse competizioni, con descrizioni e collegamenti a scritture e alcune risorse per principianti. Guardalo lì: http://ctf.forgottensec.com

2
Forgotten

C'è anche Spider Challenge da Spider.io (Web hacking).

L'obiettivo. il gol:

Abbiamo nascosto quattordici codici dentro e intorno a challenge.spider.io. Con ogni codice che trovi, ti daremo un indizio per aiutarti a trovare il codice successivo. Non appena accedi alla sfida, l'orologio inizia a ticchettare. È una corsa contro il tempo. È una corsa contro altri hacker. Buona fortuna!

È necessario un account Twitter per partecipare.

1
thane

Ed Skoudis ha una bella collezione di test di penetrazione/sfide forensi qui: http://www.counterhack.net/Counter_Hack/Challenges.html

0
mzet

Enigmagroup ha alcune interessanti sfide di hacking ... Alcune inversioni [sfide binarie degli elfi e finestre invertite], captcha cracking, sfide realistiche, stenografia, crittografia e altre cose usuali come xss, javascript e così via su.

0
kiran

Hack in the Box (HITB) Capture The Flag http://conference.hitb.org/hitbsecconf2012kul/event/capture-the-flag/

Una competizione annuale di hacking durante HITBSecConf

0
d3t0n4t0r

x41414141.com è buono ... quando finisci ti viene chiesto il tuo curriculum.

0
Dave

Questa è una recente competizione di hacking e ancora in corso: www.hackimind.com

Informazioni sulla competizione:

Un file (pubblicato il 30 novembre 2012) è stato codificato e la chiave di decodifica sarà resa pubblica il 17 marzo 2013 - data di fine della competizione.

La tua sfida è decodificare il file senza la sua chiave.

Per richiedere il premio, inviare il file decrittografato nella piattaforma di scambio di innovazione.

Nel corso del concorso questo sito verrà utilizzato per condividere suggerimenti con tutti i partecipanti.

0
user21331