Curso CTF Competitivo
Curso CTF CompetitivoPresentación
Índice1. Horario de clase2. Material básico necesario3. Módulos del curso4. Plataformas que vamos a utilizar2
Horario y aula de clase 1 Octubre – 17 Diciembre Todos los viernes de 17:00 a 19:00 Presencial: Se anunciará el aula porcorreo cada semana Online: Sesión de Teams cadaviernes en el mismo horario Información: https://urjcctf.github.io/web/ Recomendado asistir a todas lassesiones (en cualquier modalidad)3
Material básico necesario¿Qué es necesario para participar? Un ordenador con conexión a internet(obviamente) VirtualBox, para usar la imagen que os vamos aproporcionar Ganas de aprender Recomendado: Conocimientos básicos en algún lenguaje deprogramación Conocimientos básicos de Linux y/o terminal Soltura utilizando los buscadores (Google,Bing, DuckDuckGo )4
¿Quiénes sois vosotros?5
Módulos del cursoMódulo I: Introducción a retos básicosMódulo II: OSINT, Forense y EsteganografíaMódulo III: Ataques a servidores y explotación webMódulo IV: Reversing y explotación de binarios6
Plataforma de retos del cursohttps://ctf.numa.host/Credenciales en correo de bienvenida7
Plataformas recomendadasPico CTF: https://picoctf.org/OverTheWire: https://overthewire.org/wargames/TryHackMe: https://tryhackme.com/HackTheBox: https://www.hackthebox.eu/Atenea: https://atenea.ccn-cert.cni.es/home8
1. Introducción a los CTF y retosbásicosAlejandro Bermejo, Javier Sánchez García-Ochoa,Inés Martín, Carlos Alonso y Sergio Pérez
Índice1. ¿Qué es un CTF?2. ¿Qué tipos de retos se encuentran en los CTF?3. Conceptos básicos: encuentra la bandera4. Criptografía y codificaciones básicas Representación de los datos Codificaciones y cifrados Otros cifrados (XOR, Dcodefr ) Hashes (MD5, SHA1, SHA256)105. Retos básicosJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
¿Qué es unCTF?
¿Qué es un CTF?CTF Capture The Flag(Captura la Bandera) Competición de hacking, en la queponemos a prueba nuestras habilidadesresolviendo retos de ciberseguridad enun tiempo limitado. Por equipos o individual12Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Conceptos básicos: encuentra la bandera1. Elige un reto2. Resuélvelo lo antes posible3. Introduce la flag y obtén puntos13Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Tipos de CTFExisten 3 tipos principales de competiciones CTF:1. Jeopardy: retos de distintas categorías a resolver en un tiempo limitado.2. Ataque – Defensa: 2 equipos, 2 redes y servicios vulnerables en cada red.Ambos equipos deben atacar a los servicios del contrincante a la vez quedefienden los suyos.143. Boot2root: máquinas creadas con fallos deseguridad que se deben explotar paraconvertirse en superusuario (root).4. MezclaJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
CategoríasForenseWebCriptografíaInvestigaciones sobreincidentes informáticosBúsqueda y explotación devulnerabilidades en aplicaciones webDescifrado de mensajesilegibles a simple vistaReversingOSINTAnálisis del código deprogramas y ejecutablesRecolección de datos a través defuentes públicas de información15EsteganografíaTécnica que oculta mensajeso archivos dentro de otrosJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
CRIPTOGRAFÍA BÁSICA
Criptografía - Representación de los datosEs esencial entender que nos podemos encontrar los datos con diferentes formatos. Sinembargo, su significado será el mismo. Las formas más comunes son:ASCIIRelaciona caracteres connúmeros. A cada carácterle corresponde un valor dela tabla ASCII.17HexadecimalUtiliza base 16 comorepresentación de losdatos. En caracteres tomacomo referencia el valorASCIIJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Representación de los datosEs esencial entender que nos podemos encontrar los datos con diferentes formatos. Sinembargo, su significado será el mismo. Las formas más comunes son:Binario18Es la representación másbásica. Tan solo utiliza dosvalores: 1 y 0.Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
ASCIIPalabraCTF{Bienvenidos}067 084 070 123066 105 101 110118 101 110 105100 111 115 12519Binario01000011 01010100 0100011001111011 01000010 0110100101100101 01101110 0111011001100101 01101110 0110100101100100 01101111 0111001101111101Hexadecimal43 54 46 7b 42 69 65 6e76 65 6e 69 64 6f 73 7d e280 8bCyberChef: https://gchq.github.io/CyberChef/Dcode.fr: https://www.dcode.fr/Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Codificaciones y cifradosAlgunas de las maneras más comunes de ocultar información son mediante codificaciones ycifrados. Esto consiste en utilizar una única clave para cifrar y descifrar la información. Por lotanto, siendo el cifrado reversible.Codificaciones Representan la misma información dediferentes maneras. Es reversible Algunos ejemplos son Base64, Base32o ASCIICifrados Ocultan la información medianteclaves, normalmente secretas, y unconjunto de operaciones. Es reversible Algunos ejemplos son ROT-N/Césaro Vigenère20Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Codificaciones y cifradosBASE64Es un sistema de numeración posicional que usa 64 caracteres como base.Sirve para representar cualquier información en binario como texto. Se suele identificarrápidamente por su estructura (en general, suelen acabar en )Texto originalTexto en Base64CTF{Esto es un texto enBase64. También existenotras como Base32, Base58o Base85, por ZTU4IG8gQmFzZTg1LCBwb3IgZWplbXBsb30 21Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Codificaciones y cifradosROT-NEs un tipo particular de cifrado en el que los caracteres se desplazan N posiciones. Por ello, N seránuestra clave secreta que ayudará a cifrar y descifrar el texto. Además de conocer laclave, deberemos conocer el diccionario que se usa.Texto originalTexto en ROT 13CTF{El rot solo va amodificar las letras, pero nolas llaves}PGS{Ry ebg fbyb in nzbqvsvpne ynf yrgenf, creb abynf efghijklm22Cifrado deCésarJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Codificaciones y cifradosVigenèreSe basa en una tabla con dos entradas. Una será la clave y la otra el texto a cifrar. Iremossustituyendo en el texto carácter a carácter con ayuda de la tabla y la clave. La clave será la mismapara cifrar y descifrar.Texto originalTexto en VigenèreCTF{Mi clave de cifrado esChachipiruli}EAF{Op kaimy om epfthld mjWsieoirpzjtz}23Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Codificaciones y cifradosC T F { M i c l a v e d e c i f r a d o e s C h a c h i p i r u l i}C H A{ c h i p i r u l i C h a c h i p i r u l i C h a c h i p i r l}E A F{O p k a i m y o m e p f t h l d m j W s i e o i r p z j t z}Texto originalCTF{Mi clave de cifrado esChachipiruli}24Texto en VigenèreEAF{Op kaimy om epfthld mjWsieoirpzjtz}Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Otros cifradosXORConsiste en cifrar siguiendo unas reglas matemáticas y una clave secreta. Como la longitudde la clave suele ser menor al texto, se repetirá cíclicamente. Todos los caracteres se pasarána binario y se operará con ellos. Reglas:1. Conmutativa: A xor B B xor A252. Asociativa:(A xor B) xor C A xor (B xor C)3. Autoinversa:(A xor B) xor B AJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Otras codificacionesTic-Tac-ToeTexto originalTexto en Tic-Tac-ToeCTF{Hay cifrados de todotipo}26DCode.fr: https://www.dcode.fr/chiffre-tic-tac-toeJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía – Otras codificacionesSustitución con Banderas marítimasTexto original: avier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
CyberChef: https://gchq.github.io/CyberChef/
EJ 1: NhciB1biBiYXNlNjR9EJ 2: GXJ{Rs xshsw psw VSX wsr 57}EJ 3: OgLKZtMTHtqJ5uVUMyra0 EJ 4: -.-. - .-. / . . - --- / . . / -.-. --- -. . --. --- / -- --- .-. . . /29EjerciciospropuestosJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Hashes¿Qué es un hash? Es una función matemática o criptográfica, resume lainformación Da como resultado una cadena de caracteres de longitud fija(digest), independientemente de la longitud entrada30 Es irreversible. Una vez aplicada no se puede obtener elvalor inicial.Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Hashes Lo que sí puede hacerse es pre-computar cadenas típicas, dado que una funciónhash devolverá el mismo resultado para la misma cadena (es determinista) Conociendo la función utilizada podemos realizar ataques de fuerza brutasobre los hashes, de forma que, si en nuestro diccionario se encuentra la palabrahasheada, sabremos qué esconde el hash31 Es importante destacar que esto NO ES LO MISMO QUE REVERTIR ELCÁLCULO Intentar adivinar un hash de una palabra de longitud mayor que 8 escomputacionalmente muy costosoJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Hashes Existen determinadas funciones hash cuyo uso no se recomienda MD5 SHA1 Aunque la probabilidad es muy baja, podrían existir colisiones32Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Hashes Cada fichero se puede resumir con un valor hash Existen herramientas que, dada una lista de hashes, nos automatizan el proceso de obtener unvalor que genere dicho hash. Esto permite obtener la contraseña de ficheros cifrados33Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía – Hashes (Ejemplo)34Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía – Hashes (Ejemplo)35Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía – Hashes (Ejemplo)36Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía – Hashes (Ejemplo)37Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
Criptografía - Hashes Como atacantes, esto nos viene bastante bien,dado que podemos intentar encontrarcolisiones que nos favorezcan38 Como defensores, debemos utilizar siemprefunciones hash segurasJavier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
RETOS BÁSICOS
Para practicar lo aprendido Para practicar lo que hemos visto hasta ahora, podéis realizar losprimeros 7 retos de la categoría Básica de la plataforma Ateneahttps://atenea.ccn-cert.cni.es/challenges Estos retos resumen lo visto hasta ahora La semana que viene, veremos criptografía más avanzada RSA, AES, etc.40Javier Sánchez, Alejandro Bermejo, Inés Martín, Carlos Alonso y Sergio Pérez
1. Introducción a los CTF y retosbásicosAlejandro Bermejo, Javier Sánchez García-Ochoa, Inés Martín, Carlos Alonso,Sergio Pérez
Se basa en una . tabla con dos entradas. Una será . la clave . y la otra . el texto a cifrar. Iremos sustituyendo en el texto carácter a carácter con ayuda de la tabla y la clave. La clave será la misma para cifrar y descifrar. Texto original. CTF{Mi clave de cifrado es Chachipiruli} Texto en Vigenère. EAF{Op kaimy om epfthld mj Wsieoirpzjtz}
§Increase awareness and interest in cyber security §Host annual CTF challenge for CAE community §"Advertise" through social media and NSA Tech Talk community §Use CTF platforms in the classroom §Engages both online and on-campus students §Experiment with teams versus solo effort -both have pros and cons §Often first time students have seen/competed in a CTF
Capture the Flag Finals Shortman. The CTF Live Attack/Defense CTF 16 Teams from all over the world Must qualify by either winning a qualifier or finishing in the top X in the Defcon qualifier CTF. Pre-qualified Teams DEF CON 2018 CTF - 12 August 2018 - prequalified: DEFKOR00T
Sistema de control DeltaV 7009 Curso básico 4.5 2-6 4-8 5-9 7017 Curso avanzado 4.5 16-20 18-22 2-6 7016 Curso batch 4,5 20-24 19-23 7018 Curso mantenimiento 4 23-26 8-11 16-19 7012 Curso operación 3 13-15 14-16 1-3 Sistema de Control Ovation OV-010 Curso de Operación 3 2-4 11-13 21-23 OV-100-WIN Curso de Ingenieria 4.5 23-27 22-26 26-30
CTF PRIVATE SECTOR PROPOSAL A JOINT SUBMISSION FROM IFC & IDB Name of Project or Program Colombia Sustainable Energy Finance Program (C-SEF, the "Program") CTF amount requested Total: US 17.5 million comprising: 1. Investment - up to US 15 million equivalent in risk sharing facilities (RSF) and in loans. 2.
para el plegado tridimensional de una proteína reside en su estructura primaria, y no necesita nada más para plegarse en su forma nativa. 11. Explica cómo afecta un inhibidor no competitivo a la KM y Vmáx de una reacción enzimática. El inhibidor no competitivo se une de fo
nÚmero de horas y crÉditos. i curso. 21 nÚmero de horas y crÉditos ii curso 22 mapa curricular 23 rÉgimen acadÉmico. 24 i curso : descripciÓn sintÉtica de las asignaturas del programa 33 primer curso. programa. 33 primer curso. asignaturas teÓricas. nÚmero de horas
respectivo curso). Até o limite de 25% da carga horária para Atividades Complementares exigida pelo curso. Diretamente pela Coordenação de Curso via lista de presença ou pelo aluno, via requerimento dirigido à Coordenação de Curso, com a devida documentação comprobatória, p
Zoo Animal Nutrition IV Zoo Animal Nutrition IV (2009) was edited by M. Clauss, A. Fidgett, G. Janssens, J.-M. Hatt, T. Huisman, J. Hummel, J. Nijboer, A. Plowman. Filander Verlag, Fürth ISBN-13: 978-3-930831-72-2 To obtain a copy of the book, contact Filander Verlag at info@filander.de Dierenfeld, E. S. Conservation collaborations: nutrition .
