Preparación para CTFs

Iniciado por hackerWoman, 16 Enero 2020, 17:23 PM

0 Miembros y 1 Visitante están viendo este tema.

hackerWoman

Hola a todos,

Después de haber participado en varios eventos relacionados con CTFs, me interesa este mundo y quiero aprender más a fondo, ya que soy muy joven y me encantaría dedicarme a ello en un futuro. Me gustaría que me recomendarais alguna forma de hacerlo, porque a lo que quiero llegar es como una guía general que según la categoría de la prueba sepa las acciones a realizar.

Os agradecería recomendaciones o que aportéis vuestros conocimientos sobre los pasos a seguir en cuanto alguna alguna disciplina de CTF (ingeniería inversa, criptografía, etc), si es que hay alguna que siempre requiera unas determinadas acciones.

Muchas gracias!

kub0x

Todos los CTF tienen pruebas en común, te puedes encontrar pruebas de analísis de tráfico de red, escaneo de puertos para determinar donde puede estar la pista del reto conectándote al puerto indicado, esteganografía para detectar mensajes ocultos, criptografía sobre todo cosas sencillitas como un simple XOR o uso de hashes comunes (MD5, SHA1-2). También has de controlar el protocolo HTTP para ver las headers de request/response y algo de javascript (Aunque sea un poquillo), pues normalemente has de obtener la cookie del admin o bien encontrar una falla por la que saltarte validaciones y llegar al siguiente nivel. Además de incluirse pruebas relacionadas con la explotación de bases de datos (SQL-Injection) para obtener la info para pasar al siguiente nivel.

Comentaste sobre ing. inversa, bueno, no es tan común pedir conocimientos en la misma, pero puede darse el caso que en las últimas pruebas del CTF se pida encontrar la pista o la solución dentro de un binario. También a los organizadores les gusta jugar con las direcciones .onion encontradas en TOR, en fin lo suyo es que apuntes estos temas en algún sitio y busques programas/software que realicen estas tareas sin tener que hacerlas tu a mano, aunque siempre te tocará darle tu toque mágico.

Saludos.
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


@XSStringManolo

No te vas a encontrar una guía porque cualquiera puede poner un CTF de lo que le de la gana. Tampoco te sirve tener mucha informaciòn sobre campos muy específicos porque no es extraño encontrarse CTF de tecnologías que ni tu, ni el 99% sabían que existían. O a lo mejor fueron diseñadas solo para el CTF.
Lo que necesitas es la base que te permita entender lo que se te pide y como resolverlo en base a una nueva tecnología extrapolando lo que sabes y reduciendo los recursos que necesitas. Por ejemplo si te mandan hackear una cámara, al menos deberías saber como hacer un mínimo de reversing, manejarte con firmware, protocolos, servidores web...
Entonces, si lo que haces es aprender a como "hackear una cámara" siguiendo una guía, cuando te den otra cámara, no tendrás ni la menor idea de que hacer.

Para esto, entre otras cosas deberías aprender múltiples lenguajes, las bases de todos los campos, y a desenvolverte con apis aleatorias que te puedan dar en un momento puntual.

Y MUCHA PACIENCIA. Yo por ejemplo para ctf no valgo porque me sacan de mis casillas. Aunque siempre aprendo algo nuevo.