Docs

Disponibilizaremos aqui links para materiais (artigos, guias, palestras, etc) e tudo mais que podem ajudá-lo em sua trajetória no Maravilhoso Mundo das Competições Capture the Flag! Eventualmente tentaremos traduzir alguns docs para ajudar quem ainda não tem familiaridade com a língua inglesa.

Por que jogar CTF?

Links Úteis:

A Brief History of CTF – Bela apresentação do psifertex, contando um pouco da história dos CTFs.

CTF Field Guide, por Trail of Bits – “Guia de Campo” que pretende nortear novos players e pessoas que desejam começar a trabalhar com segurança da informação.

CTF CheatSheet, por Rudy “Rryy” Matela – Cheatsheet conciso de comandos que podem ser utilizados para facilitar a vida durante os CTFs.

CTF Resources – estilo nosso /docs, englobando muita coisa sobre CTFs.

Awesome CTF – outra coleção de links bem interessante.

Maximum CTF: Getting the Most Out of Capture the Flag, por Jordan “psifertex” Wiens – Palestra ministrada na DEF CON 17 por um dos maiores contribuidores/entusiastas da cena, o psifertex. É um dos organizadores do Ghost in the Shellcode, o CTF que tem o game Pwn Adventure como uma das atrações principais.

Hacking Games in a Hacked Game: outra palestra do psifertex, juntamente com Rusty Wagner, ministrada na Infiltrate 2015.

On the Battlefield with the Dragons, por Dragon Sector – Palestra ministrada pelo capitão e vice-campeão do Dragon Sector (melhor time de 2014) no evento CONFidence deste mesmo ano. Eles citam diversos exemplos de challenges que já resolveram, o que nos mostra claramente a diversidade e multidisciplinaridade que os CTFs proporcionam.

Pwning (sometimes) with style, por Dragon Sector – Dragons’ notes on CTFs.

MHacks Tinfoil Security Tech Talk: Zero to Zeroday – Palestra introdutória de CTFs ministrada por Shane Wilton. Sem sombra de dúvidas uma das melhores!

USENIX Enigma 2016 – Building a Competitive Hacking Team – Palestra do tylerni7, do PPP (Plaid Parliament of Pwning), falando sobre seu time e o mundo dos CTFs.

USENIX Enigma 2016 – Capture the Flag: An Owner’s Manual – Palestra ministrada por Vito Genovese, um dos organizadores do CTF da DEF CON! Slides e Vídeo.

DEF CON 23 – Machine vs. Machine: Inside DARPA’s Fully Automated CTF – Mais uma palestra do psifertex, explicando o funcionamento da competição automatizada de pwning criada pela DARPA (Defense Advanced Research Projects Agency).

Meet the PPP – Conhecendo um dos melhores times de todos os tempos.

DEF CON in the news: A profile of this year’s CTF champs Plaid Parliament of Pwning!

A DEF CON CTF 2016 OverviewOverview do evento por um membro do PPP, time vencedor de diversas edições.

LiveOverflow Youtube Channel – Muitos vídeos bons e didáticos.

Onde treinar?

wechall – Faz um ranking global utilizando o ranking de todos os outros sites de wargames. Nele você pode ver uma lista completa de sites para treinar.

akictf – Wargame feito pelo akiym, membro do time japonês dodododo. Tem challenges com dificuldade crescente envolvendo diversas categorias.

pwnable.kr – Site com challenges somente de exploitation (nível hard).

pwnable.tw – Semelhante ao pwnable.kr, porém criado pelo pessoal do HITCON/217 (nível hard).

pwnable.xyz – Desafios de pwnable pra quem está iniciante. Iniciativa do time OpenToAll (nível iniciante/intermediário).

reversing.kr – Site com diversos challenges de reversing, sendo a maioria binários do Windows (PE).

challenges.re – Mais reversing.

id0-rsa.pubCrypto challenges.

cryptopals.com Challenges de criptografia feitos pela Matasano.

cryptohack.org – Challenges de criptografia feitos pelo time cr0wn.

eudyptula-challenge.orgChallenges de programming referentes ao kernel do linux.

microcorruption.comChallenges de exploitation.

ringzer0team.com – Outro site com diversos challenges de muitas categorias.

chall.tasteless.euChallenges criados pelo time internacional Tasteless.

root-me.orgChallenges diversos e conta com material de apoio.

TigressChallenges de RE referente ao The Tigress C Diversifier/Obfuscator. Alguns challenges unsolvable.

Stereotyped Challenges – vários challenges web feitos pelo player stypr.

Hack the Box – destaque para os vários challenges que simulam cenários reais de pentest.

CTFs Nacionais?

Hacking n’ Roll (In Memorian) – CTF organizado pelo pessoal do INSERT (Information Security Research Team), do Ceará. Já fizeram 5 edições, sendo a partir da segunda, que ocorreu em 2012, em formato Jeopardy, com duração de 24 horas consecutivas, nos moldes das competições internacionais.

Pwn2Win CTF – Inspirado no Hacking n’ Roll, o time brasileiro Epic Leet Team, formado em 2012 para jogar a segunda edição do HnR, criou seu próprio CTF em 2014, utilizando elementos de CTFs Jeopardy e Attack/Defense. O evento tornou-se internacional a partir da segunda edição, que ocorreu em 2016.

Write-ups?

Uma boa forma de aprender é vendo write-ups de challenges que você tentou mas não conseguiu fazer, ou ainda para ver as diversas soluções para o mesmo desafio. Nos links abaixo você consegue achar write-ups facilmente:

Projeto CTF-BR Repo (pt-BR)

CTFTime Repo

GitHub Repo

Próximo CTF?

Basta acompanhar o CTFTime, site referência no meio, pois ele possui uma área de “Upcoming Events“. Além disso, possui um ranking global com o score dos times durante o ano, sendo que cada CTF, dependendo da dificuldade e outros fatores, possui um peso para definir sua pontuação. A fórmula utilizada para calcular o rating pode ser vista aqui.

Se você está começando, busque jogar nos CTFs com rating baixo, ou High School.