CTF for ビギナーズ2015 博多（Attack & Defense）

そけと @sys_socket

RaspberryPiで構築されたサーバーらしいの #a_and_d

くろむ @cunomiuna

ごちArch #a_and_d

SECCON Beginners @ctf4b

攻防戦のルール説明が始まりました！みなさん真剣に聞き入っています！#ctf4b #a_and_d

安心院 @Cos5X

がんばるぞー #a_and_d

SECCON Beginners @ctf4b

攻防戦の仕組みを作った作成者からの熱い思いと共にPHPで作ってあるってしゃべっちゃった！！#ctf4b #a_and_d

SECCON Beginners @ctf4b

はじめての攻防戦なので、たぶんトラブルが発生します。暖かい目でみまもってください。 #a_and_d

BUSHIDO_P @BUSHIDO_132009

テンションあがってきた #a_and_d

くろむ @cunomiuna

糖分を開ける kenzenlab #a_and_d

くろむ @cunomiuna

開幕　#a_and_d

SECCON Beginners @ctf4b

福岡の攻防戦開始！#ctf4b #a_and_d

SECCON Beginners @ctf4b

基本ルール 「攻撃ポイント(ATTACK POINT)」 　→チーム毎に異なる疑似個人情報を攻撃によって窃取する。 「防御ポイント(DEFENSE POINT)」 　→不特定多数の顧客がアクセスするサービスプロバイダとしてサービスの提供を継続する。 #ctf4b #a_and_d

SECCON Beginners @ctf4b

パスワードを書いた紙を机の上に放置すると、隣から見られますよ！#ctf4b #a_and_d

みむら @mimura1133

はじまった！！ #a_and_d

SECCON Beginners @ctf4b

禁止事項 ・外部ネットワークと競技ネットワーク間の接続 ・運営サイドが提供する各チームのサーバ以外への攻撃 ・スコアサーバ対する攻撃 ・DoS攻撃 #ctf4b #a_and_d

くろむ @cunomiuna

インシデント案件？　#a_and_d

SECCON Beginners @ctf4b

２つのパスワードを渡しました。 短い方が、ラズパイの管理者アカウント。sudoを使って管理してください。 長い方が、Webの管理者アカウントです。 #ctf4b #a_and_d

K Nakanishi @katsuny3

親方による妨害コンテンツ放映中 ボウズマン！　#a_and_d pic.twitter.com/OJr4p9zQVa

拡大

cobalt @cobaltpy

精神攻撃うけてる #a_and_d

SECCON Beginners @ctf4b

30分経過 まだスコアに動きはないようです。 #ctf4b #a_and_d pic.twitter.com/gJ0gKs64Um

拡大

Sierra@ioアカウント作った @s_voltec

太鼓叩きたい #a_and_d

SECCON Beginners @ctf4b

まずは与えられたサーバが何者なのかを確認する #ctf4b #a_and_d

SECCON Beginners @ctf4b

ヒント、ウェブサイトはレガシーな人が作っているので、それっぽいURLにすると管理画面がでるかも！？ #ctf4b #a_and_d

SECCON Beginners @ctf4b

スコアサーバに対しての SQL injection している人はやめましょう！そこに脆弱性はないです。。。 #ctf4b #a_and_d

SECCON Beginners @ctf4b

クッキーに何かがあるかも？そのソースコードも見てね！ #ctf4b #a_and_d

SECCON Beginners @ctf4b

立ち上がっているサービスはWebダケではないです。FTPやTELNETなども立ち上がってますよー #ctf4b #a_and_d