it-swarm-pt.tech

Que competições / desafios de "hacking" existem?

Sempre gostei de tentar obter acesso a coisas com as quais não devo brincar. Eu encontrei hackear este site há muito tempo e aprendi muito com ele. O problema que tenho com o HTS é que eles não atualizam seu conteúdo há muito tempo e os desafios são muito semelhantes. Não tenho mais 13 anos e quero desafios maiores e mais complexos.

Eu estava pensando em desafios como Cyber ​​Security Challenge e S Cyber ​​Challenge ( @ sjp escreveu sobre eles no meta)

Além disso, existem grandes competições de engenharia social além da de Def Con ?

Lista atual:

Jogos de guerra:

  • Over The Wire Eles têm muitos pequenos desafios de hackers, como: analisar o código, simples TCP, quebra de criptografia).
  • We Chall We Chall é semelhante ao Over The Wire. Muitos desafios. Eles também têm uma grande lista de outros sites com desafios semelhantes.
  • Smash The Stack
  • spider.io

Transferências:

Competições:

CRT:

Outra lista como esta:

Outros sites interessantes:


Por favor, ajude-me a adicionar mais à lista.

139
KilledKenny

Não sei uma boa referência para apontar para uma leitura mais aprofundada. Assim, tentarei listar alguns desperdiçadores de tempo de que gosto pessoalmente.

A seguir, permitirei diferenciar os vários estilos de competições de hackers. Não sei se essa é uma abordagem canônica, mas provavelmente ajudará a explicar as diferenças entre as que conheço:

Jogos de guerra

Esses jogos ocorrem em determinado servidor, onde você começa com um login ssh e tenta explorar os binários setuid para obter permissões mais altas. Esses jogos geralmente estão disponíveis 24/7 e você pode participar quando quiser.

Competições baseadas em desafios

Esses jogos apresentam várias tarefas que você pode resolver separadamente. Os desafios variam principalmente de exploração, CrackMes, criptografia, forense, segurança na web e muito mais. Esses jogos geralmente são limitados a alguns dias e o time com mais tarefas resolvidas é anunciado o vencedor. Vou listar o meu favorito, pois estou bastante convencido de que você encontrará facilmente mais deles. Alguns dos listados acabaram de acontecer e outros ocorrerão nos meses seguintes.

Capturar a bandeira

Isso realmente exige que você capture e proteja "sinalizadores". O mais conhecido é provavelmente o iCTF, que sofreu algumas alterações de regras nos últimos anos. Este jogo também é limitado a um determinado período de tempo. Os participantes normalmente estão equipados com uma máquina virtual para conectar a uma VPN. Sua tarefa é analisar a máquina apresentada, encontrar bugs de segurança, corrigi-los e explorar os bugs em outras máquinas da sua VPN. As "bandeiras" são armazenadas e recuperadas por um servidor de jogo central que verifica a disponibilidade de uma equipe e se as bandeiras armazenadas anteriormente não foram roubadas.

  • iCTF (normalmente em dezembro)
  • CIPHER CTF (será renovado por novos organizadores este ano)
  • RuCTF e RuCTFe (um CTF russo e sua versão internacional)

De outros

Também há várias máquinas virtuais disponíveis para download disponíveis para jogar offline, o que é algum tipo de mistura entre 3) e 2), suponho.

Editar:

Tag

Acabei de encontrar um quinto tipo de jogo que nunca vi em nenhum outro lugar. Todas as equipes competem entre si durante várias rodadas e cada rodada é uma partida entre duas equipes. Fase 1: Ambas as equipes se enraízam em um sistema Linux e tentam ocultar o máximo de portas traseiras em 15 minutos possível. Após esses 15 minutos, as equipes trocam PCs e tentam descobrir e remover o maior número possível de portas traseiras (também com acesso root). Na terceira fase, cada equipe recupera seu servidor (sem acesso root) e deve explorar o número de portas traseiras para obter acesso root novamente. As portas traseiras exploráveis ​​remotamente ganham pontos de bônus :)

Parece que jogos como esse foram realizados durante as LinuxTag Convenções de Linux na Alemanha nos últimos anos.

O cenário é explicado mais detalhadamente aqui (somente em alemão!)

/Editar

Espero que este post não tenha se tornado muito confuso devido ao seu comprimento;)

Lista não ordenada de listas de competições de hackers:

50
freddyb

Estou gostando muito: http://exploit-exercises.com/

Do site deles:

  1. Nebulosa - Nebulosa abrange uma variedade de desafios simples e intermediários que abrangem a escalação de privilégios do Linux, problemas comuns de linguagem de script e condições de corrida do sistema de arquivos.
  2. Protostar - O Protostar apresenta problemas básicos de corrupção de memória, como estouros de buffer, seqüências de formato e exploração de heap no sistema Linux "antigo" que não possui nenhuma forma dos modernos sistemas de mitigação de exploração ativados.
  3. Fusion - O Fusion continua a corrupção de memória, seqüências de formato e exploração de heap, mas desta vez focando em cenários mais avançados e modernos sistemas de proteção.
11
mandreko

Você pode procurar por " jogos de guerra " palavra-chave se desejar " quebra-cabeças" como as de OverTheWire.org .

Aqui está uma lista de outros sites de desafio:

Infelizmente, não conheço outras competições de alto nível além daquelas que você já mencionou.

A propósito, acho que essa pergunta se encaixaria no status community wiki.

8
Karol J. Piczak

iCTF: http://ictf.cs.ucsb.edu/
DC3 (em andamento no momento): http://www.dc3.mil/challenge/
NetWars SANS: http://www.sans.org/netwars/

Também existem muitas competições de segurança CTF em grandes conferências como Shmoocon, DEFCON, etc. Eu recomendaria alguns contras para obter mais informações.

Realmente depende de qual objetivo final você deseja, CTF, forense, resposta ao vivo etc.

8
mrnap

Não pode ser mais impressionante do que isso.

4
Ajith

http://ctftime.org/ é um bom site para saber sobre os próximos eventos de captura e sinalização, além de possuir um ranking e análises excelentes.

4
DaniloNC

Este não é um plug vergonhoso, porque não estou envolvido com este podcast, mas ouço o isdpodcast da semana passada com Ed Skoudis. Não se lembre da data exata, mas pense que era terça ou quarta-feira. Ed fala muito sobre vários desafios e coisas do CTF.

2
getahobby

Eu criei um wiki detalhando muitas competições diferentes, com descrições e links para artigos e alguns recursos para iniciantes. Veja lá: http://ctf.forgottensec.com

2
Forgotten

Há também o Desafio Spider do Spider.io (hackers na Web).

O objetivo:

Escondemos catorze códigos dentro e fora de challenge.spider.io. A cada código encontrado, forneceremos uma pista para ajudá-lo a encontrar o próximo código. Assim que você entra no desafio, o relógio começa a contar. É uma corrida contra o tempo. É uma corrida contra outros hackers. Boa sorte!

Você precisa da conta do Twitter para participar.

1
thane

Ed Skoudis tem uma boa coleção de testes de penetração/desafios forenses aqui: http://www.counterhack.net/Counter_Hack/Challenges.html

0
mzet

Enigmagroup tem alguns desafios interessantes de hackers ... Alguns reversos [desafios binários dos elfos e janelas], captcha cracking, desafios realistas, estenografia, criptografia e outras coisas comuns, como xss, javascript e outros em.

0
kiran

Hack in the Box (HITB) Capturar a bandeira http://conference.hitb.org/hitbsecconf2012kul/event/capture-the-flag/

Uma competição anual de hackers durante o HITBSecConf

0
d3t0n4t0r

x41414141.com é bom ... quando você terminar, será solicitado seu currículo.

0
Dave

Esta é uma competição recente de hackers e ainda está em execução: www.hackimind.com

Sobre a competição:

Um arquivo (publicado em 30 de novembro de 2012) foi codificado e a chave de decodificação será tornada pública em 17 de março de 2013 - data de término da competição.

Seu desafio é decodificar o arquivo sem a chave.

Para reivindicar o prêmio, envie o arquivo descriptografado para a plataforma Innovation Exchange.

Durante o curso da competição, este site será usado para compartilhar dicas com todos os participantes.

0
user21331