Quali competizioni / sfide "hacking" esistono? [chiuso]

138

Mi è sempre piaciuto provare ad accedere a cose con cui non dovrei davvero giocare. Ho trovato Hack This Site molto tempo fa e ho imparato molto da esso. Il problema che ho con HTS è che non hanno aggiornato il loro contenuto in un tempo molto lungo e le sfide sono molto simili. Non ho più 13 anni e voglio sfide più grandi e più complesse.

Stavo pensando a sfide come Cyber Security Challenge e US Cyber Challenge ( @sjp ha scritto di questi su meta )

Inoltre, ci sono grandi gare di ingegneria sociale oltre a quella di Def Con ?

Elenco attuale:

Wargames:

  • Over The Wire Hanno un sacco di piccole sfide di hacking come: analizzare il codice, semplice applicazione di comunicazione TCP, crypto cracking.
  • We Chall We Chall è simile a Over The Wire. Un sacco di sfide. Hanno anche una lunga lista di altri siti con sfide simili.
  • Smash The Stack
  • spider.io

Download:

Concorsi:

CRT:

Altro elenco come questo:

Altri siti interessanti:

Per favore aiutami ad aggiungere altro alla lista.

    
posta KilledKenny 15.03.2017 - 16:18
fonte

14 risposte

49

Non conosco un buon riferimento a cui puntare per ulteriori letture. Così cercherò di elencare alcuni perditempo che personalmente mi piacciono.

Nel seguito mi permetterò di distinguere tra vari stili di competizioni di hacking. Non so se questo è un approccio canonico, ma probabilmente aiuterà a spiegare le differenze tra quelle che conosco:

Wargames

Questi giochi si svolgono su un determinato server, dove si inizia con un login ssh e si tenta di sfruttare setuid-binari per ottenere autorizzazioni più elevate. Questi giochi sono solitamente disponibili 24 ore su 24 e puoi iscriverti quando vuoi.

Competizioni basate sulla sfida

Questi giochi ti presenteranno numerosi compiti che puoi risolvere separatamente. Le sfide variano principalmente dallo sfruttamento, CrackMes, crittografia, forensic, sicurezza web e altro ancora. Questi giochi sono in genere limitati a pochi giorni e il team con il maggior numero di compiti risolti viene annunciato vincitore. Elencherò il mio preferito, dal momento che sono abbastanza convinto che ne troverai facilmente altri. Alcuni degli elenchi sono appena stati effettuati e altri si svolgeranno nei mesi successivi.

Cattura la bandiera

In realtà richiedono di catturare e proteggere "flag". Il più noto è probabilmente iCTF, che ha subito alcune modifiche alle regole negli ultimi anni. Questo gioco è anche limitato a un certo periodo di tempo. I concorrenti sono in genere dotati di una macchina virtuale che devono connettersi a una VPN. Il tuo compito è analizzare la macchina presentata, trovare bug di sicurezza, correggerli e sfruttare i bug su altre macchine nella tua VPN. Le "bandiere" sono memorizzate e recuperate da un server di gioco centrale che controlla la disponibilità di una squadra e se i flag precedentemente memorizzati non sono stati rubati.

  • iCTF (in genere a dicembre)
  • CIPHER CTF (sarà rinnovato dai nuovi organizzatori quest'anno)
  • RuCTF e RuCTFe (un CTF russo e la sua versione internazionale)

Altre

Ci sono anche un sacco di macchine virtuali scaricabili disponibili per giocare offline, che è una specie di mix tra 3) e 2) suppongo.

Modifica

tag

Ho appena scoperto un quinto tipo di gioco che non ho visto da nessun'altra parte. Tutte le squadre si sfidano durante diversi round e ogni round è una partita tra due squadre. Fase 1: Entrambe le squadre si radicano su un sistema Linux e cercano di nascondere il maggior numero possibile di back-door entro 15 minuti. Dopo questi 15 minuti, i team scambiano i PC e cercano di scoprire e rimuovere il maggior numero di back-door possibile (anche con accesso root). Nella terza fase, ogni squadra riavvia il server (senza accesso alla root) e dovrebbe sfruttare tutte le back-door per ottenere di nuovo l'accesso come root. I back-back sfruttabili da remoto ottengono punti bonus:)

Sembra che giochi come questo siano stati eseguiti durante le Convenzioni Linux LinuxTag in Germania negli ultimi anni.

Lo scenario è spiegato in modo più dettagliato qui (solo tedesco!)

/ Modifica

Spero che questo post non sia diventato troppo confuso a causa della sua lunghezza;)

Elenco non ordinato di elenchi di concorsi di hacker:

risposta data 20.09.2012 - 12:01
fonte
11

Mi sono divertito molto: link

Dal loro sito:

  1. Nebulosa - Nebulosa copre una serie di sfide semplici e intermedie che riguardano l'escalation dei privilegi di Linux, problemi di linguaggio di scripting comuni e condizioni di razza del file system.
  2. Protostar - Protostar introduce problemi di corruzione della memoria di base come overflow del buffer, stringhe di formato e sfruttamento dell'heap in un sistema Linux "vecchio stile" che non ha alcuna forma di moderno sistema di mitigazione degli exploit abilitato.
  3. Fusion - Fusion continua il danneggiamento della memoria, le stringhe di formato e lo sfruttamento dell'heap ma questa volta si concentra su scenari più avanzati e sistemi di protezione moderni.
risposta data 17.01.2012 - 16:54
fonte
8

Puoi cercare la parola chiave " war games " se desideri " puzzle " come quelli di OverTheWire.org .

Ecco un elenco di alcuni altri siti di sfida:

Sfortunatamente, non conosco altre competizioni di alto profilo di quelle che hai già menzionato.

A proposito, penso che questa domanda si adatterebbe con uno wiki della comunità .

    
risposta data 06.05.2011 - 00:30
fonte
8

iCTF: link
DC3 (continua ora): link
NetWars SANS: link

Ci sono anche molte competizioni CTF di sicurezza in occasione di grandi conferenze come Shmoocon, DEFCON, ecc. Consiglierei di andare ad alcuni svantaggi per maggiori informazioni.

Dipende molto dall'obiettivo finale che vuoi, sia CTF, forensics, live response, ecc.

    
risposta data 06.05.2011 - 01:46
fonte
4

Il link è un buon sito per conoscere l'imminente cattura degli eventi della bandiera, inoltre ha una classifica e recensioni eccezionali.

    
risposta data 22.07.2013 - 21:28
fonte
4

Non può essere più fantastico di quello.

    
risposta data 23.11.2013 - 12:48
fonte
2

Questa non è una spina spudorata perché non sono coinvolto in questo podcast, ma ascolto l'isdpodcast della scorsa settimana con Ed Skoudis. Non ricordo la data esatta ma pensate che fosse martedì o mercoledì. Ed parla molto delle varie sfide e cose del CTF.

    
risposta data 08.05.2011 - 02:31
fonte
2

Ho creato una wiki che descrive molte diverse competizioni, con descrizioni e link a resoconti e alcune risorse per principianti. Guardalo lì: link

    
risposta data 06.10.2012 - 00:42
fonte
1

Esiste anche Spider Challenge da Spider.io (Web hacking).

L'obiettivo:

We’ve hidden fourteen codes in and around challenge.spider.io. With each code that you find, we’ll give you a clue to help you find the next code. As soon as you sign in to the challenge, the clock starts ticking. It’s a race against time. It’s a race against other hackers. Best of luck!

Hai bisogno dell'account Twitter per partecipare.

    
risposta data 16.01.2012 - 11:17
fonte
0

Ed Skoudis ha una bella collezione di test di penetrazione / prove forensi qui: link

    
risposta data 26.07.2012 - 14:34
fonte
0

Hack in the Box (HITB) Cattura la bandiera link

Una competizione annuale di hacking durante HITBSecConf

    
risposta data 04.10.2012 - 02:49
fonte
0

Enigmagroup ha alcune interessanti sfide di hacking ... Alcune inversioni [sfide binarie elfiche e inversione di finestre], captcha cracking, sfide realistiche, stenografia, crittografia e altre solite cose come xss, javascript e così via.

    
risposta data 22.11.2012 - 16:34
fonte
0

Questa è una recente competizione di hacking e ancora in corso: www.hackimind.com

Informazioni sulla competizione:

A file (published on Nov 30th 2012) has been encoded and the decoding key will be made public on March 17th 2013 – end date for the competition.

Your challenge is to decode the file without its key.

In order to claim the prize, submit the decrypted file into the Innovation Exchange platform.

During the course of the competition this site will be used to share hints with all participants.

    
risposta data 01.03.2013 - 02:49
fonte
0

0x41414141.com è buono ... quando finisci ti viene chiesto il tuo curriculum.

    
risposta data 22.07.2013 - 22:19
fonte

Leggi altre domande sui tag