どんな「ハッキング」競争/挑戦が存在しますか？

私はさらに読むために指し示す適切な参照を知りません。したがって、私が個人的に楽しんでいる時間浪費者をいくつか挙げてみます。

以下では、ハッキング競技のさまざまなスタイルを区別できるようにします。これが標準的なアプローチであるかどうかはわかりませんが、おそらく私が知っているアプローチの違いを説明するのに役立ちます。

戦争ゲーム

これらのゲームは特定のサーバーで行われます。サーバーはsshログインから開始し、setuid-binariesを利用してより高い権限を取得しようとします。これらのゲームは通常24時間年中無休で利用でき、いつでも参加できます。

• Over The Wire
• スマッシュザスタック
• 侵入

チャレンジベースのコンテスト

これらのゲームは、個別に解決できる多数のタスクを提示します。課題は主に、悪用、CrackMes、暗号、フォレンジック、Webセキュリティなどから異なります。これらのゲームは通常数日に制限されており、最も多くのタスクが解決されたチームが勝者として発表されます。私はあなたがそれらのより多くを簡単に見つけることができると確信しているので、私のお気に入りをリストします。リストされているもののいくつかはちょうど行われたばかりで、他のものは次の月に行われます。

• Defcon Quals
• Codegate Quals
• CSAW CTF （通常は夏の間）
• Hack.lu CTF 2011 （今年の9月末）および Hack.lu CTF 201
• PlaidCTF

旗を取れ

これらは実際にキャプチャしてprotect「フラグ」を必要とします。最もよく知られているのはおそらくiCTFであり、過去数年の間にいくつかの規則の変更が行われました。このゲームも一定の時間枠に制限されています。参加者は通常、VPNに接続する仮想マシンを備えています。あなたの仕事は、提示されたマシンを分析し、セキュリティバグを見つけてパッチを当て、VPN内の他のマシンのバグを悪用することです。 「フラグ」は、チームの可用性と以前に保存されたフラグが盗まれていないかどうかをチェックする中央のゲームサーバーによって保存および取得されます。

• iCTF （通常は12月）
• CIPHER CTF （今年は新しい主催者によって更新されます）
• RuCTFおよび RuCTFe （ロシアのCTFおよびその国際版）

その他の

オフラインで再生できるダウンロード可能な仮想マシンもたくさんあります。これは3）と2）の間のある種の混合だと思います。

• 脆弱な脆弱なWebアプリケーション
• ダム脆弱なLinux
• Google Jarlsberg

編集：

鬼ごっこ

私は他のどこにも見たことのない5番目のゲームタイプに出会いました。すべてのチームはいくつかのラウンド中に互いに競争し、各ラウンドは2つのチーム間の対戦です。フェーズ1：両方のチームがLinuxシステムに根付き、15分以内にできるだけ多くのバックドアを隠そうとします。これらの15分後、チームはPCを交換し、可能な限り多くのバックドア（ルートアクセスも含む）を検出して削除しようとします。 3番目のフェーズでは、各チームはサーバーを（ルートアクセスなしで）元に戻し、同じ数のバックドアを悪用してルートアクセスを再度取得することになっています。リモートで悪用可能なバックドアはボーナスポイントを獲得します:)

このようなゲームは、ここ数年のドイツでのLinuxTagLinuxコンベンションの間に行われたようです。

シナリオについて詳しく説明します ここ （ドイツ語のみ！）

/編集

この投稿が長すぎるために混乱しすぎないことを願っています;）

ハッキング競技のリストの順不同リスト：

• http://capture.thefl.ag/practice-ctf/ 、 Calendar
• http://www.wechall.net/sites.php
• http://exploit-exercises.com/
• http://www.stumbleupon.com/su/1YNSxi/www.brighthub.com/internet/security-privacy/articles/77093.aspx/

私は本当に楽しんでいます： http://exploit-exercises.com/

彼らのサイトから：

1. Nebula-Nebulaは、Linux特権の昇格、スクリプト言語の一般的な問題、ファイルシステムの競合状態など、さまざまな単純で中間的な課題に対応しています。
2. Protostar-Protostarは、バッファオーバーフロー、フォーマット文字列、フォームのない「古いスタイル」のLinuxシステムでのヒープの活用など、基本的なメモリ破損の問題を引き起こします最新のエクスプロイト緩和システムの有効化。
3. Fusion-Fusionはメモリの破損、フォーマット文字列、ヒープの悪用を続行しますが、今回はより高度なシナリオと最新の保護システムに焦点を当てます。

OverTheWireにあるような「puzzles "」が必要な場合は、「war games」キーワードを検索できます。 org 。

その他のチャレンジサイトのリストは次のとおりです：

• http://www.wechall.net/sites.php

残念ながら、私はあなたがすでに言及したもの以外の注目を集めるコンテストについては知りません。

ちなみに、この質問はcommunity wikiステータスに当てはまると思います。

iCTF： http://ictf.cs.ucsb.edu/
DC3（現在進行中）： http://www.dc3.mil/challenge/
NetWars SANS： http://www.sans.org/netwars/

Shmoocon、DEFCONなどの大規模な会議では、セキュリティCTFのコンテストがたくさんあります。詳細については、いくつかの短所を参照することをお勧めします。

それは本当に、CTF、フォレンジック、ライブレスポンスなど、どのような最終目標が必要かによって異なります。

• Capture.thefl.ag には優れたリソースがあり、
• ライブCTFカレンダー
• リスト オンラインプラクティスCTF /ゲームの数と、以前のCTFの勝者による書き込み。

それ以上のものはありません。

http://ctftime.org/ は、今後のキャプチャフラグイベントについて知るのに適したサイトです。また、ランキングと優れた記事も掲載されています。

私はこのポッドキャストにまったく関わっていないので、これは恥知らずなプラグインではありませんが、この1週間のEd Skoudisとのisdpodcastを聞いてください。正確な日付は覚えていませんが、火曜日または水曜日だったと思います。 Edは、さまざまな課題とCTFについて多く話します。

私はウィキを作成して、さまざまなコンテストの詳細を説明し、記事へのリンクと初心者向けのリソースをいくつか提供しています。そこで見る： http://ctf.forgottensec.com

Spider.io（Webハッキング）の The Spider Challenge もあります。

目標：

challenge.spider.ioとその周辺に14個のコードを隠しました。見つけたコードごとに、次のコードを見つける手掛かりを提供します。チャレンジにサインインするとすぐに、時計が動き始めます。時間との戦いです。他のハッカーとの戦いです。幸運を祈ります！

参加するにはTwitterアカウントが必要です。

Ed Skoudisは、侵入テスト/フォレンジックの課題の素晴らしいコレクションをここに持っています： http://www.counterhack.net/Counter_Hack/Challenges.html

Enigmagroup には、いくつかの興味深いハッキングの課題があります...いくつかの逆転[elfバイナリチャレンジとウィンドウの逆転]、キャプチャクラッキング、現実的な課題、速記、暗号化、およびxss、javascriptなどの他の通常のものオン。

ハックインザボックス（HITB）キャプチャフラグ http://conference.hitb.org/hitbsecconf2012kul/event/capture-the-flag/

HITBSecConf中の毎年のハッキング大会

x41414141.com は良いものです...終了すると、履歴書を求められます。

これは最近のハッキング競争であり、現在も続いています：www.hackimind.com

コンテストについて：

ファイル（2012年11月30日に公開）は暗号化されており、デコードキーは2013年3月17日（コンテストの終了日）に公開されます。

あなたの課題は、キーなしでファイルをデコードすることです。

賞品を請求するには、復号化されたファイルをイノベーションエクスチェンジプラットフォームに送信します。

コンテストの期間中、このサイトはすべての参加者とヒントを共有するために使用されます。