Elinize sağlık ❣Bu içeriğimizde Capture The Flag (CTF) konusunu detaylı şekilde inceleyeceğiz.
Faydalı olması dileğiyle.
Capture The Flag (CTF)
Capture The Flag, Türkçe'ye bayrağı yakala şeklinde çevrilir.
CTF, katılımcılar siber güvenlik alanında düzenlenen çeşitli kategorilerde belirlenen hedeflere diğer katılımcılardan daha önce ulaşmak için sistemdeki güvenlik zafiyetlerinden faydalanarak erişmeye çalıştığı, uygulamalı, öğretici yarışmalardır.
Yarışmaların asıl amacı, siber güvenlikle ilgili teorik bilgiye sahip olan insanların bu bilgileri pratiğe dökerek kendilerini test etmelerini sağlamaktır.
CTF yarışmalarına katılanlar, korsanlardan, güvenlik uzmanlarından, bilgi güvenliği araştırma gruplarından, öğrencilerden, bireyden kolektif olarak geniş bir yelpazeye yayılıyor. CTF yarışması, materyal açısından büyük olmayabilir, ancak büyük bir prestij kaynağıdır.
CTF yarışmalarına katılmanın bilgi güvenliği ve güvenlik alanında çalışmaya ve araştırmaya başlamak için yararlı olacağı kanaatindeyim.
CTF yarışmaları genelde gruplar halinde yapılır.
CTF yarışmalarında 2 farklı tür vardır.
Jeopardy ve Attack/Defense
Jeopardy
Bu tür, iletilen güvenlik sorularına doğru yanıt vererek adım adım bayrakları yakalamaya çalışır. Soruların zorluk seviyeleri ve puanları birbirinden farklıdır. Bir soruyu yanıtlamadan diğer bir soruya geçilemez.
Attack/Defense
Bu türde, bir takım savunma yaparken diğer takım saldırı yapmaktadır. Gruplara sunulan sistemde zafiyetleri kapatmaya çalışırken rakipler açıkları bulmak için uğraşırlar.
Genel bir CTF etkinliğinde:
Takım olarak yarışılır. Farklı konularda uzmanlığı olan kişilerin takımda bulunması avantaj sağlar. Takım içerisinde görev dağılımı önemlidir.
Kategoriler
CTF oluşturmak için kullanılan araçlar:
Kali Linux CTF Blueprints : Kendi CTF yarışmalarınızı oluşturabileceğiniz, test edebileceğiniz bir araç.
Forensics yarışmaları oluşturmak için kullanılan araçlar:
Dnscat2
Kroll Artifact Parser and Extractor(KAPE)
Magnet AXIOM
Registry Dumper
Platformlar (host için)
CTFd
echoCTF.RED
FBCTF
Haaukins
HackTheArch
Mellivora
MotherFucking-CTF
NightShade
OpenCTF
PicoCTF
PyChallFactory
RootTheBox
Scorebot
SecGen
WEB yarışmaları oluşturmak için kullanılan araçlar:
Metasploit JavaScript Obfuscator
Uglify
Çeşitli saldırılar için kullanılabilecek araçlar:
Bettercap
Yersinia
Kriptografik çözümler için kullanılan araçlar:
CyberChef
FeatherDuster
Hash Extender
padding-oracle-attacker .
PkCrack
QuipQuip
RSACTFTool
RSATool
XORTool
Bruteforce için kullanılabilecek çeşitli araçlar:
Hashcat
Hydra
John The Jumbo
John The Ripper
Nozzlr
Ophcrack
Patator
Turbo Intruder
Exploit araçları:
DLLInjector
libformatstr
Metasploit
Cheatsheet
one_gadget
Pwntools
Qira
ROP Gadget
V0lt
Forensics araçları:
Aircrack-Ng
Audacity
Bkhive and Samdump2
CFF Explorer
Creddump
DVCS Ripper
Exif Tool
Extundelete
Fibratus
Foremost
Fsck.ext4
Malzilla
NetworkMiner
PDF Streams Inflater
Pngcheck
ResourcesExtract
Shellbags
Snow
USBRip
Volatility
Wireshark
Network araçları:
Masscan
Monit
Nipe
Nmap
Wireshark
Zeek
Zmap
Reversing araçları:
Androguard
Angr
Apk2Gold
ApkTool
Barf
Binary Ninja
BinUtils
BinWalk
Boomerang
ctf_import
cwe_checker
demovfuscator
Frida
GDB
GEF
Ghidra
Hopper
IDA Pro
Jadx
Java Decompilers
Krakatau
Objection
PEDA
Pin
PINCE
PinCTF
Plasma
Pwndbg
radare2
Triton
Uncompyle
WinDbg
Xocopy
Z3
Detox
Revelo
RABCDAsm
Swftools
Xxxswf
Steganography araçları:
AperiSolve
Convert
Exif
Exiftool
Exiv2
Image Steganography
Image Steganography Online
ImageMagick
Outguess
Pngtools
SmartDeblur
Steganabara
SteganographyOnline
Stegbreak
StegCracker
stegextract
Steghide
StegOnline
Stegsolve
Zsteg
Web araçları:
BurpSuite
Commix
Hackbar
OWASP ZAP
Postman
Raccoon
SQLMap
W3af
XSSer
Nasıl CTF çözeceğinize dair tutoriallar:
CTF Field Guide
CTF Resources
How to Get Started in CTF
Intro. to CTF Course
IppSec
LiveOverFlow
MIPT CTF
CTF ile ilgili genel websiteleri
Awesome CTF Cheatsheet
CTF Time
Reddit Security CTF
Modern bir bilgisayar güvenlik uzmanı, bu alanlardan en az birinde ve ideal olarak hepsinde uzman olmalıdır. CTF yarışmalarında başarı, katılımcıların en az bir veya ideal olarak tüm bu alanlarda uzman olmasını talep eder. Bu nedenle, CTF'ye hazırlanmak ve rekabet etmek, bilgisayar bilimindeki ayrık disiplinleri bilgisayar güvenliğine odaklanmanın bir yolunu temsil eder.
Yarışmacılardan beklenen nitelikler açıklık bulma, exploit geliştirme , toolkit geliştirme ve grup çalışması yetenekleridir. Başarılı olabilmek için grup üyelerinin bu alanlardan en az birinde , ideal olarak ise hepsinde bilgi sahibi olması gereklidir;
Bilgi Toplama
Port tarama ve IPS atlatma Network analizi ve network saldırıları Kablosuz ağlara sızmak, WPA/WPA-2 kırılması Paket analizi TCP/IP düzeyinde saldırılar Brute force, Parola saldırıları, wordlistler Dns saldırıları Exploit geliştirme ve kullanma Zafiyet tespiti (Vulnerability Discovery) Güvenlik duvarı, IDS, IPS, WAF gibi sistemleri aşmak Süreç içerisinde ihtiyaç duyulan toolkit'lerin geliştirilmesi
CTF Kazanımları
Takım çalışması ve İş dağılımı Daha hızlı karar verme becerisi Stratejik bakış açısı Hacking deneyimi Yarışma deneyimi Olası durumlarda bir saldırgan gibi düşünme becerisi
Forumda incelemenizi önerdiğim başlıklar:
THT CTF Platformu
Anka Red Team'in çözümlediği ve paylaştığı tüm CTF'ler
CTF Yarışmaları Hakkında Merak Ettikleriniz
CTF hazırlığı için kaynaklar :
Vulnhub
Hackthebox
Pentestit
Canyoupwn
https://ctftime.org
ctflearn
ctf101