Как начать играть в CTF? Что почитать? Чему можно будет научиться?
CTF
Capture The Flag (CTF) – это не просто развлечение, а настоящие спортивные состязания по «спортивному хакингу». Участникам предлагаются задачи, где нужно найти и использовать уязвимости, чтобы «захватить флаг» - секретный код. Побеждает тот, кто быстрее и эффективнее решает задачи, демонстрируя свои навыки.
CTF – это не просто соревнования, но и отличная тренировка. CTF дает практику, позволяя использовать те же методы, что и настоящие специалисты в области информационной безопасности. Эти состязания помогают поддерживать навыки в актуальном состоянии и не терять «хакерское чутьё».
И немного материала по CTF ниже: где-то есть видео, где-то только презентации.
Веб-безопасность
— про уязвимости на сайтах и в веб-приложениях
Мини-сезон веба : web-kids20.forkbomb.ru/tasks — 7 недель, 3 видео, 151 таск
Теория и лабораторные работы от BurpSuite Academy: portswigger.net/web-security
Анализ безопасности веб-проектов: stepik.org/course/127/promo — курс для начинающих, поможет с нужной теорией для решения тасков с сезона и даст дополнительную практику
Научиться эксплуатировать XSSки: xss.school.sibears.ru, xss-game.appspot.com
Тренировка по SQL-инъекциям от Бэя: sql.training.hackerdom.ru
Курс от команды CyberEd: stepik.org/course/169003/ — для начинающих в вебе и тех, кто хочет развиваться в пентесте, с практикой
Крупный сборник полезных пентестерских техник: book.hacktricks.xyz/
Сборник тулзов пентестера от Digital Security: habr.com/post/452836
Криптография
— про шифрование данных и слабости криптоалгоритмов
Мини-сезон крипто: crypto-kids20.forkbomb.ru/tasks — 4 недели, 90 тасков
Простые задания по криптографии: cryptopals.com или cryptohack.org, а также справочник cryptohack.gitbook.io/cryptobook/
Курс на английском от Дэна Боне: coursera.org/learn/crypto
Форенсика
— про форматы файлов и данных, образы памяти и дисков, анализ улик
Мини-сезон стеганографии и форенсики: for-kids20.forkbomb.ru/tasks — 4 недели, 4 видео, 87 тасков
CTF HandBook: ctf101.org
Ревёрс
— расковыривание скомпилированных программ, анализ алгоритмов
Мини-сезон ревёрсинга: rev-kids20.forkbomb.ru/tasks — 10 недель, 9 видео, 164 таска
Сборник материалов по ревёрсу от Digital Security: habr.com/post/334832
Книга Дениса Юричева: beginners.re
Бинарная эксплуатация (Pwn)
— про то, как через ошибки в скомпилированных программах заставлять их сделать что угодно. Для освоения пывна нужно сначала уметь ревёрсить.
Сезон пывна: pwn.spbctf.ru/tasks — 12 недель, 24 видео, 154 таска
Подробный курс «Nightmare» по пывну: guyinatuxedo.github.io
Свежие варгеймы, но нужно запускать у себя локально: exploit.education
Старые варгеймы на Pwn: io.netgarage.org, overthewire.org/wargames/vortex/
Ещё больше практики
Платформа Root Me с большим количеством тасков: root-me.org
Небольшая стфка, если хочется микс: 30.ctf.su/tasks (разная сложность)
Варгеймы на разные категории: https://overthewire.org/wargames/(кстати, флаги из варгейма Bandit на консоль линуха можно посдавать в нашу борду prepwn.spbctf.ru/tasks)
Отличная стфка начального уровня от американской команды Plaid Parliament of Pwning: picoctf.com Хороша обучающими и логичными заданиями. Задания прошлых лет собраны в разделе picoGym: play.picoctf.org
Дополнительные материалы
В самом начале погружения в CTF у вас будут разбегаться глаза от обилия направлений и материалов. Не бойтесь охватывать разные категории одновременно, в конечном итоге вы поймёте, что больше нравится, и будете целенаправленно прокачиваться в этом.
Курс от команды [team Team]: course.ugractf.ru
Материалы с тренировок томской команды SiBears: github.com/sibears/school
Про гугление и структурное мышление (SPbCTF): youtu.be/tBWXmPpvWGA
Регулярные выражения, нужные везде (SPbCTF): youtu.be/ciz9VFwsPmU
В плейлистах на нашем YouTube-канале собраны записи со всех сезонов:
youtube.com/spbctf
Видеокурс от Андрея Гейна: ulearn.me/course/hackerdom/
Краткий курс Яндекса по безопасности: youtube.com/playlist?list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
Пара видеоразборов для вдохновения
Что дальше
Как можно раньше прекращайте просто учиться и начинайте применять навыки на практике:
Участвуйте во всех CTFках. На ctftime.org собраны командные соревнования со всего мира, каждые выходные можно найти, в чём поучаствовать. Именно играя в CTF в соревновательном режиме, вы развиваете скиллы мощнее всего.
Читайте райтапы. После соревнования команды публикуют у себя в блоге или на гитхабе прохождения интересных заданий. Читайте такие райтапы, особенно на задания, которые заинтересовали, но не удалось докрутить во время игры. Команды прикрепляют райтапы к странице CTFки на ctftime.org.
