読者です 読者をやめる 読者になる 読者になる

アレイドのブログ(勉強会等用)

CTFのWriteup(解法)や、その他勉強会の参加記などを載せていきます。

Attack&Defence in Fukuoka参加記録

先日のAttack&Defence in Fukuokaお疲れさまでした。

いつもはイベントに参加する側でしたが、今回初めて、イベント運営サイドにも若干関わらせていただきました。

 

準備

・前日

 バイト終わりに集合し、貸出用・サーバー用PCのセッティング。電源オプションの変更と、貸出用の5台にはLinux環境のセットアップをして、当日になってPCが壊れた方が出ても大丈夫なように準備。

・当日

 朝09:00頃に会場集合し、前日にセッティングを行った貸出用PCを会場に運び込む。同時に、コンセントの不足が予想されたので、あらかじめ借りておいた大量の電源タップも会場に運び込み、適切な位置にセット。(配置を考えないとブレーカーが落ちるぞ、と念を押されたので、若干大変でした。)次に、立て看板と窓に案内用の張り紙をして、会場周辺の準備完了。(ここで大体12時頃)

 

受付

 12:00頃から、2人ずつ、前半30分・後半30分の二手に分かれて、片方受付、もう片方は昼食といった形で受付開始。自分は前半受付をしていましたが、どうやら後半30分に来場者が集中した模様?

 

本番

 我々はチーム1で参戦。まずサーバーの脆弱性を探すため、試合開始10分はApacheを立ち上げず、ファイルごとの権限のチェック、および公開されるwebページのphpコードを確認。パスワードのハッシュ値を格納しているファイルが誰でも読み取れるようになっていたり、その他重要なデータも丸見えな状態でかなりガバガバだったので、見つけて即座に修正。

 次にサーバーを立ち上げて、実際に攻撃状況を見つつ防衛開始。maintenanceのSLAポイントが入らないなと思ったら、手動でメンテナンス用ページのphpにあるコメントアウトを解除して、入力結果が表示できるようにしなければならなかった。また、途中でサーバーのデータが全削除されて「終わった・・・」と思ったが、チームメンバーの一人が全データのバックアップを取ってくれていたので復活。(本当にありがとうございます・・・!)

 

まとめ

 最終的には攻撃を受けてポイントを奪われたりで、10チーム中8位という結果になってしまいましたが、なかなか楽しいイベントでした。機会があればまたやってみたいイベントではあります。・・・が、問題作成・会場設営ともに準備に手間がかかってしまうので、そう頻繁に開催できそうなイベントでもないのが現実という・・・

 最後に、今回協力してくださった九州工業大学のSILGの方々、ありがとうございました。また機会があれば、その時はよろしくお願いします。