Skip to content

ouspg/vecto-ctf

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

34 Commits
README.md
README.md
 
 
URA-HARRASTE.md
URA-HARRASTE.md
 
 
compo.png
compo.png
 
 
kuva.png
kuva.png
 
 
score.csv
score.csv
 
 

Repository files navigation

Vectorama 2016 CTF

##TL;DR(Mitä, Missä, Milloin)

Hacking compo, Vectorama 2016, perjantaina 10.6. klo. 13:00-24:00

IRC: #vectoura @ ircnet Standi: Oulu ICT Show Room

##Osa 1. pwnable.kr

pwnable.kr sivuilta löytyy lukuisia erityyppisiä hakkerointitehtäviä.

Tehtävien vaikeustaso vaihtelee ja jokainen tehtävä on pisteytetty vaikeustason mukaan.

Compon ensimmäisessä osassa tehtävänä on kerätä 10 pistettä, tai ratkaista 4 eri tehtävää.

Ratkaisut voi tulla esittämään compon järjestäjille:

  • Oulu ICT Show Room standille
  • #vectoura @ ircnet.

Ensimmäisen osan ratkaiseminen toimii ilmoittautumisena toiseen osaan, ja lisäksi ensimmäiset 10 saavat palkinnoksi pullon Club Matea/Smoothien.

##Osa 2. Web Application Hacking

ctf.vectorama.fi palvelimelle on pystytetty kolme hakkeroitavuudeltaan eri tasoista web applikaatiota.

login:

  • user: admin
  • password: password

ctf.vectorama.fi:80:

  • Vaikeusaste: Helppo

ctf.vectorama.fi:81:

  • Vaikeusaste: Keskitaso

ctf.vectorama.fi:82:

  • Vaikeusaste: Vaikea

Jokaisessa applikaatiossa on 5 erillaista haavoittuvuutta:( Ja mahdollisesti muitakin. ;) )

Esimerkkejä:

  • Brute Force:
  • Kirjaudu sisään käyttäjänimellä: pablo
  • Vinkki: Ratkaise omalla koneella. Salasana hash: 0d107d09f5bbe40cade3de5c71e9e9b7
  • SQL Injection:
  • Hanki SQL-injektiota hyödyntäen käyttäjien salasanojen MD5 hashit
  • Plussaa tulee jos saa niistä käyttäjien salasanat hankittua
  • SQL Injection(Blind):
  • Hankia tietokantojen nimet palvelimelta. Lisäpisteitä jos saa jotain muuta tietoa kaivettua.
  • XSS(Cross-Site-Scripting) reflected:
  • XSS haavoittuvuutta hyödyntäen, injektoi sivulle omaa HTML-koodia.
  • Huom: Selain saattaa estää tietynlaisen sisällön injektion.
  • XSS(Cross-Site-Scripting) stored:
  • Tallenna sivustolle viesti joka näkyy vierailijoiden selaimessa alert-popuppina.

Pisteitä saa esittelemällä järjestäjille erityyppisiä hyökkäyksiä mitä olet onnistunut toteuttamaan.

Pisteisiin vaikuttaa applikaation vaikeustaso ja hyökkäyksen kekseliäisyys, omaperäisyys ja vaikeus.

Pisteitä voi seurata osoitteessa: vecto-ctf

Compossa kaksi sarjaa:

  • "ammattilaiset" == Alan työkokemusta omaavat ja/tai Kapsi ry ja/tai JK ry aktiivit.
  • "harrastelijat" == Me muut :)

Eniten pisteitä keränneelle palkinnoksi:

  • ammattilaiset: Fame, Club Matea ja terapiaseuraa

  • harrastelijat: Fame, Raspberry Pi 3 model B, Club Matea/Smoothie ja kutsu OUSPG-open puhujavieraaksi.

Koska kyseessä on haavoittuvaiset web applikaatiot, joihin hyökätään, saattavat ne aina välillä olla jumissa/kaatuneena.

Ongelmista voi ilmoittaa järjestäjille henk.koht., tai hihkaista IRC:ssä.

About

vecto-ctf

Resources

Readme
Activity
Custom properties

Stars

0 stars

Watchers

9 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Contributors 5