Nhằm tạo sân chơi cho các bạn sinh viên có đam mê với lĩnh vực An toàn thông tin, bên cạnh đó tuyên truyền, nâng cao ý thức và trách nhiệm về An toàn thông tin (ATTT), tạo điều kiện để phát hiện tài năng, tăng cường khả năng giao lưu, trao đổi kiến thức giữa sinh viên về ATTT, làm tiền đề để các bạn sinh viên tham gia nghiên cứu và phát triển nguồn nhân lực cho các cuộc thi ATTT ở các cấp độ cao hơn, Phòng thí nghiệm An toàn Thông tin - UIT InsecLab phối hợp cùng Khoa Mạng máy tính và Truyền Thông, Trung tâm An ninh Mạng CNSC – trường Đại học Công nghệ Thông tin tổ chức chuỗi cuộc thi – hoạt động chia sẻ về An toàn Thông tin wannaTeam, wannaShare, wannaGame, wannaResearch năm 2021.
Mục đích của wannaTeam giúp các bạn sinh viện tự tạo dựng team học thuật cho mình để tham gia các sân chơi lĩnh vực An toàn thông tin.
Đối tượng: Toàn bộ sinh viên UIT thuộc tất cả các "khoa" gồm K15, K14.
Link đăng ký: https://forms.gle/jVxTiNEVHYju38xV9
(đăng ký trước ngày 14/04/2021)
Thông tin liên hệ:
- Email: inseclab@uit.edu.vn
- Facebook: facebook.com/inseclab
- E81 UIT-VNU
CTF là gì? https://inseclab.uit.edu.vn/nhung-dieu-can-biet-ve-ctf-truoc-khi-bat-dau-cuoc-choi/
KẾ HOẠCH TUYỂN CHỌN THÀNH VIÊN CỘNG ĐỒNG WANNA.ONE: UIT HACKING COMMUNITY
Vòng 1
Chia sẻ
Tổ chức chia sẻ đại trà toàn trường nhập môn cơ bản chủ yếu dành cho sinh viên năm 1, năm 2 (mở rộng cho sinh viên năm 3) - K15, K14, K13, gồm các mảng sau: : Programming, Linux, Web Exploitation (Web), Pwnable (Pwn), Reverse Engineering (Re), Cryptography (Crypto).
Mục đích: Hướng dẫn các bạn sinh viên các tìm hiểu sơ lược các mảng để tìm định hướng cho phù hợp với khả năng, sở trường của từng bạn. Sau đó giao bài tập và tài liệu ôn tập.Thời lượng: 3 giờ cho mỗi mảng. Hình thức: Microsoft Teams.Thời gian: trong tuần từ ngày 25 đến ngày 29 Tháng 01 Năm 2021 (nhằm ngày 12 đến 17 Âm lịch)
Thi
Thử thách Programming (5 bài) – bắt buộc làm: Đề yêu cầu sinh viên sử dụng khả năng lập trình và giải thuật để giải quyết các bài toán.Thử thách Linux (5 bài) – bắt buộc làm: Đề yêu cầu sinh viên sử dụng kỹ năng Linux để tìm kiếm “cờ” (flag) được giấu trong từng challenge.Thử thách còn lại (Web, Pwn, Re, Crypto): dạng đề giống như challenge CTF (dự kiến mỗi mảng 3 bài).
Mục đích: Đánh giá quá trình ôn tập. Giúp sinh viên làm quen, trải nghiệm tiếp cận đề thi CTF giống như một giải đấu. Sau kỳ thi sẽ tuyển chọn 30 đến 50 bạn để tiếp tục vòng 2 và tham gia Public Zone.
Thời lượng: 24 giờ Online, Cá nhân.
Thời gian: Dự kiến (17/04/2021).
Vòng 2
Chia sẻ
Gồm cả 2 hình thức:
Offline: Tại trường qua các buổi wannaShare.Online: Discord của Wanna.One - Hỏi đáp.
Mục đích: Đi sâu vấn đề tửng mảng Web, Pwn, Re, Crypto lúc này sinh viên sẽ chọn hướng đi cho mình, đồng thời lập team
Thời gian: Kéo dài khoảng 1 tháng (dự kiến đến hết ngày 15/05/2021)
Thi
Đề thi là các challenge CTF giống với các giải đấu thuộc 4 thể loại sau: Web, Pwn, Re, Crypto, Misc (dự kiến mỗi mảng 3 bài)
Mục đích: Đánh giá toàn diện năng lực của sinh viên. Kết quả quyết định là thành viên Wanna.One, hoạt động ở Private Zone. Dự kiến tuyển chọn 8 - 15 bạn để vào vòng 3.
Thời lượng: 8 giờ Offline - Team (đồng đội tối đa 5 bạn).
Thời gian: Dự kiến ngày 17/04/2020.
Địa điểm: Trường ĐH Công nghệ Thông tin.
Vòng 3
Phỏng vấn, sẽ thông báo sau…
TỰ HỌC: CÁC NGUỒN TÀI LIỆU THAM KHẢO
| Nội dung | Từ khoá | Nguồn tài liệu |
Web Exploitation |
| https://portswigger.net/web-security/ https://github.com/swisskyrepo/PayloadsAllTheThings |
| Pwnable |
| |
Reverse Engineering | Google search:
| |
Cryptography |
| |
Misc (Programing) | Introduction to programming
| https://www.amazon.com/Programming-Language-Special-3rd/dp/0201700735 |
Misc (Linux)
|
| https://linuxize.com/post/basic-linux-commands/ |
Lưu ý
Để tham-gia-chơi các mảng chơi CTF bạn cần có tư duy lập trình (nếu bạn chưa biết thì học ngôn ngữ lập trình Python) , nếu bạn đã biết các ngôn ngữ lập trình (C, C++, Pascal, Java…) thì cũng nên học Python vì Python sẽ giúp bạn giải quyết các thử thách CTF một cách nhanh chóng (100 Python Code Snippets for Everyday Problems).
Chuẩn bị một máy Linux (Ubuntu, Kali…). Nếu bạn dùng Windows/MacOS thì dùng máy ảo VMWare, có kỹ năng sử dụng Docker cũng là một lợi thế.
Một số công cụ cần thiết: Netcat, Burp Suite, GDB, pwndbg, não…
RÈN LUYỆN
Rèn luyện là việc làm cần thiết và thường xuyên. Nếu bạn mới bắt đầu chơi có thể tham gia giải picoCTF (ngoài challenge mùa giải 2020 thì còn có các mùa giải năm trước).
Bên cạnh đó, bạn “cần chơi” chuyên sâu một mảng yêu thích qua các WarGame sau:
- Web: Natas, Root me, webhacking.kr, RingZer0, Lord of SQLInjection…
- Pwn: Pwnable.kr, Pwnable.tw…
- Crypto: Cryptopal, Cryptohack …
- Re: reversing.kr, Flare-On…
Ngoài ra, chúng ta còn có các giải đấu trên thế giới được cập nhật ở trang CTFtime, nên chọn các giải có Weight từ 0.00 đến dưới 25.00, cũng như xem lại các writeup các giải mình từng chơi trên đây luôn. Mặt khác, bạn nên tham gia các buổi Bootcamp CTF wannaGame tại trường (số lượng giới hạn).
Cơ cấu giải thưởng
Ở mỗi thử thách (challenge) ngoài việc nộp cờ (submit flag) để tính điểm xếp hạng (scoreboard); nếu bạn là người sumit flag đầu tiên (first blood) thì sẽ có cơ hội nhận được thẻ cào điện thoại Mobi-Vina-Viettel (Phát-Card) bằng cách chat riêng với bot Pikachu trên Discord Wanna.One.
- Vòng 1: Phát-Card mệnh giá từ 10K đến 50K tuỳ thuộc độ khó của challenge.
- Vòng 2: Phát-Card mệnh giá từ 50K đến 200K tuỳ thuộc độ khó của challenge.
Sau mỗi vòng thi BTC sẽ bầu chọn các writeup (bài giải) hay có tri thức để trao giải phụ (Phát-Card)
Quyền lợi
Chúng tôi đề cao tính học thuật, giá trị bạn nhận được chính là kiến thức; ở đây chúng tôi từ chối điểm rèn luyện.
Quy định các vòng
- Thể thức thi các vòng CTF theo kiểu Jeopardy.
- Nộp cờ theo định dạng flag{…}.
- Điền đầy đủ thông tin trong trang Register. Đăng ký bằng tài khoản email sinh viên, nếu không bạn sẽ bị loại.
- Category: Crypto, Reg, Pwn, Web, Mics (Programing + Linux).
- Nghiêm cấm chia sẻ cờ dưới mọi hình thức. Nếu bị phát hiện, các bạn sẽ bị loại.
- Việc tấn công vào các hệ thống không được thiết kế để tấn công ở các challenges bị cấm và thí sinh sẽ bị loại.
- Nếu bạn nghĩ bạn đã tìm ra cờ đúng, tuy nhiên không hệ thống không chấp nhận, hãy liên hệ BTC.
- Nếu bạn phát hiện hệ thống có lỗi, nằm ngoài phạm vi của các challenge, vui lòng thông báo ngay lập tức cho BTC và kết thúc việc khai thác vào hệ thống. Tùy thuộc vào lỗ hổng bạn phát hiện, bạn có thể có thêm được điểm cộng từ phía BTC hoặc được tuyển thẳng.
- Sinh viên được nhận giải thưởng sau khi nộp bản write-up tóm tắt việc giải các challenges sau khi cuộc thi kết thúc 7 ngày.
- Nếu bạn không chắc là bạn có phạm luật hay không, vui lòng hỏi BTC.
- Cuộc thi chỉ dành cho sinh viên UIT.
- BTC có toàn quyền sử dụng hình ảnh của bạn trong cuộc thi để phục vụ truyền thông.
“Con đường nào cũng phải cần kiên trì, kết quả bạn nhận lại được sẽ tỉ lệ thuận với số lượng mồ hôi, thời gian, công sức bạn làm việc đó”CHÚC CÁC BẠN THÀNH CÔNG!
