web-dev-qa-db-fra.com

Quels sont les concours / défis de "piratage"?

J'ai toujours aimé essayer d'accéder à des choses avec lesquelles je ne suis pas vraiment censé jouer. J'ai trouvé Hack This Site il y a longtemps et j'en ai beaucoup appris. Le problème que j'ai avec HTS, c'est qu'ils n'ont pas mis à jour leur contenu depuis très longtemps et les défis sont très similaires. Je n'ai plus 13 ans et je veux des défis plus grands et plus complexes.

Je pensais à des défis comme Cyber ​​Security Challenge et S Cyber ​​Challenge ( @ sjp a écrit à ce sujet sur le méta)

Y a-t-il également de grandes compétitions d'ingénierie sociale en plus de celle de Def Con ?

Liste actuelle:

Jeux de guerre:

  • Over The Wire Ils ont beaucoup de petits défis de piratage comme: analyser le code, simple TCP, crypto cracking.
  • We Chall We Chall est similaire à Over The Wire. Beaucoup de défis. Ils ont également une grande liste d'autres sites avec des défis similaires.
  • Écraser la pile
  • spider.io

Téléchargements:

Compétitions:

CRT:

Autre liste comme celle-ci:

Autres sites intéressants:


Aidez-moi à ajouter plus à la liste.

139
KilledKenny

Je ne connais pas une bonne référence à indiquer pour une lecture plus approfondie. Je vais donc essayer d'énumérer quelques pertes de temps que j'aime personnellement.

Dans ce qui suit, je me permettrai de faire la différence entre les différents styles de compétitions de piratage. Je ne sais pas s'il s'agit d'une approche canonique, mais cela aidera probablement à expliquer les différences entre celles que je connais:

Jeux de guerre

Ces jeux ont lieu sur un serveur donné, où vous commencez avec une connexion ssh et essayez d'exploiter les binaires setuid pour obtenir des autorisations plus élevées. Ces jeux sont généralement disponibles 24h/24 et 7j/7 et vous pouvez les rejoindre quand vous le souhaitez.

Compétitions basées sur des défis

Ces jeux vous présenteront de nombreuses tâches que vous pouvez résoudre séparément. Les défis varient principalement de l'exploitation, CrackMes, crypto, médico-légale, sécurité Web et plus encore. Ces jeux sont généralement limités à quelques jours et l'équipe avec le plus de tâches résolues est annoncée gagnante. Je vais énumérer mes préférées, car je suis assez convaincue que vous en trouverez facilement plus. Certaines des activités énumérées viennent d'avoir lieu et d'autres auront lieu dans les mois suivants.

Capturer le drapeau

Ceux-ci nécessitent en fait que vous capturiez et protégez "drapeaux". Le plus connu est probablement l'iCTF, qui a subi quelques changements de règles au cours des dernières années. Ce jeu est également limité à un certain laps de temps. Les candidats sont généralement équipés d'une machine virtuelle qu'ils doivent connecter à un VPN. Votre tâche consiste à analyser la machine présentée, à trouver des bogues de sécurité, à les corriger et à exploiter les bogues sur d'autres machines de votre VPN. Les "drapeaux" sont stockés et récupérés par un serveur de jeu central qui vérifie la disponibilité d'une équipe et si les drapeaux précédemment stockés n'ont pas été volés.

  • iCTF (généralement en décembre)
  • CIPHER CTF (sera renouvelé par de nouveaux organisateurs cette année)
  • RuCTF et RuCTFe (un CTF russe et sa version internationale)

Autre

Il y a aussi un tas de machines virtuelles téléchargeables disponibles pour jouer hors ligne, ce qui est une sorte de mélange entre 3) et 2) je suppose.

Modifier:

Étiquette

Je viens de tomber sur un cinquième type de jeu que je n'ai vu nulle part ailleurs. Toutes les équipes s'affrontent pendant plusieurs tours et chaque tour est un match entre deux équipes. Phase 1: Les deux équipes se rootent sur un système Linux et essaient de masquer autant de portes dérobées que possible en 15 minutes. Après ces 15 minutes, les équipes échangent des PC et tentent de découvrir et de supprimer autant de portes dérobées que possible (également avec un accès root). Dans la troisième phase, chaque équipe récupère son serveur (sans accès root) et est censée exploiter autant de portes dérobées pour obtenir à nouveau un accès root. Les portes dérobées exploitables à distance obtiennent des points bonus :)

Il semble que des jeux comme celui-ci aient été réalisés pendant les LinuxTag Conventions Linux en Allemagne ces dernières années.

Le scénario est expliqué plus en détail ici (allemand seulement!)

/Modifier

J'espère que ce post n'est pas devenu trop déroutant en raison de sa longueur;)

Liste non ordonnée des listes de compétitions de piratage:

50
freddyb

J'ai vraiment apprécié: http://exploit-exercises.com/

Depuis leur site:

  1. Nébuleuse - Nébuleuse couvre une variété de défis simples et intermédiaires qui couvrent l'escalade de privilèges Linux, les problèmes courants du langage de script et les conditions de concurrence du système de fichiers.
  2. Protostar - Protostar introduit des problèmes de corruption de mémoire de base tels que les dépassements de tampon, les chaînes de format et l'exploitation de tas sous un système Linux "à l'ancienne" qui n'a aucune forme des systèmes modernes d'atténuation des exploits activés.
  3. Fusion - Fusion continue la corruption de mémoire, les chaînes de format et l'exploitation de tas mais cette fois en se concentrant sur des scénarios plus avancés et des systèmes de protection modernes.
11
mandreko

Vous pouvez rechercher le mot-clé " war games " si vous voulez " puzzles" comme ceux de OverTheWire.org .

Voici une liste d'autres sites de défi:

Malheureusement, je ne connais pas d'autres compétitions de haut niveau que celles que vous avez déjà mentionnées.

Soit dit en passant, je pense que cette question correspondrait à un statut wiki communautaire.

8
Karol J. Piczak

iCTF: http://ictf.cs.ucsb.edu/
DC3 (en cours en ce moment): http://www.dc3.mil/challenge/
NetWars SANS: http://www.sans.org/netwars/

Il y a aussi beaucoup de compétitions de sécurité de la FCE lors de grandes conférences comme Shmoocon, DEFCON, etc. Je recommanderais d'aller à certains inconvénients pour plus d'informations.

Cela dépend vraiment de l'objectif final que vous souhaitez, soit le FCT, la criminalistique, la réponse en direct, etc.

8
mrnap

Ça ne peut pas être plus génial que ça.

4
Ajith

http://ctftime.org/ est un bon site pour connaître les événements à venir de capture du drapeau, il a également un classement et des comptes rendus qui sont excellents.

4
DaniloNC

Ce n'est pas une prise sans vergogne car je ne suis pas du tout impliqué dans ce podcast mais j'écoute l'ispodcast de la semaine dernière avec Ed Skoudis. Je ne me souviens pas de la date exacte mais pensez que c'était mardi ou mercredi. Ed parle beaucoup de divers défis et de trucs de la FCE.

2
getahobby

J'ai créé un wiki détaillant de nombreuses compétitions différentes, avec des descriptions et des liens vers des articles et des ressources pour les débutants. Voyez-le là: http://ctf.forgottensec.com

2
Forgotten

Il y a aussi le Spider Challenge de Spider.io (piratage Web).

Le but:

Nous avons caché quatorze codes dans challenge.spider.io et aux alentours. Avec chaque code que vous trouvez, nous vous donnerons un indice pour vous aider à trouver le code suivant. Dès que vous vous connectez au défi, le chronomètre commence à tourner. C’est une course contre la montre. C'est une course contre d'autres hackers. Bonne chance!

Vous avez besoin d'un compte Twitter pour participer.

1
thane

Ed Skoudis a une belle collection de tests de pénétration/défis médico-légaux ici: http://www.counterhack.net/Counter_Hack/Challenges.html

0
mzet

Enigmagroup a quelques défis de piratage intéressants ... Certains inversions [défis binaires elf ainsi que les fenêtres inversées], craquage captcha, défis réalistes, sténographie, cryptographie et d'autres choses habituelles comme xss, javascript, etc. sur.

0
kiran

Hack in the Box (HITB) Capture The Flag http://conference.hitb.org/hitbsecconf2012kul/event/capture-the-flag/

Un concours de piratage annuel pendant HITBSecConf

0
d3t0n4t0r

x41414141.com est un bon ... lorsque vous avez terminé, on vous demande votre CV.

0
Dave

Il s'agit d'un récent concours de piratage et toujours en cours: www.hackimind.com

À propos du concours:

Un fichier (publié le 30 novembre 2012) a été encodé et la clé de décodage sera rendue publique le 17 mars 2013 - date de fin du concours.

Votre défi est de décoder le fichier sans sa clé.

Pour réclamer le prix, soumettez le fichier décrypté sur la plateforme Innovation Exchange.

Au cours de la compétition, ce site sera utilisé pour partager des conseils avec tous les participants.

0
user21331