Je ne connais pas de bonne référence à laquelle pointer pour lire davantage. Je vais donc essayer d'énumérer quelques pertes de temps que j'apprécie personnellement.

Dans ce qui suit, je vais me permettre de différencier les différents styles de concours de piratage. Je ne sais pas s'il s'agit d'une approche canonique, mais cela aidera probablement à expliquer les différences entre celles que je connais:

Wargames

Ces jeux se déroulent sur un serveur donné, où vous commencez avec une connexion ssh et essayez d'exploiter setuid-binaries pour obtenir des autorisations plus élevées. Ces jeux sont généralement disponibles 24h / 24 et 7j / 7 et vous pouvez les rejoindre quand vous le souhaitez.

• Over The Wire
• Smash The Stack
• Intrudé

Compétitions basées sur des défis

Ces jeux vous présenteront de nombreuses tâches que vous pouvez résoudre séparément. Les défis varient principalement de l'exploitation, CrackMes, crypto, criminalistique, sécurité Web et plus encore. Ces jeux sont généralement limités à quelques jours et l'équipe avec le plus de tâches résolues est annoncée vainqueur.Je vais lister mes préférés, car je suis convaincu que vous en trouverez facilement plus. Certaines des activités listées viennent d'avoir lieu et d'autres auront lieu dans les mois à venir.

• Defcon Quals
• Codegate Quals
• CSAW CTF (généralement pendant l'été)
• Hack.lu CTF 2011 (fin septembre de cette année) et Hack.lu CTF 2010
• PlaidCTF

Capturez le drapeau

Celles-ci nécessitent en fait que vous capturiez et protégez les "indicateurs". Le plus connu est probablement l'iCTF, qui a subi quelques changements de règles au cours des dernières années. Ce jeu est également limité à un certain laps de temps. Les candidats sont généralement équipés d'une machine virtuelle qu'ils doivent connecter à un VPN. Votre tâche est d'analyser la machine présentée, de trouver les bogues de sécurité, de les corriger et d'exploiter les bogues sur d'autres machines de votre VPN. Les "drapeaux" sont stockés et récupérés par un serveur de jeu central qui vérifie la disponibilité d'une équipe et si les drapeaux précédemment stockés n'ont pas été volés.

• iCTF (généralement dans Décembre)
• CIPHER CTF (sera renouvelé par de nouveaux organisateurs cette année)
• RuCTF et RuCTFe (un CTF russe et sa version internationale)

Autre

Il existe également un tas de machines virtuelles téléchargeables disponibles pour jouer hors ligne, ce qui est une sorte de mélange entre 3) et 2) I Supposons que.

• Damn Vulnerable Web Application
• Damn Vulnerable Linux
• Google Jarlsberg

Edit:

Tag

Je viens de tomber sur un cinquième jeu- tapez que je n'ai vu nulle part ailleurs. Toutes les équipes s'affrontent pendant plusieurs tours et chaque tour est un match entre deux équipes. Phase 1: Les deux équipes se rootent sur un système Linux et essaient de cacher autant de portes dérobées que possible en 15 minutes. Après ces 15 minutes, les équipes échangent des PC et tentent de découvrir et de supprimer autant de portes dérobées que possible (également avec accès root). Dans la troisième phase, chaque équipe récupère son serveur (sans accès root) et est censée exploiter autant de portes dérobées pour obtenir à nouveau un accès root. Les portes dérobées exploitables à distance obtiennent des points bonus :)

Il semble que des jeux comme celui-ci aient été réalisés pendant les LinuxTag Conventions Linux en Allemagne ces dernières années.

Le scénario est expliqué plus en détail ici (en allemand uniquement!)

/ Modifier

J'espère que ce message n'est pas devenu trop déroutant en raison de sa longueur;)

Liste non ordonnée des listes de concours de piratage:

• http://capture.thefl.ag/practice-ctf/, Agenda
• http://www.wechall.net/ sites.php
• http://exploit-exercises.com/
• http://www.stumbleupon.com /su/1YNSxi/www.brighthub.com/internet/security-privacy/articles/77093.aspx/

J'ai vraiment apprécié: http://exploit-exercises.com/

Depuis leur site:

1. Nebula - Nebula couvre une variété de défis simples et intermédiaires qui couvrent l'élévation des privilèges Linux, les problèmes courants de langage de script et les conditions de concurrence du système de fichiers.
2. Protostar - Protostar introduit des problèmes de corruption de mémoire de base tels que les débordements de tampon, les chaînes de format et l'exploitation du tas sous un système Linux «à l'ancienne» sur lequel aucune forme de système d'atténuation des exploits moderne n'est activée.
3. Fusion - Fusion continue la corruption de la mémoire, le formatage des chaînes et l'exploitation du tas, mais cette fois en se concentrant sur des scénarios plus avancés et des systèmes de protection modernes.

Vous pouvez rechercher le mot-clé " jeux de guerre " si vous voulez des " puzzles " tels que ceux sur OverTheWire.org.

Voici une liste d'autres sites de défis:

• http://www.wechall.net/sites.php

Malheureusement, je ne connais pas d'autres compétitions de haut niveau que celles que vous avez déjà mentionnées.

En passant, je pense que cette question conviendrait Statut du wiki de la communauté .

iCTF: http://ictf.cs.ucsb.edu/
DC3 (en cours actuellement): http://www.dc3.mil/challenge/
NetWars SANS: http://www.sans.org/netwars/

Il y a aussi beaucoup de compétitions CTF de sécurité lors de grandes conférences comme Shmoocon , DEFCON, etc. Je recommanderais d'aller à quelques inconvénients pour plus d'informations.

Cela dépend vraiment de l'objectif final que vous voulez, soit CTF, criminalistique, réponse en direct, etc.

• Capture.thefl.ag a d'excellentes ressources,
• Calendrier CTF en direct
• Liste des CTF / Jeux d'entraînement en ligne et des articles rédigés par les gagnants des précédents CTF.

Cela ne peut pas être plus génial que cela.

http://ctftime.org/ est un bon site pour connaître les événements de capture du drapeau à venir, il a également un classement et des comptes-rendus qui sont excellents.

Ce n'est pas une prise éhontée car je ne suis pas du tout impliqué dans ce podcast mais écoutez l'isdpodcast de la semaine dernière avec Ed Skoudis. Je ne me souviens pas de la date exacte, mais je pense que c'était mardi ou mercredi. Ed parle beaucoup de divers défis et de trucs de la FCE.

J'ai créé un wiki détaillant de nombreuses compétitions différentes, avec des descriptions et des liens vers des articles et des ressources pour les débutants. Consultez-le ici: http://ctf.forgottensec.com

Il y a aussi le Spider Challenge de Spider.io (piratage Web).

Le but:

Nous ' ve caché quatorze codes dans et autour de challenge.spider.io. Avec chaque code que vous trouvez, nous vous donnerons un indice pour vous aider à trouver le code suivant. Dès que vous vous connectez au défi, le chronomètre commence à tourner. C’est une course contre la montre. C’est une course contre d’autres pirates. Bonne chance!

Vous avez besoin d'un compte Twitter pour participer.

Ed Skoudis a une belle collection de tests d'intrusion / défis d'investigation ici: http://www.counterhack.net/Counter_Hack/Challenges.html

Hack in the Box (HITB) Capture The Flag http://conference.hitb.org/hitbsecconf2012kul/event/capture-the-flag/

Un piratage annuel compétition pendant HITBSecConf

Enigmagroup a des défis de piratage intéressants ... Certains inversion [défis binaires elf ainsi que inversion de fenêtres], captcha cracking, défis réalistes, sténographie, cryptographie et autres choses habituelles comme xss, javascript , et ainsi de suite.

Il s'agit d'un concours de piratage récent et toujours en cours: www.hackimind.com

À propos du concours:

Un fichier (publié le 30 novembre 2012) a été encodé et la clé de décodage sera rendue publique le 17 mars 2013 - date de fin du concours.

Votre défi est de décoder le fichier sans sa clé.

Afin de réclamer le prix, soumettez le fichier décrypté dans la plateforme d'échange d'innovation.

Pendant le déroulement du concours, ce site sera utilisé pour partager des indices avec tous les participants.

0x41414141.com est une bonne solution ... lorsque vous avez terminé, vous êtes invité à fournir votre CV.