前枠
LTで,CTFについて布教(するほどでもないかもしれないが)するつもりなので,原稿的なものを投稿しようと思います.
間違っている部分もあるかと思いますので,指摘・コメントいただけるとありがたいです.
CTFを知ったきっかけ
https://kinako-mochimochi.hatenablog.com/entry/2019/02/20/131937
こちらの記事を読ませていただき,興味を持ち,問題に取り組んでいます.
あなたがCTFに取り組むまで
- CTFってなに
- どんなコンテストがあるの
- どんな出題分野があるの
- 何から取り組めばいいのか
→CTFがやりたくなる(ようなLTを目指す)
CTFってなに
「Capture The Flag」の略称.
与えられた問題を解いたり,与えられたデータから,答えとなる ”Flag” を導き出します.
暗号が与えられてそれを解いたり,ハッシュ化されたデータを元に戻したり.パケットキャプチャデータから掘り出したり…
個人的には,「謎解きゲーム」のような面白さ・魅力を感じます.
「攻防戦形式」という「取ってきたFlagを,他のプレイヤーから守るために防御を固める」という形式や,「クイズ形式」なるものもあるらしいですが,詳しいことがまだわからないので,説明はしません….
どんな出題分野があるの
まだCTFそのものが理解できてないので, CpawCTFの分け方を引用させていただきます.
- Web
- Crypto
- Reversing
- Pwn
- Forensic
- Network
- PPC
- Steganography
- Recon
- Trivia
- Misc(その他)
Web
Webの脆弱性をついてFlagを手に入れます.
XSS:クロスサイトスクリプティング,SQLi:SQLインジェクションを利用したり,HTTPヘッダーを覗きに行ったりしてFlagを手に入れます.
Webへの攻撃方法=防御方法を学べます.
Crypto
暗号を解いてFlagを手に入れます.アルゴリズムが脆弱な暗号などが題材になるようです.
実用的に実装することができない暗号技術と,その理由が学べます.
Reversing
binaryファイルを実行することでFlagを手に入れます.まずはどのように実行できるのかを調べます.
Pwn
プログラムを解析し,脆弱性をついて,Flagを手に入れます.
深い知識が必要となる分野であり.初心者には敷居が高いことが多いようです.
Forensic
ゴミ箱データや大量のデータを探索して,Flagを掘り出します.
Network
通信データを解析したり,特定のターゲットへの通信によりFlagを手に入れます.
ネットワークに関する解析の技術について学ぶことができます.
PPC
Flagを手に入れる手順は明示されており,実装できるプログラミング力があればFlagが手に入るようです.
競技プログラミングのようなものみたいです.
Steganography
音声データや画像データを解析してFlagを見つけ出します.
データの性質上,ユニークな問題が多いようです.一問取り組んだことがありますが,謎解きゲームのような印象があり,ワクワクしながら問題を解いた覚えがあります.
Recon
特定の人物の情報を収集してFlagを手に入れます.
Flagにたどり着くには,SNSからの情報収集が必要になるため,SNSでの情報の取り扱いについて学ぶことができます.
Trivia
クイズを解くそうです.うまくググる能力が求められそうです.
どんなコンテストがあるの
世界的なものだと DEFCONがあり,日本で開催されるものだとSECCONが大規模なようです.
何から取り組めばいいの
常設されているCTFや,本などで雰囲気を知るのがいいと思います.
私は現在,一つ目のCpawCTFに取り組んでいます.
- CpawCTF
- ksnctf(私は未経験です)
- セキュリティコンテストチャレンジブック -CTFで学ぼう! 情報を守るための戦い方-(私は未経験です)
他にもあるようなので,自分が参加しやすい・取り組みやすいものを探してみるのがいいかもしれません.
後枠
謎解きが好きな方は私と同じく,じわじわとハマっていくと思いますので,一緒に取り組んでみましょう.