Une équipe CTF Zeste De Savoir ?

Bonjour,

Une idée m'est venue de créer une équipe de Capture The Flag relative à la communauté de Zeste De Savoir.

Avant toute chose je vais expliquer le principe d'un CTF même si certains d'entre vous doivent s'en douter.

Dans la vie réelle, il s'agit d'un mode de jeu où plusieurs équipes vont "capturer" et "défendre" des points pour récupérer des "drapeaux" leur permettant d'assurer la victoire.

Ici je parle de CTF dans un contexte informatique. Il s'agit de résoudre des épreuves informatiques dans l'objectif d'obtenir des points. Par exemple :

• casser un cryptogramme ;
• exploiter une vulnérabilité ;
• "casser" un binaire ;
• faire de l'investigation numérique sur un média ;
• programmer un bot pour résoudre des tâches complexes en un temps restreint ;
• …

Ce sont des évènements qui se déroulent en ligne pour la grande majorité et durent en moyenne deux à trois jours ouvrés. Certains organisent même des "pré-qualifications" en ligne pour ensuite convoquer sur place les dix meilleures équipes pour les départager. On retiendra le célèbre exemple de la DEFCON.

Bien sûr ! A l'heure où ce sujet est rédigé, vous pouvez nous retrouver sur le canal IRC #zds-ctf du serveur irc.smoothirc.net où l'organisation se déroule.

Une liste publique est disponible sur le site de CTFTime.

L'évènement le plus intéressant à venir est le Tend Micro CTF du 22 à 6h (Heure de Paris) au 23 Août 2015 à 6h (Heure de Paris).

Pas de problème. Le seul vrai pré-requis (que vous avez sûrement déjà puisque vous lisez ce topic), c'est d'être un contributeur régulier sur Zeste de Savoir, que vous soyiez simple visiteur sur le site ou un contributeur aguéri ! pour faciliter l'intégration dans l'équipe. L'objectif est de résoudre des défis unis sous une même bannière, celle de notre Clem' nationale. Les plus défavorisés et désireux d'apprendre seront tirés vers le haut par les plus expérimentés qui s'engageront à le faire.

Et bien sûr, si vous avez la moindre question, n'hésitez pas à poster à la suite de ce sujet !

Merci pour votre lecture.

Liens pour vous exercer

• http://www.wechall.net (Gros annuaire)
• http://www.root-me.org/
• http://smashthestack.org/
• https://www.newbiecontest.org/
• http://overthewire.org/wargames/
• http://www.w3challs.com

Quelques références

• Jon Erickson - Hacking: The art of exploitation
• Dafydd Stuttard - The Web Application Hacker's Handbook
• Bruce Schneier - Applied Cryptography

À préciser que pour le Tend Micro CTF il faut avoir plus de 20 ans. Je ne pourrai donc pas vous rejoindre, mais j'attends le prochain évènement avec impatience !

Et il faut être originaire d'Asie de l'Est aussi… Seulement si tu veux te présenter aux finales sur place. Rien ne t'empêche de venir participer avec nous sur IRC pour les qualifications.

A l'image des défis, on pourrait organiser des séances d'entrainement aux CTF. Ou alors s'entraîner sur Over The Wire, mais j'ignore si c'est le même principe.

Mea culpa, j'ai lu trop vite. Effectivement, ça peut être une bonne idée. Je serai aussi partant pour faire des "CTF-blancs" pour l'entrainement.

Très bonne idée. Et les challenges d'Over The Wire sont un très bon moyen de s'entraîner aussi.

Il y a Root-Me qui est pas mal en tant que plate-forme d'apprentissage pour ce genre de chose.

En effet je trouve que faire des petits défi orienté CTF ça pourrait être une super idée !

Partant.

Ca pourrait être l'occasion de faire une série d'articles : on a tel problème, on le "résoud" de telle manière, laquelle a tels inconvénients, etc. Ca ferait écho à cela.

Ou faire ce qu'on appelle des "write-ups" et montrer notre solution qu'elle soit originale ou non. Ca nous permettra d'une part de partager notre retour d'expérience à la communauté, et d'autre part ramener des visiteurs ici.

EDIT: chiotte les liens ne semblent pas fonctionner, je les remets en dessous du poste

Je ne pense pas pouvoir être présent physiquement souvent mais si vous acceptez les personnes de tout niveau alors ça serait avec GRAND plaisir.

Par contre ça serait sympa je pense que les intéressés décrivent un peu leurs compétences en la matière, le but n'étant bien entendu pas de juger mais plutôt au contraire de mieux pouvoir "s'entraider", ça permettrait à ceux qui n'ont pas spécialement de compétences de savoir à qui s’adresser pour tel ou tel truc.

Pour ma part je ne sais pas trop où me placer; j'ai quelques bases (failles web (XSS, CSRF, failles de formulaires d'upload, injections SQL et autres broutilles) et je me suis lancé depuis quelques mois dans l'applicatif (buffer overflow "basiques" (en bref sans trop de protections, la seule que je parviens à bypasser pour le moment c'est la pile non exécutable), un peu de heap overflow et j'ai aussi un peu testé les format strings mais je n'arrive pas encore à l'exploiter (c'est la dernière partie de l'exploitation qui me pose quelques soucis ^^)

Au niveau "challenge" je n'ai jamais participé à un CTF, j'ai par contre assisté 2 fois à la Nuit du Hack mais bon je ne faisais pas vraiment le poids face à une majorité de personnes venant d'écoles d'informatique/d'ingénieurs réputées par contre j'ai pas mal fouiné sur 2-3 sites de challenges dont Newbie Contest ( ) (d'ailleurs il me semble que c'est de là bas, par le biais d'un gars dont le pseudo était Crisis que je t'ai "connu" Ge0 ) et plus récemment Root Me ( et voilà mon profil )) (que je recommande car très varié et justement ils possèdent une section "CTF" où le principe est de se connecter à une machine virtuelle et de trouver un moyen de la rooter en un temps imparti. Sinon il y a toutes les sections "classiques" (web, crypto, stegano, programmation, applicatif, cracking etc)

Bref perso: partant à 200%

Newbie Contest: https://www.newbiecontest.org/

Root Me: http://www.root-me.org/

Mon profil sur Root Me: http://www.root-me.org/Que20?inc=score&lang=fr

Intéressant ! Malheureusement, je ne pense pas avoir le temps pour y participer activement. Par contre, je suivrai les discussions ici et sur IRC =) .

Ça m'intéresse même si je risque d'être largué en deux secondes

Comme je le répète, on risque tous d'être plus moins largué, et ce même si on a une première expérience en CTF.

Rejoignez le canal IRC, ça sera un super bon début.

Déterrage furtif

Y a toujours du monde là-dessus ?

Actuellement le chan IRC est mort. Mais si il y a un capture the flag en cours, peut etre que des gens seront intéressés…

Toujours intéressé

Personnellement, je suis surtout intéressé pour trouver la motivation de m'y mettre un peu sérieusement…

Des CTF prévus pendant l'été ? J'avoue que j'en referai bien un pendant l'été !

En déterrant ceci, je pensais qu'on allais jouer à Quake Live ou Unreal Tournament moi

J'ai dégoté ceci (sur https://ctftime.org/event/list/) :

SECUINSIDE du 9 au 10 juillet

http://ctf.cykor.kr/login?next_=http%3A%2F%2Fctf.cykor.kr%2Fchallenges%2F

ABCTF du 15 au 22 juillet

http://abctf.xyz/

labyREnth du 15 juillet au 14 août

http://labyrenth.com/

IceCTF du 12 au 26 août

https://icec.tf/

Avec AmarOk, Cornichon et Geo on y avait participé il me semble. Et quelqu'un d'autre dont j'ai oublié le pseudo…