Herkese merhaba değerli Türk Hack Team ailesi bugün ctf turlerinden ve ne oldugundan ,ctf yarısmlarından bahsedeceğim .
CTF Nedir ?
CTF(Capture the flag) yani bayrağı yakala adıyla bilinen siber güvenlik alanında düzenlenen uygulamalı öğretici tecrube gerketiren yarışmalardır . Bu yarışmaların asıl amacı, hack konusunda öğrenilen bilgiye sahip olan insanların bu bilgileri pratiğe dökerek kendilerini test etmelerini ne kadar bilgili ve zeki olduklarını sağlamak ve kanıtlmaktadır. Ctf yarısmaları genllikle bulut tabanlı sistemler ile online olarak duzenleniyor genellikle finallerde finale kalan kişiler bir mekanda kapısıyor. Genllikle bu yarısmalarda 8 'ser 4 'er gruplar halinde katılım sağlanıyor isteyenler tek basınada katılabiliyor. CTF yarısmaları genellikle para odullu oluyor bu oduller cok fazla veya standart olabilir bazı ctflerde 1. takıma 80.000 tl odul verilirken baska bir ctf yarımasında 5.000 odul verilebiliyor buda ctf in kalitesine ve imkanlara göre değişiyor. Ctftime adlı sitede genellikle her hafata ctf yarısmaları duzenleniyor ancak bu yarısmalar genellikle jeopardy tarzında oldugu için yeni baslayan kişiler sorular karsında caresiz kalabilir yeni baslayan kişilere tavsiyem tryhackme , hackerone vb. ctf seviyelerinin oldugu ctflerde easy seviyesinden baslayarak kendilerini alıstırması olacaktır. CTF yarısmaları genellikle Hacking konferansları bünyesinde gerçekleştirilmektedir , takım olarak yarışılır ya Lokal ya da Uzaktan olara farklı konularda uzmanlığı olan kişilerin takımınızda olması bir avantajdır cunku daha profesyonel yetenek odaklı takım elde etmiş olursunuz ve buda takım içi iş paylaşımına aartı saglar cunku herkes iyi oldugu katagoriye yonelir.
CTF yarısmalarına hazırlanırken gecmişteki ctf sorularını cozebilir arastırabilirsiniz ornegin x şşireketinin yaptıgı bir yarısama olacaksa ve gecensene de x şirketi bir yarısma düzenlediyse bu sorulara göz atılabilir , CTF yarışmalarında uygulanmış metodları ve hangi mantıkla hazırlanmış olduklarını inceleyerek , yarışmalarda çıkabilecek farklılıklara hazırlık yapılabilir ve en az bir katagoride cok uzman olmalısınız .
CTF yarışmalarında 2 farklı tür vardır:
1)Jeopardy
2) Attack /Defense
1-) JEOPARDY CTF
Bu tür, iletilen güvenlik sorularına doğru yanıt vererek adım adım bayrakları yakalamaya çalışır. Soruların zorluk seviyeleri ve puanları birbirinden farklıdır. Bir soruyu yanıtlamadan diğer bir soruya geçemezsiniz.
2-) ATTACK / DEFENSE
Bu türde, bir takım savunma yaparken diğer takım saldırı yapmaktadır. Gruplara sunulan sistemde zafiyetleri kapatmaya çalışırken rakipler açıkları bulmak için uğraşırlar. Yani karşılıklı bir mücadele vardır.
CTF Soru türleri genellikle ;
- Web
- Mobile
- Crypto (Kriptografi)
- Forensics
- Network
- Exploiting
- Reversing
- Steganography(Bilgi gizleme)
- Binary analysis
- Mobile
katagorileri ile karsımıza cıkmaktadır.
Bilgi Toplamada ise genellikle ele alınan seyler ;
- Port tarama ve IPS atlatma
- Network analizi ve network saldırıları
- Kablosuz ağlara sızmak, WPA/WPA-2 kırılması
- Paket analizi
- TCP/IP düzeyinde saldırılar
- Brute force, Parola saldırıları, wordlistler
- Dns saldırıları
- Exploit geliştirme ve kullanma
- Zafiyet tespiti (Vulnerability Discovery)
- Güvenlik duvarı, IDS, IPS, WAF gibi sistemleri aşmak
- Süreç içerisinde ihtiyaç duyulan toolkit'lerin geliştirilmesidir.
CTF PLATFORMLARI
Bu ctf platformlarına göz atabilirsiniz baslangıç için tryhackme , hackthebox , hackerone ve picoctf sitelerini önerebilirim.
Hackthebox https://www.hackthebox.com/
Tryhackme https://tryhackme.com/paths
vulnhub https://www.vulnhub.com/
ctf101 https://ctf101.org/
pwnlab https://pwnable.xyz/challenges/
ctftime https://ctftime.org/
backdoor https://backdoor.sdslabs.co/challenges/2013-BIN-50
Crackmes https://crackmes.one/
hackthissite https://www.hackthissite.org/
hacking lab https://hacking-lab.com/
io http://io.netgarage.org/
microcorruption https://microcorruption.com/login
Over The Wire https://overthewire.org/wargames/
xss game https://xss-game.appspot.com/
hacker101 https://ctf.hacker101.com/
google ctf https://capturetheflag.withgoogle.com/
ctf viblo https://ctf.viblo.asia/landing
reversing http://reversing.kr/
pwn challenge http://pwn.eonew.cn/
MysteryTwister! https://mysterytwister.org/home/welcome/
defend the web https://defendtheweb.net/
ctfd https://ctfd.io/
cyber talents https://cybertalents.com/
cyberskyline https://cyberskyline.com/
priviahub https://priviahub.com/
kontra https://application.security/
rootme https://www.root-me.org/?lang=en
webhacking https://webhacking.kr/chall.php
root the box https://root-the-box.com/
attack defense Attack-Defense Online Lab
pentesterlab PentesterLab: Learn Web Penetration Testing: The Right Way
Hackthebox https://www.hackthebox.com/
Tryhackme https://tryhackme.com/paths
vulnhub https://www.vulnhub.com/
ctf101 https://ctf101.org/
pwnlab https://pwnable.xyz/challenges/
ctftime https://ctftime.org/
backdoor https://backdoor.sdslabs.co/challenges/2013-BIN-50
Crackmes https://crackmes.one/
hackthissite https://www.hackthissite.org/
hacking lab https://hacking-lab.com/
io http://io.netgarage.org/
microcorruption https://microcorruption.com/login
Over The Wire https://overthewire.org/wargames/
xss game https://xss-game.appspot.com/
hacker101 https://ctf.hacker101.com/
google ctf https://capturetheflag.withgoogle.com/
ctf viblo https://ctf.viblo.asia/landing
reversing http://reversing.kr/
pwn challenge http://pwn.eonew.cn/
MysteryTwister! https://mysterytwister.org/home/welcome/
defend the web https://defendtheweb.net/
ctfd https://ctfd.io/
cyber talents https://cybertalents.com/
cyberskyline https://cyberskyline.com/
priviahub https://priviahub.com/
kontra https://application.security/
rootme https://www.root-me.org/?lang=en
webhacking https://webhacking.kr/chall.php
root the box https://root-the-box.com/
attack defense Attack-Defense Online Lab
pentesterlab PentesterLab: Learn Web Penetration Testing: The Right Way
