Palestra 1: Conhecendo InfoSec jogando CTFs

[ChOkO]

Salve galera! Vamos usar esse espaço para a discussão, tirar dúvidas e compartilhar material sobre CTFs e Segurança da Informação, demorou?

[ ]z!

RTFM[ChOkO]

ChOkO_AprendendoInfoSecCTF_MBConf_2020_v2.pdf

[Miqueias Cardoso]

Muito boa a palestra, aguardando materiais e links. Muito Top!!!

[Amilton]

Excelente conteúdo. Parabéns!

[x-user]

Parabéns pelo conteúdo man!!!

[w2k]

Muito top

[dtomadon]

Mestre Choko !! 

Que horas começa a sua palestra?

[VictorNeves]

parabéns man pela apresentaçao!

quais os links pros grupos brasileiros de CTFs?

vlw!

[Fernando Mercês]

Perguntas que surgiram no chat:

1.Em um CTF, é possível que as máquinas virtuais vulneráveis passado para o participante de alguma forma ao atacar a máquina, há possibilidade de serem atacados?
2.como faço para treinar nesses ctf?
3.tem algum site para iniciantes?

[NyckosTI]

Como diz Mercês, foi animal, bestante esclarecedor, parabéns ChOkO, ganhou mais um seguidor!!!

[ElMagoW]

Galera, eu falei rapidinho com o @ChOkO depois da apresentação dele e gostaria de compartilhar uma apresentação que eu fiz na universidade há um tempo para juntar uma galera para formar um grupo de estudos.

Nesse material tem MUITOS links e sugestões de canais do youtube, editoras que publicam livros de segurança, cursos, etc.

Deem uma conferida no repositório: https://github.com/EwertonQueiroz/ApresentacaoCTF

Além disso, também tem uma outra modalidade de CTF chamada King of the Hill, que inclusive, vai rolar uma máquina no Try Hack Me amanhã, 03/05, mais informações no tweet do anúncio:

 

[Erivelton de Souza]

23 horas atrás, ChOkO disse:

Salve galera! Vamos usar esse espaço para a discussão, tirar dúvidas e compartilhar material sobre CTFs e Segurança da Informação, demorou?

[ ]z!

RTFM[ChOkO]

ChOkO compatilhar com nós a url/canal do michael vitally q vc citou durante a parte "formatos CTf"... Categoria Mobile

[ChOkO]

Salve galera! Muito obrigado pelo feedback de todos vocês! 

Vou enviar alguns links que ficaram faltando na palestra e aqueles que estavam nos slides também, blz?

Site de educação da HackerOne - neste site existem diversos vídeos educacionais sobre Burp, criptografia e uma introdução de reversing / exploitation. 
CTF Hacker101 - Possibilita ganhar 1 convite para um programa privado de bug bounty a cada 26 pontos acumulados.
Grupo "[<Ø>]" no ctf.hacker101.com - Este é um link para acessar um grupo nosso de brazucas dentro da plataforma. Não é nada demais, mas dá pra ver quem matou qual desafio, quantas dicas pediu, etc. Assim dá pra trocar uma idéia com a pessoa que pode ter resolvido algo que você ainda está em dúvida.
# Lembrando, vamos evitar o spoiler galera. É muito difícil dar dicas sem estragar o desafio para a outra pessoa. Quando você dá um spoiler (ex: procura na wordlist X) no fundo você atrapalha a outra pessoa, pois a impedirá de alcançar aquele raciocínio por conta própria das próximas vezes que se deparar com esta situação.

# Links e materiais sobre coisas que eu falei durante a palestra
# https://youtu.be/GZ6Zk1tP9JU - Sobre o CTF da DefCon com Vito Genovese na DefCon 1 China
# https://en.wikipedia.org/wiki/General_Intelligence_and_Security_Service - AIVD
# https://github.com/smokeleeteveryday/CTF_WRITEUPS/tree/master/2015/AIVD_CYBERCHALLENGE - Writeup do challenge de contratação da AIVD
# https://www.csoonline.com/article/3227910/hackers-create-memorial-for-a-cockroach-named-trevor.html - Trevor Forget - não é mentira da barata ?
# http://35.204.139.205:5000/ - Desafio do Gynvael que eu resolvi ao vivo sobre CRLF Injection
# ctf-br.org/docs - Projeto CTF-BR

# CTFs importantes que vão rolar em Maio 2020!
# https://register.oooverflow.io/#/ - CTF Qualificatório oficial da DefCon
# https://pwn2win.party/ - CTF Pwn2Win do time ELT, recomendadíssimo!

# Grupos pt-BR no Telegram
# https://t.me/hacknroll - Hack n Roll Academy do Maycon Vitalli, MUITO bom! 
# https://t.me/bughuntersbr - Bug Hunters Brasil
# https://t.me/zero2flag - Zero 2 Flag
# https://t.me/ctfplayers - CTF Players (apenas anúncios)
# https://t.me/ctfsp - CTF SP
# https://t.me/ctfbrasil - CTF Brasil
# https://t.me/CTF_FatecOurinhos - CTF Fatec Ourinhos 
# https://t.me/ctfh4k - CTF-H4k
# https://ctf-br.org - Projeto CTF-BR (também disponível no IRC --> irc.freenode.net #ctf-br)
# https://t.me/blueteamlibrary - Blue Team Library

# Servers de Discord
# https://discord.gg/gUK7gb - 0day.rocks (discord do @x0rz)"
# https://discord.gg/nwd86e - RWXROB
# https://discord.gg/Y6jSQt - CTF-Course - mais foco em exploitation

# Diversos CTFs públicos
# http://overthewire.org - OverTheWire - possui diversas máquinas diferentes, recomendo iniciar pela Bandit.
# https://www.holidayhackchallenge.com/ - SANS Holiday Hack Challenge - Excelente e educativo!
# https://www.hackthebox.eu - HackTheBox - Pra quem nunca jogou, comece pelo "Starting Point"
# https://picoctf.com - PicoCTF
# https://www.vulnhub.com  - Vulnhub
# https://hackthissite.org - HackThisSite
# https://shellterlabs.com/ - ShellterLabs
# https://www.root-me.org/ - Root-Me
# https://cryptopals.com - Cryptopals - Desafios de Crypto bem legais
# https://www.enigmagroup.org/ - Enigma Group
# https://try2hack.nl/ - Try2Hack - primeiro CTF que eu joguei na vida hehe :)
# https://cmdchallenge.com - CMD Challenge
# https://www.hacking-lab.com - Hacking-Lab
# https://pwnable.kr - PWNABLE KR
# https://pwnable.tw - PWNABLE TW
# http://smashthestack.org/wargames.html - SmashTheStack
# http://flaws.cloud/ - FLAWS - CTF de AWS
# http://flaws2.cloud/ - FLAWS 2 - CTF de AWS
# https://capturetheflag.withgoogle.com/ - Google CTF

Vamos nos falando e obrigado mais uma vez pelo apoio!

[ ]z!

ChOkO

[ChOkO]

On 5/2/2020 at 3:26 PM, Erivelton de Souza said:

ChOkO compatilhar com nós a url/canal do michael vitally q vc citou durante a parte "formatos CTf"... Categoria Mobile

Mandei no post, bro! O primeiro link do Grupos do Telegram!

[ChOkO]

On 5/2/2020 at 12:56 PM, Fernando Mercês said:

Perguntas que surgiram no chat:

1.Em um CTF, é possível que as máquinas virtuais vulneráveis passado para o participante de alguma forma ao atacar a máquina, há possibilidade de serem atacados?
2.como faço para treinar nesses ctf?
3.tem algum site para iniciantes?

Respondendo às dúvidas do colega:

1. Sim, sempre existirá a possibilidade de explorar vulnerabilidades que permitam executar código no sistema operacional hospedeiro a partir da máquina virtual! Lembre-se não existe 100% seguro. 
2. Para treinar basta escolher qualquer um dos CTFs listados nesse post  e começar a jogar!
3. Se você nunca jogou um CTF antes eu recomendo começar por estes:
   • Bandit do OverTheWire - excelente para iniciantes, você vai pegar algumas manhas de linha de comando no Linux, além de começar a pesquisar e pensar por conta própria para resolver alguns desafios.
   • PicoCTF - CTF voltado para alunos do ensino médio. Também é possível jogar o do ano de 2018. É bem instrutivo também.
   • SANS Holiday Hack Challenge - Você vai aprender muita coisa de segurança ofensiva e defensiva através desse CTF. Todo final de ano eles soltam um desafio novo e premiam vários participantes. Vale muito a pena!

Lembrando que esse mês temos o CTF qualificatório para a DefCon (https://register.oooverflow.io/) e o Pwn2Win (https://pwn2win.party/)! Tente jogar estes para ter uma idéia da pedrada que são CTFs de nível mundial!

[ ]z,

ChOkO