SlideShare a Scribd company logo

自作CTFについて考えてみる

Download as ODP, PDF
nomuken
nomuken

某所で発表した時のアレ,初めて作った.

Technology
1 of 18
自作CTFを考えてみる Nomuken - @nomuken
Agenda ● 自己紹介 ● CTFって? ● よっしゃ作るべ ● プレイをしてもらって
お前誰だよ! ごもっともです.
自己紹介 - @nomuken ● C 科に所属 →実はI科とも馴染が深い? →I科の演習サーバーの保守とか管理を細々してます ● 好きなもの →ArchLinux(一応vim教信者) ● 技術力 →コン基礎I(プログラミングの初歩の初歩,必修)落とし ました 技 術 力 技 術 力 isis し 無 し 無
……なので今日は 簡単なお話です.ご安心ください
CTFとは? ● Capture The Flag の略 ● セキュリティがメインの一種の競技 ● 侵入,解析,防衛等がメイン ● 侵入を行ったサーバー内,解析した結果,からflagが手に入る ● 防衛は本戦でのみ(予選参加者分の鯖を立てるのは無理な話)
……つまり ハッキングを楽しむ競技 ……( で良いのだろうか?)
対象となるジャンル(知識) ● 非常に多岐にわたっていて常人じゃ無理 リバースエンジニアリング,Forensics(解析),Pwnable(脆弱性攻撃), Web(XSSやSQLインジェクション),Network(パケット解析), Miscellaneous(その他) - Wikipediaより ● なので,基本的にチーム戦として行う
有名なCTF ● SECCON(本戦は本学で実施) 日本各地で予選が開催され,選ばれたチームが本戦に出 場. 本戦は本学のホールにて開催される. (どうやらLANケーブル等は私の職場から貸出しているらしいです) ● DEFCON(本戦は米国にて開催) 世界中から世界の怖い人が集合するマジ怖い. 問題も非常に難問ばかり,これどうやって解くんですか が多い.
CTFの有用性 ● 勉強に非常に向いている →確実に面白い,必要なことを調べあげ,使う力の育成 になる ● 管理する自分の方も知識がつく ……→しかし,どこで使えるやら
デメリット ● 作る側の負担がすごい →サーバー管理に非常に注意する事になる. →予期しない攻撃でサービス停止の危機 ● 作る側のスキルがそれなりに必要 →知らないと作れない
ともあれ,作りました. ● mlabCTF-xxxx is secure?:nomukenのパスワードを盗め →ちょうど勉強していたJava(Tomcat)で作成. →実際に使われているシステムの脆弱性を皆に周知する目 的で制作.
その2 ● mlabCTF-forget:見つけられる? →別業務でphp書いていたらすごく楽に出来たのでそちら で制作 →パスワードリセットをイメージ
その3 ● mlabCTF-treasure:Where is flag? →sshを使ったCTF →セキュリティよりもLinuxを使うということに主眼を置 いている.
問題のジャンル ● Dendai is secure? パケット解析 ● Forget SQLインジェクション,(ちょっと解析?) ● Where is flag? Linuxの使い方
外部のCTFと比較すると くっっっっそ簡単 (練習問題にすらなれないレベル)
プレイしてもらって ● 確実に効果はあった →作るときにここは気をつけようという話はよく聞く →興味をもつ一歩にもなったのでは? ● 作る側の知識向上 →そこ以外がセキュリティホールにならないよう作った →自分も知識定着につながった
……というわけで 皆さん問題作って僕に解かせてください (圧倒的ネタ不足) …... any question?

Recommended

CTFというハッカーイベント+α
CTFというハッカーイベント+αCTFというハッカーイベント+α
CTFというハッカーイベント+α
Yuichi Nagayama
 
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
 
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催についてSECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
 
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…
Hiromu Yakura
 
CTF初心者🔰
CTF初心者🔰CTF初心者🔰
CTF初心者🔰
icchy
 
OSC Kyoto CTF Seminar
OSC Kyoto CTF SeminarOSC Kyoto CTF Seminar
OSC Kyoto CTF Seminar
pinksawtooth
 
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリングctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
 
CTFとは
CTFとはCTFとは
CTFとは
Hiromu Yakura
 

Recommended

CTFというハッカーイベント+α
CTFというハッカーイベント+αCTFというハッカーイベント+α
CTFというハッカーイベント+α
Yuichi Nagayama
 
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
 
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催についてSECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
 
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…
Hiromu Yakura
 
CTF初心者🔰
CTF初心者🔰CTF初心者🔰
CTF初心者🔰
icchy
 
OSC Kyoto CTF Seminar
OSC Kyoto CTF SeminarOSC Kyoto CTF Seminar
OSC Kyoto CTF Seminar
pinksawtooth
 
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリングctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
 
CTFとは
CTFとはCTFとは
CTFとは
Hiromu Yakura
 
CTF(Capture the Flag)って何?
CTF(Capture the Flag)って何?CTF(Capture the Flag)って何?
CTF(Capture the Flag)って何?
Kenji Aiko
 
CTFの布教
CTFの布教CTFの布教
CTFの布教
FPC_COMMUNITY
 
Kosenconf sendai2
Kosenconf sendai2Kosenconf sendai2
Kosenconf sendai2
Yutaka Watanabe
 
TRY CTF
TRY CTFTRY CTF
TRY CTF
Yuya Masumura
 
ipu LT - Introduction of CTF
ipu LT - Introduction of CTFipu LT - Introduction of CTF
ipu LT - Introduction of CTF
Tsubasa Umeuchi
 
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
 
私立プログラミングキャンプ
私立プログラミングキャンプ私立プログラミングキャンプ
私立プログラミングキャンプ
qqww77
 
猫にはわかる暗号技術 1
猫にはわかる暗号技術 1猫にはわかる暗号技術 1
猫にはわかる暗号技術 1
Yu Ogawa
 
R04 Security I I
R04 Security I IR04 Security I I
R04 Security I I
Chiemi Watanabe
 
PHP初心者、がんばる。
PHP初心者、がんばる。PHP初心者、がんばる。
PHP初心者、がんばる。
forisel
 
Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)
f kasasagi
 
mlabCTFの話
mlabCTFの話mlabCTFの話
mlabCTFの話
nomuken
 
Dendai is Secure?
Dendai is Secure?Dendai is Secure?
Dendai is Secure?
nomuken
 
コンピュータフォレンジックにちょっとだけ触れてみる
コンピュータフォレンジックにちょっとだけ触れてみるコンピュータフォレンジックにちょっとだけ触れてみる
コンピュータフォレンジックにちょっとだけ触れてみる
infinite_loop
 
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
inaz2
 
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
スコアサーバーに起きた脆弱性で学ぶWebセキュリティスコアサーバーに起きた脆弱性で学ぶWebセキュリティ
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
nomuken
 
CTFトラックの報告的なもの(公開版)
CTFトラックの報告的なもの(公開版)CTFトラックの報告的なもの(公開版)
CTFトラックの報告的なもの(公開版)
nomuken
 
Unity上でMMDを動かしてみた
Unity上でMMDを動かしてみたUnity上でMMDを動かしてみた
Unity上でMMDを動かしてみた
infinite_loop
 
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
 
Ry pyconjp2015 karaoke
Ry pyconjp2015 karaokeRy pyconjp2015 karaoke
Ry pyconjp2015 karaoke
Renyuan Lyu
 
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
SaitoTsutomu
 
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
cocodrips
 

More Related Content

What's hot

PHP初心者、がんばる。
PHP初心者、がんばる。PHP初心者、がんばる。
PHP初心者、がんばる。
forisel
 

What's hot (10)

CTF(Capture the Flag)って何?
CTF(Capture the Flag)って何?CTF(Capture the Flag)って何?
CTF(Capture the Flag)って何?
 
CTFの布教
CTFの布教CTFの布教
CTFの布教
 
Kosenconf sendai2
Kosenconf sendai2Kosenconf sendai2
Kosenconf sendai2
 
TRY CTF
TRY CTFTRY CTF
TRY CTF
 
ipu LT - Introduction of CTF
ipu LT - Introduction of CTFipu LT - Introduction of CTF
ipu LT - Introduction of CTF
 
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
 
私立プログラミングキャンプ
私立プログラミングキャンプ私立プログラミングキャンプ
私立プログラミングキャンプ
 
猫にはわかる暗号技術 1
猫にはわかる暗号技術 1猫にはわかる暗号技術 1
猫にはわかる暗号技術 1
 
R04 Security I I
R04 Security I IR04 Security I I
R04 Security I I
 
PHP初心者、がんばる。
PHP初心者、がんばる。PHP初心者、がんばる。
PHP初心者、がんばる。
 

Viewers also liked

Viewers also liked (15)

Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)
 
mlabCTFの話
mlabCTFの話mlabCTFの話
mlabCTFの話
 
Dendai is Secure?
Dendai is Secure?Dendai is Secure?
Dendai is Secure?
 
コンピュータフォレンジックにちょっとだけ触れてみる
コンピュータフォレンジックにちょっとだけ触れてみるコンピュータフォレンジックにちょっとだけ触れてみる
コンピュータフォレンジックにちょっとだけ触れてみる
 
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja)
 
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
スコアサーバーに起きた脆弱性で学ぶWebセキュリティスコアサーバーに起きた脆弱性で学ぶWebセキュリティ
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
 
CTFトラックの報告的なもの(公開版)
CTFトラックの報告的なもの(公開版)CTFトラックの報告的なもの(公開版)
CTFトラックの報告的なもの(公開版)
 
Unity上でMMDを動かしてみた
Unity上でMMDを動かしてみたUnity上でMMDを動かしてみた
Unity上でMMDを動かしてみた
 
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
 
Ry pyconjp2015 karaoke
Ry pyconjp2015 karaokeRy pyconjp2015 karaoke
Ry pyconjp2015 karaoke
 
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
 
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
 
本当は怖いデータ復元
本当は怖いデータ復元本当は怖いデータ復元
本当は怖いデータ復元
 
日本のオープンデータプラットフォームをPythonでつくる
日本のオープンデータプラットフォームをPythonでつくる日本のオープンデータプラットフォームをPythonでつくる
日本のオープンデータプラットフォームをPythonでつくる
 
CTFの話 - coinsLT #10
CTFの話 - coinsLT #10CTFの話 - coinsLT #10
CTFの話 - coinsLT #10
 

Similar to 自作CTFについて考えてみる

CTFに参加してきました。
CTFに参加してきました。CTFに参加してきました。
CTFに参加してきました。
kuro kuro
 
Kobe sec#8 summary
Kobe sec#8 summaryKobe sec#8 summary
Kobe sec#8 summary
Yukio NAGAO
 

Similar to 自作CTFについて考えてみる (6)

ret2libcとpopretで初等的BOF攻撃
ret2libcとpopretで初等的BOF攻撃ret2libcとpopretで初等的BOF攻撃
ret2libcとpopretで初等的BOF攻撃
 
CTFに参加してきました。
CTFに参加してきました。CTFに参加してきました。
CTFに参加してきました。
 
KOGEI & KAIT Funnel WS
KOGEI & KAIT Funnel WSKOGEI & KAIT Funnel WS
KOGEI & KAIT Funnel WS
 
linuxで動画キャプチャ。 - 第4回つくらぐ勉強会
linuxで動画キャプチャ。 - 第4回つくらぐ勉強会linuxで動画キャプチャ。 - 第4回つくらぐ勉強会
linuxで動画キャプチャ。 - 第4回つくらぐ勉強会
 
関西インフラ勉強会 スライド
関西インフラ勉強会 スライド関西インフラ勉強会 スライド
関西インフラ勉強会 スライド
 
Kobe sec#8 summary
Kobe sec#8 summaryKobe sec#8 summary
Kobe sec#8 summary
 

Recently uploaded

Recently uploaded (7)

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 

自作CTFについて考えてみる