완료됨
25 코인
Attack & Defense CTF 질문
일반적인 문제 풀이 형식의 CTF가 아닌 attack & defense CTF에서는 포너블, 리버싱 같은 분야가 어떻게 활용되나요?
HackTheBox같은 플랫폼을 통해 침투 테스팅 문제들을 실습해보면 거의 90%가 웹 해킹이고 시스템 해킹은 그나마 서버 침투 이후 권한 상승할때 이용될까 말까한 수준이던데
실제 Attack & Defense CTF에서도 리버싱과 포너블의 비중은 웹에 비해 매우 적은 수준인가요?
혹시 관련 레퍼런스가 있다면 알려주시면 감사하겠습니당..!
답변
1
질문자가 채택한 답변입니다. 좋은 지식을 공유해줘서 고마워요!
그냥 가벼운 경험 공유 목적으로 글 적어봅니다
얼마 전에 진행된 FAUST CTF 2022 (Attack & Defence)는 VPN으로 연결된 VM이 각 팀마다 주어지고,
상대방 VM의 취약한 서비스들을 공격하는 방식의 대회더라구요
(동시에 우리팀꺼는 공격 못하게 패치 해야함. 패치 후에도 서비스의 Availability는 지켜져야함)
취약한 서비스로 웹 서비스도 있었고, 데몬으로 등록된 바이너리도 있긴 했었습니다.
(웹에 치중된 대회는 아니었지만 바이너리 비중이 높지는 않았습니다. 포너블이 있었는지는 모르겠네요 리버싱은 있었습니다.)
데몬으로 등록된 바이너리의 경우 sqlite를 불러와서 사용하는데,
리버싱해야 로그인 로직을 파악할 수 있고 그래야 DB에 있는
플래그를 얻을 수 있는 문제가 있긴 하더라구요 (크립토랑 리버싱 섞인 느낌)
포너블 쪽은 잘 모르겠네용.. 서비스를 다 분석해본 것은 아니여서 다른 서비스들 롸업을 봐야 알 것 같은데 덜 올라왔네용ㅠ