防衛省サイバーコンテスト2025に参加しませんか?

-

防衛省が主催するCTF大会「防衛省サイバーコンテスト 2025」の開催が決定しました

*CTF(Capture The Flag)  -> 要はハッキングコンテストです


  • 2025/2/2(日) 9:00-21:00(JST)
  応募はコチラから
  https://www.mod.go.jp/j/approach/defense/cyber/c_contest/


本記事では「防衛省サイバーコンテスト」ってどんなの?について、2024年のコンテストに参加した私が紹介します


尚、申込期限が12/16迄の為、興味を持って頂いた方はお早めに申込お願いします(1分で出来ます)


1.参加方法

・上記URLから応募フォームに入力するだけ(必要なのはメアドと住所だけ)

※2023年以前は日本国籍を有することを示す身分証明書が必要でしたが現在は不要
    

2.準備したほうがよいもの

・Kali Linux

    ・ペネトレーションテスト用に設計されたDebian派生のLinuxディストリビューション
    ・問題サーバにアクセスする為にVPN接続が必要(openvpn標準搭載)
    ハッキングツールが標準装備(充実)してます
     ※本記事で紹介するWiresharkも標準搭載   

私はだいたいCTFに参加する時はOracleVirtualBox上にKali Linuxいれてやってます

3.防衛省サイバーコンテストの特徴


最近のCTFは以下が主流(のように感じる)


・脆弱性を探してエクスプロイト→シェル奪取

  ※pwnといわれるジャンル

・Webアプリケーションセキュリティ


確かに現代セキュリティの花形かもだけど少しとっつきづらい、、
特にインフラ系の仕事がメインだと、、

※補足:脆弱性診断を専門にしてたり、Webアプリケーション開発に関わっている場合は必要なスキル。
また脆弱性が公表された際に構築、運用している環境に対しての影響判定にも上記の知識が有効。
つまりこれはこれでとても学習する価値のある分野です
 
 
所感ですが以前より、ネットワークというジャンルで通信ログを解析する問題が減少傾向

でも実際のセキュリティ監視やシステム運用の現場ではログを調査・分析するケースって多々ありますよね


実務に関連するCTFをやりませんか?プロトコルの知識を用いてネットワーク上の通信ログを調査するような

(元ネタ見てないけど、、、) 


防衛省サイバーコンテスト

ネットワーク問題あります


とっつきやすい問題が多くCTF未経験者にもおススメ

また全体的な難易度も他のCTF(有名なSECCON等)と比較しても低めです


4.実際の問題と解法(Writeup)

ではさっそく2024年に出題された問題を1つ解いてみましょう

     ・Network: FileExtract 10点問題(最低難易度)
  

パケットキャプチャファイル(pcapng)が与えられてますね

代表的なパケットキャプチャソフト「Wireshark」の基本的な操作方法もCTFを通じて覚えちゃいましょう


  • 提供されている情報から問題の意図を察しよう

pcapngファイルが渡されている時点で、「wiresharkでパケット見るのね!」と[File Extract]というタイトルから「キャプチャファイル内に隠されているファイルがあるのね!という2つのヒントをイメージできること

(CTFではこういう察し力がとても重要です  ->発展するとエスパー力とも言う)


問題の意図を察した上で今回使うWiresharkにおけるパケット解析のテクニックは3つ

(実務でも比較的使うことが多いのでは)  


1.フィルタ

・プロトコルや送信元、宛先IPアドレス、ポート番号でフィルタ

・ファイルが隠されている→プロトコルだとFTPが怪しい


  ・ FTPでフィルタ(上部のフィルタバーにftpと入力するだけ)

  ・カンの良い人は以下のパケットをみただけでもうほぼ答え

                        参考:ネットワークエンジニアとして https://www.infraexpert.com/info/wireshark5.html


   2.オブジェクト抽出

・キャプチャしたパケットからデータを復元(ファイル、画像、メール)できます

・FTPパケットのどれかを選択した状態で [ファイル] - [オブジェクトをエクスポート] - [FTP-DATA] 

※s3cr3t.zip ファイル名からしてもうこれですね  

                                    参考:サイバーセキュリティチュートリアル https://unit42.paloaltonetworks.jp/using-wireshark-exporting-objects-from-a-pcap/

・zipファイル内のfl@gにフラグ書いてありそう→パスワードが求められた。
    
・通信パケット上にもう少しヒントが無いか調査してみよう


3.TCPストリーム表示

TCPで送受信されたデータをまとめて表示。

FTPパケットのどれかを選択した状態で[追跡]-[TCPストリーム] 

 もろにパスワードがありますね。(実は↑でフィルタした時点でも見えてたw)

 ※暗号化されていない通信こんな感じで簡単に解析できちゃいます

   ・ということでフラグゲットできました

・CTFでFTPのような暗号化されていないプロトコルに遭遇したら怪しいと思ってください

・出題者の意図を読みつつプロトコルの知識が豊富だとネットワークジャンルの回答できる問題が増えると思います


どうでしたでしょうか?少しでも防衛省サイバーコンテストの雰囲気が伝わったのであれば幸いです


もう少し詳しく知りたい方は上位ランカーのWriteupを参考にしてみると良いと思います


 参考)コンテスト7位入賞者のWritup

 https://laysakura.github.io/2024/02/26/vlc-cybercontest-2024/

コメント

コメントを投稿

このブログの人気の投稿

ProxmoxでLet's Encryptを使用した証明書セットアップをやってみた

-
イメージ
■はじめに Proxmoxはデフォルトで自己証明書を使用しています。 このため、管理コンソールにアクセスすると「接続がプライベートではありません」といった画面が表示されます。 これの対処方法の一つとして、Let's Encryptを使用して簡単に証明書がセットアップできるとのことで、実際にやってみた内容を紹介したいと思います。 ■前提 ・自宅のProxmox環境(シングル構成)で実施 ・証明書取得時に使うのはDNS-01チャレンジ   HTTP-01チャレンジはWebサーバーを公開する必要があるためパス ・ハードル低めの(APIが使える)DNS Providerからドメインを取得して使用   下記の中からCloudflareをDNS Providerとして選択     How to use DNS API wiki ■手順概要 Cloudflareのアカウント作成~証明書反映まで、ということで実施内容としては下記となりました。 ===== 1.Cloudflare アカウントの作成 2.Cloudflare ドメイン取得 3.Cloudflare アカウント APIトークンの作成   - ゾーン DNS を編集する権限を持つAPIトークンを作成 4.Cloudflare アカウント IDの取得   - ProxmoxのChallengeプラグインに投入するパラメータの取得 5.Proxmox ACME アカウントの追加   - 連絡先登録と利用規約への同意 6.Proxmox Challengeプラグインの追加   - Cloudflareのパラメータを投入 7.Proxmox ACME ドメインの追加   - 取得したいドメイン(FQDN)を設定 8.Proxmox 証明書の取得   - 証明書取得処理を手動開始 ===== ■実施手順 1.Cloudflare アカウントの作成 Cloudflareのサイトにアクセスして画面右上の「ログイン」をクリックします。  https://www.cloudflare.com/ja-jp/ ログイン画面に遷移するので、下部にある「サインインアップ」をクリックします。 登録するメールアドレスとパスワードを入力、ロボットでないこと確認にチェックを入れて「サインアップ」をクリックします。 アカウントが作成されます。 登録...
続きを読む

AIと共に「考える」エンジニアに!

-
イメージ
 ― ChatGPT時代に問われる「問いの力」と文章力 ― はじめに ChatGPTをはじめとする 生成AI が普及しはじめてから、もう2年近くが経ちました。   リリース当初は「すごい技術だな」と遠目から眺めている空気でしたが、今では多くの人がAIに触れる機会を持つようになりました。    我々 ITエンジニアとして 、アプローチはどうすべきか?何が必要か?について考えてみます。 AI利用の現状 まだAIを使い始めたばかりだったり、上手く使えてない人は、「このエラーを解決して」「この機能を実装して」と 指示を出すだけ になっているようです。   あるいは、「〇〇とは?」を丸ごとAIに聞いて解説してもらうケースも見られます。 便利ですが、それだと Google検索 と同じレベルに留まっていると感じます。 AIの本当の価値 私は、AIは 単なるコード生成ツールでも、Googleの上位互換でもない と考えています。   むしろ、使い方を間違えると取り残されていく可能性があります。  AIが本当に得意なのは、与えた問いに沿って 思考の幅を広げ、情報を整理すること です。   つまり、AIを活かすには、 問いを設計する力 が不可欠なのです。 問いを設計する力はAI以前からのビジネススキル 実は、問いを設計する力は、AIが登場する以前から、私たちエンジニアが日常的に使ってきたスキルです。   例えば、プロジェクトの課題を整理したり、仕様の確認事項を明確化したり、メールでの問い合わせの内容を意図通りに伝えたりなど... いずれも、 相手や状況に応じて適切に問いを設計する力 がベースになっていました。   AIは文章やアイデアを生成してくれますが、 何を考えるべきかは教えてくれません 。だからこそ、この問いを設計する力がAI時代でも重要になるのです。 コンテキストエンジニアリング さらに最近は、単なるプロンプトの工夫(プロンプトエンジニアリング)だけでなく、文脈や前提を整理して問いを設計する「 コンテキストエンジニアリング 」が注目されています。   コンテキストエンジニアリングとは、単に「良いプロンプト...
続きを読む

ルーティングって何で必要で、何してるの?を React Routerで理解する

-
イメージ
はじめに フロントエンド開発が、正直苦手でした。 でも今回のプロジェクトでReactを触ることになり、「せっかくなら苦手意識を克服したい」と一念発起。 開発は終わりましたが、学習は継続しています。 Reactには多くの要素がありますが、今回はルーティングに絞ります。 バージョンの違いで書き方が変わり対応に戸惑ったこともあり、基本から振り返りつつ理解していった流れを記事にしたいと思います。 そもそもルーティングって何のために必要なの? まず基礎の基礎になりますが、URL、ブラウザ、SPAの観点から振り返ります。 URLとは? Uniform Resource Locator(統一資源位置指定子)の略語で、要するに「 インターネット上のモノの住所 」です。 https://example.com/products.html このようなURLの場合、ブラウザは、 URLを見る→( products.html というファイルが欲しいのだと解釈) サーバーにリクエストを送る HTMLファイル( products.html )をダウンロードして表示する つまり、URLは「どのファイルを取得するか」を指定する住所のようなものです。 ブラウザはURLで何をしているのか? ブラウザにとってURLは「ページの識別子」です。 ブラウザは、URLをキーにして、いろんな機能を実現しています。      1. 履歴管理           URLが変わるたびに履歴に記録           「戻る」ボタンを押すと、履歴から1つ前のURLを取り出して、そのページに戻る           「進む」ボタンも同じ仕組み      2. ブックマーク           URLを保存することで、「このページ」を記憶           後でそのURLを開けば、同じページが表示される       3. URL共有...
続きを読む