CTF - делимся решениями, обсуждаем

[r0hack]

Нужны ваши дельные советы, как это все лучше провернуть.
Может есть хороший гайд по обеспечению безопасности своего web сервера.

Нужны советы по организации CTF? Ну, например,

Ссылка скрыта от гостей

дает возможность организовать CTF в твоем городе, задания платформа от них, организация от тебя. Для начала, то что надо!

 

[aknisi]

Нужны советы по организации CTF? Ну, например,

Ссылка скрыта от гостей

дает возможность организовать CTF в твоем городе, задания платформа от них, организация от тебя. Для начала, то что надо!

Спасибо за информацию.
Всё было бы круто, но есть одно "но".
В моей стране неразбериха происходит. И если я буду под этим брендом выступать, то меня могут не так понять местные власти. Хотя я лично против всяких политических грязных штучек. Я из Украины. Недалеко от фронта. А ребята на сколько я понял, по российским мероприятиям работают. Поймите меня правильно. А то тут доброжелателей куча
Сейчас с этим прям беда...

UPD.
И они предлагают классический вариант, а нужно в стиле Task-based (jeopardy)
Командное участие не предполагается.

 

[r0hack]

Спасибо за информацию.
Всё было бы круто, но есть одно "но".
В моей стране неразбериха происходит. И если я буду под этим брендом выступать, то меня могут не так понять местные власти. Хотя я лично против всяких политических грязных штучек. Я из Украины. Недалеко от фронта. А ребята на сколько я понял, по российским мероприятиям работают. Поймите меня правильно. А то тут доброжелателей куча
Сейчас с этим прям беда...

UPD.
И они предлагают классический вариант, а нужно в стиле Task-based (jeopardy)
Командное участие не предполагается.

ну у вас есть крутая dcua, они не продвигают у вас там никак ?)
А так можно для начала, самые изичайщие таски придумать, и тестовый провести в межвузовский, например.

 

[aknisi]

ну у вас есть крутая dcua, они не продвигают у вас там никак ?)
А так можно для начала, самые изичайщие таски придумать, и тестовый провести в межвузовский, например.

Да, тут такая крутая команда есть )
Мне честно сказать с ними связываться пока не хочется. Ребята такого уровня врядли обратят внимание на энтузиаста. Да и если бы им это нужно было, провели бы уже давно...

Межвузовский, это будет второй этап. Там можно и классическое соревнование организовать. А сейчас нужно провести онлайн городское/школьное/etc ctf

 

[CyberX88]

Есть ли какие-нибудь площадки на русском языке?

 

[r0hack]

Есть ли какие-нибудь площадки на русском языке?

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[aknisi]

Спасибо администрации ресурса за выделение тематики CTF в отдельный раздел!
Вам + в карму!

Есть у кого ещё предложения по проведению ctf энтузиаста?

 

[CyberX88]

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Спасибо!)

 

[aknisi]

Я так и не понял, что вам в итоге нужно)). Чтобы мы организовали стф ?)

Хах) спасибо за предложение.
На самом деле, мне бы пригодилась помощь тех кто уже готовил такие соревнования.
Да и может тут кто-то захочет свой скилл по настройке сервера под ctf прокачать.

Чувствую, придется всё самому делать, а если точнее, с гуглом)

Комрады, ситуация немного прояснилась.
Всё по порядку:
Скачал и установил на VBOX - Ubuntu Server 17.10.1
Установил CTFd + NGINX (слушает 8080, чтоб конфликтов не было) + uwcgi
Пробросил порты WiFi TP-LINK (теперь можно вбить ip:8080 и попасть на сайт ctf)
Проверил, всё работает.

Теперь собственно нужны технические советы от знатоков для обеспечения безопасности:
Стандартные настройки NGINX и uwsgi не нужно менять для защиты от ddos?
Как лучше настроить WiFi роутер TL-WR740n с открытым портом 8080 в мир? (Там, вроде, железка позволяет от DoS защитится по минимуму)
Ваши предложения... )
Если насобирается достаточно информации.
Сделаю пошаговую статью для всех желающих! )
Поделюсь своим опытом.

---- Добавлено позже ----

UPD
С nginx немного разобрался. Сегодня за uwsgi возьмусь. По поводу моей модели роутера, на каком-то форуме люди обсуждали такой вопрос. Пришли к выводу, что не получится корректно настроить железку на защиту.

Даже разобрался как можно на своём сервере делать задачи по pwn.
А мне сейчас ваша помощь нужна.
Легких задачек с решением подкиньте, чтобы из можно было использовать в ctf)

 

[pro194]

Хочу в команду!

Слышали ли вообще о CTF.​

-принимал участие из 334 человек занял 71 место.

Сколько лет/месяцев этим занимаетесь.​

- 7 месяцев по 14 часов в день.

Какие категории тасков больше всего любите решать.​

-веб, сети, администрирование, форензика.

Что лучше всего делаете в области ИБ.​

- на данный момент занимаюсь только вебом. Решил не распыляться на все подряд.

Самый главный и обязательный навык в кодексе​

Комрады, ситуация немного прояснилась.
Всё по порядку:
Скачал и установил на VBOX - Ubuntu Server 17.10.1
Установил CTFd + NGINX (слушает 8080, чтоб конфликтов не было) + uwcgi
Пробросил порты WiFi TP-LINK (теперь можно вбить ip:8080 и попасть на сайт ctf)
Проверил, всё работает.
Теперь собственно нужны технические советы от знатоков для обеспечения безопасности:
Стандартные настройки NGINX и uwsgi не нужно менять для защиты от ddos?
Как лучше настроить WiFi роутер TL-WR740n с открытым портом 8080 в мир? (Там, вроде, железка позволяет от DoS защитится по минимуму)
Ваши предложения... )
Если насобирается достаточно информации.
Сделаю пошаговую статью для всех желающих! )
Поделюсь своим опытом.
---- Добавлено позже ----
UPD
С nginx немного разобрался. Сегодня за uwsgi возьмусь. По поводу моей модели роутера, на каком-то форуме люди обсуждали такой вопрос. Пришли к выводу, что не получится корректно настроить железку на защиту.
Даже разобрался как можно на своём сервере делать задачи по pwn.
А мне сейчас ваша помощь нужна.
Легких задачек с решением подкиньте, чтобы из можно было использовать в ctf)

организаторов CTF уметь гуглить.
Честно вопросы задаёшь на которые уже есть ответы. Не надо велосипед изобретать.

 

[r0hack]

Легких задачек с решением подкиньте, чтобы из можно было использовать в ctf)

С заданиями для Веб, Форензики и Миска могу помочь. Пиши в телеге: @r0r0xx

 

[Xendler]

Интересно, на каких CTF вы принимали участие?) Являюсь одним из организаторов FarEastCTF)

 

[FuSp]

Возможно я буду не прав, но при /../../etc/passwd велик риск LFI уязвимости.

 

[Dr.Lafa]

Если этот ctf есть на ctftime, то стоит поискать райтапы там

 

[FlatL1ne]

Тогда у меня встречный вопрос. Зачем проводят городские/областные/любые другие местные соревнования, если есть сотни готовых?

Ответ на этот вопрос можно подобрать любой.
Во-первых, привлечь местных людей к этому.
Во-вторых, собрать городскую команду.

ИМХО

Основная цель всех таких мероприятий:

1) Выявить контингент.
2) Скопировать техники применяемые ими

мини упд): Это еще сбор патернов работы индивидов и т.д.

 

[BadBlackHat]

Добрый день, всем участикам форума. А давайте расширим текущую нашу мини CTF команду и наберем новых участников. Для этого предлагаю всем желающим отписаться ниже. Из них будет составлена команда для ближайших ctf.

 

[CyberX88]

Добрый день, всем участикам форума. А давайте расширим текущую нашу мини CTF команду и наберем новых участников. Для этого предлагаю всем желающим отписаться ниже. Из них будет составлена команда для ближайших ctf.

я бы попробовал,но сомневаюсь что справлюсь с заданием...если немного поможете, готов поучавствовать.

 

[pr0phet]

Добрый день, всем участикам форума. А давайте расширим текущую нашу мини CTF команду и наберем новых участников. Для этого предлагаю всем желающим отписаться ниже. Из них будет составлена команда для ближайших ctf.

Можно попробовать.

 

[Dr.Lafa]

я бы попробовал,но сомневаюсь что справлюсь с заданием...если немного поможете, готов поучавствовать.

Привлекаются все желающие. В этом суть, можете попробрвать себя и набраться опыта, играя в команде

 

[CyberX88]

Привлекаются все желающие. В этом суть, можете попробрвать себя и набраться опыта, играя в команде

В таком случае я всегда ЗА!