Capture the Flagターゲットとゲーム管理システムの設計
私はいくつかのCTFコンテストに参加しましたが、学生向けにCTFシステムを実装したいと考えています。私はそのようなシステムの設計についてグーグルに尋ねましたが、それは無益です。何か案は?
This.joshで述べたように、これで既存の脆弱なアプリケーションを複数見ることができます question または、既存のCTFソースコードを見つけようとするかもしれません-たとえば、 OWASPハッカデミックチャレンジを見てください) 。あなたはこれらのうちの1つを取り、学生のために少し修正するかもしれません。また、過去のCTFの作者に連絡してみてください-彼らはソースコードを提供することであなたを助けるかもしれません。これは便利な さまざまなCTFチャレンジのカレンダー と適切なリンクです。
私はかつて、OS VM Metasploitableと呼ばれるマシンに遭遇しました。これはMetasploitの作成者によって作成され、練習用のターゲットマシンとして使用されます。
それは、そしてこれはページからの引用です:
VMWare 6.5イメージへのUbuntu 8.04サーバーのインストール。脆弱なパッケージが多数含まれています。これには、Tomcat 5.5(弱い資格情報を使用)、distcc、tikiwiki、> twiki、および古いmysqlのインストールが含まれます。
自分でいくつかのエクスプロイトを行った場合、これらのタスクを生徒に割り当てて、いくつかのガイドラインを与えることができます。
ここにリンクがあります:
そしてmetasploitフレームワークへのリンク
最後に重要なことですが、Backtrack 5は、生徒にこのOSとペンテストソフトウェアのコンパイルを紹介していない場合は、次のようになります。
最初から意図的な脆弱性を含む新しいデモシステムを作成する代わりに、まず既存の脆弱性を見てください。
GoogleのGruyereコードラボ、「Web Application Exploits and Defenses」 http://google-gruyere.appspot.com/
OWASPのWebGoat: https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
以前のCTFイベントの主催者はこちら。
まず、簡単なスコアボードシステムを書き留めてから、urイベントで使用するカテゴリの数とカテゴリを決定します。この写真を見ると https://p.twimg.com/Ad_ncp0CAAE7L_I.jpg:large <codebits.euで組織した最後のCTFは、それぞれ4つの要素を持つ10チームのイベントでした。
4つのカテゴリがありました。
- ウェブアプリ
- 法医学
- Pwnables
- トリビア
CTFの課題の例をご覧になりたい場合は、提供できるWebサイトのリストを用意しています。
-http://balgan.eu/?page_id = 67 <<(My Website)
-http://hackerschool.org/DefconCTF/17/B300.html
-http://nopsr.us/
-http://leetmore.ctf.su/hack-lu-2010/
-http://www.routards.org/2010/06/defcon-17-quals-forensics-300.html
-http://www.vnsecurity.net/2010/05/defcon-18-quals-writeups-collection/
-http://www.vnsecurity.net/c/capture-the-flag/
お役に立てれば幸いです。サポートが必要な場合は、お気軽に質問してください。
CTFのゲーム内管理システムがまだ必要な場合は、私の研究チームが独自のスコアボードを作成しました。スコアボードは、世界中に公開されています http://www.ptcoresec.eu/?p=347
あなたは、UCSBの人々によって運営されている International Capture The Flag を見てみてください。