CTF all the day
Bonjour,
Le principe du CTF c’est de faire face à une machine complète, par opposition aux autres challs comme en web ou tu sais que tu vas devoir faire du web sur le port 80 ou 443 (ou autre) mais tu sais ou ça se passe.
Dans un CTF à toi de trouver quels services sont accessibles sur quels ports et à partir de là voir ce que tu peux faire avec les divers services exposés.
L’exploitation peut demander plusieurs étapes. Typiquement dans un premier temps il faut trouver un accès à un shell ou un autre moyen d’interférer avec le système. Ceci fait il faut ensuite trouver un moyen d’effectuer une escalade de privilèges pour devenir root et pouvoir lire le flag. Tu peux devoir utiliser plusieurs services pour arriver à tes fins.
Certains CTF sont néanmoins plus dirigés web, comme la série des "LAMP Security". Néanmoins il vaut mieux je pense avoir fait pas mal de challenges web-server et touché un peu aux réalistes avant de se lancer sur les CTF pour ne pas se dégouter.
Mais c’est juste un avis, tu fais comme tu le sens. 😉
CTF all the day
Merci beaucoup, cela m’aide deja pas mal, mais il y a autre chose :
comment j’accède au CTF ? me faut il vraiment toujours une machine virtuelle Linux ? ou jepeux faire ça dans le cmd xindows ? Si oui, comment je fais pour ensuite aller dedans ?
Désolé, mais jecomprends vraiment rien aux CTF.
Clo
CTF all the day
« comment j’accède au CTF ? me faut il vraiment toujours une machine virtuelle Linux ? ou jepeux faire ça dans le cmd xindows ? »
Magie de TCP/IP, quelquesoit le service en face, ça fonctionne que tu sois sous Windows, GNU/Linux, MacOS ou autre quand tu demandes une page web, relèves tes mails ou lances une connexion SSH.
Donc non il n’y a aucune obligation d’avoir une machine virtuelle sous Linux pour faire les CTF ou les autres challenges ; il faut et suffit d’avoir des outils adaptés à ce que tu veux faire (un client web, mail ou SSH - ou autre).
Par contre il reste vrai que de nombreux challenges et CTF sont basées sur des systèmes GNU/Linux, du coup il vaut mieux avoir une linuxette sous la main, virtuelle ou pas, pour apprendre et manipuler.
« Si oui, comment je fais pour ensuite aller dedans ? »
Commence par faire des challenges web-server et réalistes, ils sont là pour ça. 😉