Alle som har lyst til å lære seg praktiske ferdigheter innen sikkerhet trenger å begynne et sted. Hvor begynner du om du har lyst til å lære å hacke?

Capture the Flag konkurranser, eller «CTF-er» er en god måte å begynne for å lære seg noen av de praktiske ferdighetene man trenger som en pentester, eller «etisk hacker». Dette er kort sagt konkurranser eller spill, hvor oppgavene omhandler forskjellige aspekter av IT-sikkerhet.

Her ønsker vi å samle hvilke gode CTF’er som fins der ute, både for nybegynnere og mer avanserte CTF-deltagere. Denne siden oppdateres fortløpende, så kom gjerne med forslag hvis du kjenner til en god CTF som ikke har blitt nevnt her!

Over The Wire (http://overthewire.org): Denne online CTF’en består av flere wargames med forskjellige hovedtemaer. De beste for nybegynnere er følgende:

  • Bandit: UNIX, SSH og lignende (en god «aller første CTF». Her begynner man helt fra scratch, og introduseres til nye ting i et behagelig tempo)
  • Natas: Web
  • Krypton: Krypto
  • Narnia: Exploitation

Etterhvert som man får til de nevnte kan man bevege seg videre til flere andre, mer kompliserte og varierte wargames.
Over The Wire er et godt sted å starte, siden den starter med å anta at du kan veldig lite og bygger seg opp derifra. Dermed passer den for både nybegynnere, og veteraner som vil friske opp the basics.

PicoCTF (https://picoctf.com): PicoCTF er en årlig CTF som har som mål å lære folk om forskjellige emner innen datasikkerhet. Denne passer også for både nybegynnere og mer avanserte, ettersom den har en gradvis stigende vanskelighetsgrad. Selv om selve konkurransen går årlig, ligger oppgavene fra tidligere år ute så man kan øve seg og gjøre konkurransene i ettertid.

Attack Defense (https://attackdefense.com): En rimelig ny CTF i Beta, som har oppgaver innen de aller fleste CTF-områder. Det kommer stadig nye oppgaver, så her er det bare å følge med. Oppgavene er sortert etter kategorier (cracking, recon, Metasploit, forensics, etc) og vanskelighetsgraden spenner hele spekteret fra helt grunnleggende til meget avansert, så denne passer for alle!

Hack The Box (https://hackthebox.eu): HackTheBox er en av de mest realistiske CTF’ene der ute, siden hovedfokuset er å angripe faktiske «bokser» (altså datamaskiner) som kjører på nettet. Du kobler på HTB nettet via VPN (instruksjoner på websiden) og så får du flere IP’er til forskjellige maskiner du kan prøve å angripe og hacke deg inn på. Boksene skal tas på forskjellige måter. HTB har også en seksjon kalt «Challenges» som har mer tradisjonelle CTF oppgaver. There’s a catch: for å komme inn på HTB er du nødt til å hacke deg til en invite kode… lykke til!
HTB er hakket mer avansert enn Over The Wire, så den er gjerne grei å ta fatt på når du begynner å føle deg komfortabel i Bandit og Natas wargamene til Over The Wire.

TG:HACK (https://tghack.no): TG:HACK er en CTF som holdes årlig på The Gathering, men fra 2019 av blir en del av oppgavene sluppet online. Dermed kan man bryne seg på oppgaver innen de fleste vanlig CTF emnene, som web, crypto, pwn, stego, reversing, osv. Hvis man deltar på The Gathering er TG:HACK en god mulighet til å både lære mer og bli kjent med likesinnede sikkerhetsentusiaster. (og man kan vinne pengepremier, heder og ære!)

Cryptopals (https://cryptopals.com): Cryptopals er en nettside som samler utfordringer innen kryptografi, fra helt grunnleggende kryptosystemer til avanserte og moderne ciphers. Dette er en veldig god nettside for å få seg en jump-start innen krypto!

Hack This Site (https://www.hackthissite.org): Hack This Site er en gammel, men god, intro til hacking hvor målet er å bygge kunnskaper helt til du er i stand til å «hack this site». Sammen med Over The Wire er denne også en god plass å starte.

CTFtime (https://ctftime.org): CTFtime opprettholder et arkiv over tidligere CTF’er, samtidig som den gir en oversikt over pågående og kommende live CTF’er. Den gir og en oversikt over CTF team ratings. Her kan du finne CTF’er fra alle forskjellige steder og arrangementer, med alle typer oppgaver.

Root-me (https://www.root-me.org): Denne CTF’en inneholder både challenges og virtuelle environments, litt likt HTB, men inneholder også user-submitted solutions. Dermed kan du se hvordan andre deltagere har løst oppgaver, enten du trenger hjelp for å komme videre eller vil se hvilke andre måter som finnes.

Google Capture The Flag (https://capturetheflag.withgoogle.com): Google holder også årlig en CTF, men selv om konkurransen er over ligger fortsatt oppgavene ute. Denne CTF’en er hovedsakelig siktet på avanserte deltagere, men den har i tillegg en gruppe oppgaver kalt «Beginners Quest», hvor du blir steg for steg introdusert til flere typer oppgaver av stigende vanskelighetsgrad.

VulnHub (https://www.vulnhub.com): VulnHub er en samling av VM’er hvor målet i stor grad er likt som på HTB, skaffe seg root eller hacke seg inn på en kjørende applikasjon. Det er både enkle og vanskelige VM’er, så her kan alle finne noe som passer dem.

Crackmes (https://crackmes.one): Dette er en samling av såkalte «crackmes» hvor du kan øve deg på reverse engineering skills. Oppgavene er rangert etter vanskelighetsgrad så her skal også alle kunne finne noe å bryne seg på.

SANS Holiday Hack Challenge (https://www.holidayhackchallenge.com): Hvert år har SANS en CTF rundt juletider kalt Holiday Hack Challenge. Hvis man deltar under konkurransen er det muligheter for å vinne store premier, men oppgavene ligger også ute etter konkurransen slik at man kan jobbe med å forbedre ferdighetene sine. Denne CTF’en er også siktet på å ha gradvis voksende vanskelighetsgrad, så denne passer for både nybegynnere og veteraner.

OWASP WebGoat (https://www.owasp.org/index.php/OWASP_WebGoat_Project): OWASP WebGoat er en web app som er utviklet for å være usikker by design. Ved å spinne den opp som en VM eller i Docker kan du øve på flere forskjellige typer virkelige sårbarheter du skal utnytte i applikasjonen. Faget INF143 – «Tryggleik på internett» ved UiB bruker denne i gruppetimene sine, så den er designet for nybegynnere.

OWASP Security Shepherd (https://www.owasp.org/index.php/OWASP_Security_Shepherd): Denne er i samme stil som OWASP WebGoat en platform for å øve på egenskaper innen applikasjonssikkerhet. Hvis du har kommet deg gjennom OWASP WebGoat kan OWASP Security Shepherd være verdt å ta fatt på. Denne har også en scoreboard funksjon, så du kan samle sammen noen venner og ha en CTF konkurranse lokalt sammen!

OWASP Juice Shop (https://www.owasp.org/index.php/OWASP_Juice_Shop_Project) OWASP Juice Shop er en vulnerable-by-design web app med en hel drøss utfordringer. Første utfordring er å finne scoreboardet med oppgavene, og derifra har du masse oppgaver med små hint om web app pen-testing.

Metasploitable (https://information.rapid7.com/download-metasploitable-2017.html): Dette er en VM som er designet for å hjelpe deg med å ta dine første steg med rammeverket Metasploit. Med flere tiltenkte sårbarheter vil du ha en mulighet til å eksperimentere med exploits og annet i Metasploit på en trygg måte.

SmashTheStack (http://smashthestack.org): SmashTheStack er en samling av wargames hostet online.

SQLI-labs (https://github.com/Audi-1/sqli-labs): En samling av lessons og oppgaver rundt forskjellige varianter av SQLI.

Altoro Manual (https://demo.testfire.net): Altoro Manual er en vulnerable-by-design web app hvor du kan prøve deg frem med å bruke teknikker du har lært. Siden ble originalt laget for å demonstrere effektiviteten til BlackBox Scanners.

Pwnable (1)(https://pwnable.xyz): En nettside med oppgaver siktet på nybegynnere innen pwn og exploitation.

Pwnable (2)(https://pwnable.kr): En nettside med oppgaver siktet på viderekomne innen pwn og exploitation. Naturlig å steppe videre hit etter pwnable.xyz.

Pwnable (3)(https://pwnable.tw): En nettside med oppgaver siktet på binary exploitation.

Tuts 4 You (https://tuts4you.com): En nettside med ressurser og oppgaver innen feltet reverse engineering. Her finner du både guides, tutorials, lesestoff og oppgaver.

HackCenter (https://hackcenter.com): En nettside som driver CTF-style læringsopplegg.

Reverse Engineering Challenges (https://challenges.re): Her finner du en stor samling med oppgaver innen forskjellige former for reverse engineering.

WeChall (https://www.wechall.net): Dette er en nettside som holder oversikt over mange CTF’er, så hvis du er gått tom for nye CTF’er kan du lete gjennom «sites» seksjonen her for å finne nye utfordringer. Den har også et ranking system, hvor du kan registrere oppgaver du har tatt på andre CTF’er for å konkurrere med andre brukere.Pwnable (https://pwnable.xyz): En nettside med oppgaver siktet på nybegynnere innen pwn og exploitation.

Følg også med på om det arrangeres lokale CTF’er nær deg! Vi i Helt Sikker arrangerer jevnlig CTF’er for studentene våre, og det finnes flere andre aktører som også har lokale eller online CTF’er. En av de større i Norge er TGHack, som er en CTF som arrangeres hvert år på datasamlingen The Gathering.

Ta gjerne kontakt om noe er feil, eller om du har forslag til andre CTF-er som burde være på lista.

Skrevet og vedlikeholdt av Erik Vetle Larsen og Martin Tverråen.