No conozco una buena referencia a la que pueda remitirse para leer más. Por lo tanto, intentaré enumerar algunas pérdidas de tiempo que personalmente disfruto.

A continuación, me permitiré diferenciar entre varios estilos de competiciones de pirateo. No sé si este es un enfoque canónico, pero probablemente ayude a explicar las diferencias entre los que conozco:

Wargames

Estos juegos tienen lugar en un servidor determinado, donde comienzas con un inicio de sesión ssh y tratas de explotar los binarios de setuid para obtener permisos más altos. Estos juegos generalmente están disponibles las 24 horas, los 7 días de la semana, y puedes participar cuando quieras.

• Over The Wire
• Aplasta la pila
• Intrusion

Competiciones basadas en desafíos

Estos juegos te presentarán numerosas tareas que puedes resolver por separado. La mayoría de los desafíos varían desde la explotación, CrackMes, criptografía, seguridad forense, seguridad web y más. Estos juegos generalmente se limitan a unos pocos días y el equipo con la mayor cantidad de tareas resueltas es el ganador. Enumeraré mi favorito, ya que estoy bastante convencido de que encontrará más fácilmente. Algunos de los listados acaban de tener lugar y otros se llevarán a cabo en los próximos meses.

• Defcon Quals
• Codegate Quals
• CSAW CTF (generalmente durante el verano)
• Hack.lu CTF 2011 (finales de septiembre de este año) y Hack.lu CTF 2010
• PlaidCTF

Captura la bandera

Estos realmente requieren que capture y proteja las "banderas". El más conocido es probablemente iCTF, que sufrió algunos cambios de reglas en los últimos años. Este juego también se limita a un cierto marco de tiempo. Los participantes suelen estar equipados con una máquina virtual que deben conectarse a una VPN. Su tarea es analizar la máquina presentada, encontrar errores de seguridad, parchearlos y explotar los errores en otras máquinas en su VPN. Las "banderas" son almacenadas y recuperadas por un servidor central del juego que verifica la disponibilidad de un equipo y si las banderas previamente almacenadas no han sido robadas.

• iCTF (normalmente en diciembre)
• CIPHER CTF (será renovado por los nuevos organizadores este año)
• RuCTF y RuCTFe (un CTF ruso y su versión internacional)

Otro

También hay un montón de máquinas virtuales descargables disponibles para jugar sin conexión, que es una especie de mezcla entre 3) y 2) supongo.

• Damn Vulnerable Web Application
• Damn Vulnerable Linux
• Google Jarlsberg

Editar:

Etiqueta

Acabo de encontrar un quinto tipo de juego que no he visto en ningún otro lugar. Todos los equipos compiten entre sí durante varias rondas y cada ronda es un partido entre dos equipos. Fase 1: ambos equipos obtienen la raíz de un sistema Linux e intentan ocultar la mayor cantidad de puertas traseras dentro de los 15 minutos posibles. Después de estos 15 minutos, los equipos intercambian PCs e intentan descubrir y eliminar tantas puertas traseras como sea posible (también con acceso de root). En la tercera fase, cada equipo recupera su servidor (sin acceso de root) y se supone que explota tantas puertas traseras para volver a obtener acceso de root. Las puertas traseras explotables de forma remota obtienen puntos de bonificación :)

Parece que juegos como este se han llevado a cabo durante los LinuxTag Convenciones de Linux en Alemania en los últimos años.

El escenario se explica con más detalle aquí (¡solo en alemán!)

/Editar

Espero que esta publicación no se haya vuelto demasiado confusa debido a su longitud;)

Lista de listas desordenadas de competiciones de pirateo:

• enlace , Calendario
• enlace
• enlace
• enlace

He disfrutado mucho: enlace

Desde su sitio:

1. Nebula : Nebula cubre una variedad de desafíos simples e intermedios que cubren la escalada de privilegios de Linux, los problemas comunes del lenguaje de scripting y las condiciones de carrera del sistema de archivos.
2. Protostar : Protostar presenta problemas básicos de corrupción de memoria, como desbordamientos de búfer, cadenas de formato y explotación de pilas en un sistema Linux "antiguo" que no tiene ningún tipo de sistema moderno de mitigación de vulnerabilidades habilitado.
3. Fusion : Fusion continúa con la corrupción de la memoria, las cadenas de formato y la explotación del montón, pero esta vez se centra en escenarios más avanzados y sistemas de protección modernos.

Puede buscar la palabra clave " juegos de guerra " si quiere " puzzles ", como las de OverTheWire.org .

Aquí hay una lista de otros sitios de desafíos:

• enlace

Lamentablemente, no conozco otras competiciones de alto perfil que las que ya mencionaste.

Por cierto, creo que esta pregunta se ajustaría al estado community wiki .

iCTF: enlace
DC3 (en este momento): enlace
NetWars SANS: enlace

También hay muchas competiciones de CTF de seguridad en grandes conferencias como Shmoocon, DEFCON, etc. Recomendaría ir a algunos contras para obtener más información.

Realmente depende del objetivo final que desee, ya sea CTF, análisis forense, respuesta en vivo, etc.

enlace es un buen sitio para conocer los próximos eventos de captura de bandera, también tiene un ranking y redacciones que son excelentes.

• Capture.thefl.ag tiene excelentes recursos,
• Calendario CTF en vivo
• Lista de CTF / Juegos de práctica en línea y redactados por ganadores de CTF anteriores.

No puede ser más impresionante que eso.

Este no es un plug desvergonzado porque no estoy involucrado con este podcast en absoluto, pero escucho el isdpodcast de la semana pasada con Ed Skoudis. No recuerdo la fecha exacta, pero creo que era martes o miércoles. Ed habla mucho sobre varios desafíos y cosas de CTF.

He creado un wiki que detalla un montón de diferentes competiciones, con descripciones y enlaces a artículos escritos y algunos recursos para principiantes. Véalo allí: enlace

También hay Spider Challenge de Spider.io (web hacking).

El objetivo:

  

Hemos escondido catorce códigos en y alrededor de challenge.spider.io. Con cada código que encuentres, te daremos una pista para ayudarte a encontrar el siguiente código. Tan pronto como inicies sesión en el desafío, el reloj comenzará a correr. Es una carrera contra el tiempo. Es una carrera contra otros hackers. ¡Mucha suerte!

Necesitas una cuenta de twitter para participar.

Ed Skoudis tiene una buena colección de pruebas de penetración / desafíos forenses aquí: enlace

Hack in the Box (HITB) Captura la bandera enlace

Una competencia anual de hacking durante HITBSecConf

Enigmagroup tiene algunos desafíos interesantes de piratería informática ... Un poco de inversión [desafíos binarios de elf así como inversión de ventanas], craqueo de captcha, desafíos realistas, estenografía, criptografía y otras cosas habituales como xss, javascript, etc.

Esta es una reciente competencia de piratería y aún se está ejecutando: www.hackimind.com

Sobre la competencia:

  

Se ha codificado un archivo (publicado el 30 de noviembre de 2012) y la decodificación   La clave se hará pública el 17 de marzo de 2013, fecha de finalización de la   competencia.

     

Tu desafío es descifrar el archivo sin su clave.

     

Para reclamar el premio, envíe el archivo descifrado a la   Plataforma de intercambio de innovación.

     

Durante el transcurso de la competencia, este sitio se usará para compartir   sugerencias con todos los participantes.

0x41414141.com es una buena ... cuando termine, se le pedirá su currículum.