CTF كيف ابدأ مع 

Capture The Flag

أهلا  سنناقش كيفية البدء في حل تحديات التقط العلم "Capture The Flag" يمكنك من خلالها تعلم الكثير من عناصر الأمن السيبراني وممارسة هذه المهمة في سيناريو العالم الحقيقي.

YOU CAN DO IT

CTFs هي واحدة من هواياتي المفضلة. أحب الشعور بحل مهمة صعبة ورؤية كل قطع الألغاز تجتمع معًا. أود أن يكون هذا المنشور بمثابة مقدمة عن CTF لمن يرغب في البدء فيه.


ما هو CTF؟

CTF (Capture The Flag) هي نوع من المنافسات في مجال الأمن السيبراني التي تتحدى المتسابقين لحل مجموعة متنوعة من المهام سواء كانت في الشبكات، الويب، التطبيقات، التشفير وغيرها من التحديات. وفي هذه التحديات، يُطلب من المتسابق عادةً العثور على نص معين قد يكون مخفيًا على الخادم أو خلف صفحة ويب. هذا الهدف يسمى العلم، ومن هنا جاءت تسميته!


أنواع التحدي بشكل بسيط:

عادة ما يتم تقسيم تحديات CTF إلى فئات. ومن أهمها:

Cryptography - عادةً ما يتضمن فك تشفير أو تشفير جزء من البيانات.

Steganography - مهمته البحث عن المعلومات المخفية في الملفات أو الصور.

Binary - الهندسة العكسية أو استغلال ملف ثنائي.

Web - استغلال صفحات الويب للعثور على العلم.

Pwn - استغلال الخادم للعثور على العلم.


و تختلف ايضا صيغة ال Flag او العلم باختلاف المنصة التي يتسابق عليها المتسابقون حيث يكون لكل منصة تنسيق خاص بها و لكن الأشهر بين اغلب المنصات هي صيغة flag{plaintext}


يمكن تصنيف CTF إلى فئتين من أنواع التحدي وهما:


أسلوب الخطر - Jeopardy Style

أسلوب الهجوم والدفاع - Attack and Defense Style

مختلط بين الأسلوبين - Mixed of above two Style


بالنسبه لـ Jeopardy هي المعروفة في العالم العربي والتي تتوفر على بعض التحديات من بعض المجالات مثلا : التشفير - إختبار تطبيقات الويب - الهندسة العكسية - التحقيق الجنائي الرقمي

وبالنسبة لـ Attack-Defense هو نوع آخر مثير للاهتمام من المسابقات في هذه المسابقة كل فريق لديه شبكة خاصة أو"Host" يوجد به ثغرات يجب عليهم حمايتها و جعله يعمل دون عطل من أجل نقاطهم وفي نفس الوقت الهجوم على شبكات الفرق الأخرى من أجل ربح نقاط أكثر.

ما هو الهدف من الـ CTF؟

تحصل على خبره علميه ضخمه حيث سوف تحاكي الواقع في التحديات العملية.

تكون علاقات وخبرات مع الاخرين او الجهات الخاصة والشركات الكبيرة.

تكتسب معلومات جديده واستراتيجيات جديده في الـ offensive security.


من خلال هذي التحديات، ستستفيد الكثير في جانب الأمن السيبراني وتطوير نفسك في الجانب العملي والتأهيل والاستعداد لإجتياز الشهادات العملية. كما انها تغذي الفكر عن كيف يتم جمع المعلومات، البحث عن الثغرات، استغلال الثغرات، دخول الجهاز، فك التشفير، تصعيد الصلاحيات.

من أين أبدأ؟

إذا تمكنت من إثارة فضولك، تم تجميع قائمة بالموارد التي ساعدتني في البدء في التعلم. قدامى المحاربين في CTF، لا تتردد في إضافة مواردك الخاصة من خلال التواصل معنا.

  • التعلم:

http://ctfs.github.io/resources/ - مقدمة عن تقنيات CTF الشائعة مثل التشفير وإخفاء المعلومات واستغلال الويب.

https://trailofbits.github.io/ctf/forensics/ - نصائح وحيل تتعلق بتحديات و سيناريوهات CTF النموذجية.

https://ctftime.org/writeups - تفسيرات الحلول لتحديات CTF السابقة.


  • مرجع:

https://github.com/apsdehal/awesome-ctf - قائمة شاملة بالأدوات.


  • الأدوات الشائعة:

binwalk - تحليل واستخراج الملفات.

burp suite - إطار اختبار اختراق الويب المليء بالميزات.

stegsolve - مرر العديد من المرشحات فوق الصور للبحث عن النص المخفي.

GDB - مصحح الأخطاء الثنائية.

موجه الأوامر :)

أنواع التحديات

  1. الويب: من خلالها تستطيع ان تتعلم كيفيه البحث والاستغلال عن الثغرات المتواجدة على الموقع سواء من xss, sqli, file upload, LFI/RFI وغيرها من الثغرات المشهوره.

  2. التشفير: تستطيع ان تتعلم كيفيه فك التشفير باستخدام وسائل مختلفه وكلها تختلف عن الاخر فمنها base64, MD5, SHA256 وغيرها من التشفير. ومن خلالها ستتمكن من معرفة نوع التشفير والية فك التشفير وهي مفيدة من اجل ransomware.

  3. البرمجة: صمم هذا النوع من التحدي لتطوير مهارات الشخص في جانب البرمجة حيث ان بعض التحديات يتطلب منك كتابة كودات خاصة من اجل حل التحدي.

  4. التحليل الجنائي: ستتعلم كيفية البحث والتحليل عن ملفات تدل على الاختراق Indicator of Compromise، او تحليل ملفات الــ logs وغيرها. مفيدة جداً لمحبي الدفاع.

  5. الهندسة العكسيه: حيث يستطيع الشخص التدريب على تفكيك التطبيقات باستخدام ادوات مخصصه سواء كانت للهواتف ام اجهزة الكمبيوتر وذلك للبحث عن الثغرات امنية.

  6. OSINT او General Information: ستتعلم كيفية البحث في عالم الانترنت سواء في منصات التواصل الإجتماعي، قنوات الاخبارية، الإقتصاد وغيرها من المواقع والتي تهدف إلي حصول معلونات مفيدة.


مراجع مفيدة

فيما يلي روابط مفيدة للمنصات للمبتدئين

CTF Challenges Practice

Hope you will start playing CTFs after go through this write-up.

CTFs هي هواية رائعة تجعلك في النهاية attacker أفضل. في الواقع ، جاء العديد من أمهر attackers من خلفيات CTF. آمل أن تجد التجربة مفيدة أيضًا. تمتع بوقتك!

شكرا للقراءة.

Happy Hacking ;)