เขียนโดยผมเอง Ar3mus🧙#

สำหรับคนที่เข้ามาอ่าน คิดว่าเนื้อหานี้จะเป็นประโยชน์ต่อผู้ที่จะเริ่มต้นเข้ามา แข่งขัน CTF ในสนามแข่งต่างๆ นะครับ

WARNING

เนื้อหาต่อจากนี้เป็นการจำลองสวมบทบาทเท่านั้นไม่ใช่ว่าเราจะกลายเป็นผู้ใช้เวทย์มนตร์จริงๆ ☠️ แต่ถ้าใช้ได้จริงก็ติดต่อมาบอกผู้เขียนด้วย เดียวผมจะไปต่างโลกทันที ขอบคุณครับ ฮาๆ

NOTE

สำหรับเนื้อหาที่อยู่ใน Important จะเป็นนิยายที่แต่งขึ้นเพื่อเป็นการดำเนินเรื่องราวของซีรีย์นี้ครับ

CTF หรือที่กันว่าเรียกว่า Capture The Flag#

IMPORTANT

ในยุคแห่งดาวตกและเวทมนตร์ CTF Master ผู้ยิ่งใหญ่ได้ปรากฏตัวขึ้น ท่านสวมหมวกทรงสูงและถือไม้เท้าแห่งอำนาจ ยืนตระหง่านอยู่บนยอดหอคอย มองดูท้องฟ้าที่เต็มไปด้วยดาวหางและอุกกาบาตพุ่งผ่าน ตำนานเล่าขานว่า CTF Master คือผู้พิทักษ์แห่งความรู้ทางไซเบอร์ ท่านใช้พลังเวทมนตร์และปัญญาอันล้ำลึกปกป้องโลกจากภัยคุกคามที่มองไม่เห็น ในยามที่ดาวตกพุ่งผ่านฟากฟ้า ท่านจะรวบรวมพลังและส่งต่อความรู้ให้แก่ผู้กล้าที่พร้อมจะเรียนรู้

CTF เป็นเกมการจำลองสถานการณ์โดยที่เราจะต้องค้นหาธงที่ถูกซ้อนอยู่ ซึ่งไม่ว่าธงจะถูกซ้อนไว้ในไฟล์ต่างๆ ข้อความเข้ารหัส หรือ แม้กระทั่งบนเครื่องเซิฟเวอร์จำลอง เราก็ต้องค้นหาให้ได้ เพื่อแลกกับแต้มคะแนนที่เราจะได้รับ เพื่อชิงชัยให้ได้อันดับท็อปในสกอร์บอร์ดการแข่งขัน

IMPORTANT

ทุก 1,337 ปี CTF Master จะจัดการแข่งขัน Capture The Flag อันยิ่งใหญ่ เพื่อค้นหาผู้สืบทอดตำแหน่งคนต่อไป ผู้เข้าแข่งขันจะต้องฝ่าฟันบททดสอบนานัปการ ทั้งการถอดรหัส การแฮ็ก และการป้องกันระบบ เพื่อพิสูจน์ว่าตนคู่ควรกับตำแหน่งอันทรงเกียรตินี้ บัดนี้ เวลาแห่งการทดสอบได้มาถึงอีกครั้ง และคุณคือหนึ่งในผู้ท้าชิงที่ได้รับเลือก เพื่อพิสูจณ์ว่าคุณคือ CTF Master ที่แท้จริง คุณต้องผ่านการฝึกฝน ขัดเกลา และผ่านบททดสอบ ณ ปราสาทลอยฟ้าแห่งนี้ไปให้ได้

ซึ่งการที่เราจะเป็นผู้เล่นลำดับท็อปในแต่ละสนามการแข่งขันเราจำเป็นที่จะต้องอาศัย ความรู้ ความเข้าใจ ทักษะ และประสบการณ์ ทั้งหมดในที่นี้ก็จะเป็นในเรื่องของทักษะด้านไซเบอร์

TIP

อีกหนึ่งสกิลที่สำคัญสำหรับผู้เล่น CTF นั่นคือ “การคิดนอกกรอบ” และ “การเดา” เชื่อผมเหอะ ผมผ่านมาหลายสนามแล้ว แต่ทั้งสองอย่างสกิลนี้จะเกิดขึ้นต้องเกิดจากฝึกฝนเรียนรู้เป็นประสบการณ์และตกผลึกจนเข้าใจอย่างถ่องแท้ก่อน

⭐Jeopardy#

IMPORTANT

ในสนามนี้ ผู้เข้าแข่งขันต้องเผชิญกับโจทย์ที่ถูกจัดเรียงเหมือนบันไดความรู้ แต่ละโจทย์เป็นเหมือนกับปริศนาที่ซ่อนอยู่ในข้อมูล เมื่อไขปริศนาได้สำเร็จ คำตอบหรือ “Flag” ที่ซ่อนอยู่จะถูกปลดล็อค การแข่งขันในรูปแบบนี้ทดสอบทักษะการวิเคราะห์และความเชี่ยวชาญในการแก้ปัญหาเฉพาะทาง ไม่ว่าจะเป็นการเข้ารหัสลับ หรือการเจาะลึกข้อมูลที่ถูกซ่อน

Jeopardy เป็นรูปแบบการแข่งขันที่นิยมใช้กัน เนื่องจากเป็นการแข่งขันที่มีการแบ่งหมวดหมู่ที่ชัดเจน ทำให้มีความง่ายในการตีโจทย์ให้ออกว่าควรที่จะมีแนวคิดประมาณไหนในการแก้โจทย์

• ข้อดี

  • ผู้เล่นใหม่สามารถเลือกเรียนรู้และพัฒนาทักษะในแต่ละหมวดหมู่ได้ในด้านที่ตนเองสนใจ
  • สามารถจัดการแข่งขัน ทั้งออนไลน์และออฟไลน์
  • โจทย์มีความหลากหลาย

• ข้อเสีย

  • โจทย์ที่ใช้เครื่องแชร์ร่วมกับผู้กับผู้เล่นอื่น ในหมวดหมู่การโจมตีระบบ ถ้ามีผู้เล่นยึดเครื่องได้ก่อนก็อาจะจะถูกลบหรือแก้ไข Flag ได้
  • บางครั้งผู้เข้าแข่งขันพัฒนาทักษะเฉพาะด้านซึ่งอาจจะไม่สามารถไปทำหมวดหมู่อื่นได้

TIP

ในการแข่งขันบางสนามอาจจะมีคะแนนพิเศษให้กับผู้เล่นที่ทำโจทย์ได้เป็นคนแรก นั้นก็คือ First Blood 🩸 นั่นเอง ซึ่งนั่นจะทำให้ได้แต้มเพิ่มขึ้นมาจากเดิมเล็กน้อย

NOTE

แต่โดยส่วนตัวแล้วผมก็ไม่ค่อยชอบเท่าไหร่ เนื่องจากถ้ามีผู้เล่นลำดับท็อปเก็บไปเยอะ ก็จะทำให้ผู้เล่นคนอื่นๆไม่สามารถทำแต้มแซงผู้เล่นลำดับแรกๆได้

⭐Attack and Defense#

IMPORTANT

นี่คือสงครามของเวทมนตร์และกลยุทธ์ ผู้เล่นแต่ละทีมต้องสร้างป้อมปราการดิจิทัลที่แข็งแกร่งเพื่อปกป้องตนเอง ขณะเดียวกันก็ต้องใช้อำนาจโจมตีเพื่อล้มคู่ต่อสู้ ระบบของผู้เล่นจะต้องทนทานต่อการโจมตีจากศัตรู และยังต้องวางแผนเพื่อลอบทำลายป้อมของฝ่ายตรงข้ามให้สำเร็จ การต่อสู้ในรูปแบบนี้เต็มไปด้วยเล่ห์เหลี่ยมและเทคนิคขั้นสูงที่ทดสอบความสามารถในการปกป้องและทำลาย

Attack and Defense เป็นการแข่งขันที่ทุกๆทีมจะมีเครื่องเซิฟเวอร์เป็นของตนเอง โดยภายในทีมต้องแบ่งหน้าที่กันว่าใครจะเป็นฝั่งป้องกัน เพื่อป้องกัน Flag จากการโจมตีจากทีมอื่น ส่วนฝั่งโจมตีก็จะหาทุกวิถีทางเพื่อที่จะสามารถโจมตีทีมอื่นแล้วยึด Flag มาให้ได้ เพื่อแลกกับแต้มแก่ทีมเรา

• ข้อดี

  • เป็นการจำลองสถานณ์การณ์จริง ทำให้ผู้เล่นได้เรียนรู้ทักษะการแก้ไขปัญหาแบบฉับพลัน เมื่อเกิดเหตุการโจมตี
  • ได้พัฒนาทักษะการทำงานเป็นทีม ในการวางแผน แบ่งหน้าที่อย่างชัดเจน และการสื่อสารประสานงานภายในทีม

• ข้อเสีย

  • ต้องอาศัยความชำนาญของแต่ละคน หากทีมขาดความสมดุลในทักษะ เช่น มีฝั่งป้องกันที่ไม่เชี่ยวชาญ หรือฝั่งโจมตีที่ยังขาดประสบการณ์ ทีมจะเสียเปรียบอย่างมาก
  • การวางแผนค่อนข้างยากและซับซ้อน เนื่องจากกลยุทธ์ของทีมอื่นๆ จะเป็นรูปแบบที่เราไม่สามารถคาดเดาได้

NOTE

โดยส่วนตัวไม่ค่อยได้เจอการแข่งขันรูปแบบนี้สักเท่าไหร่ แต่ล่าสุดได้เห็นแพลตฟอร์มของคนไทย ที่กำลังจะมีไว้สำหรับฝึกการ Attack and Defense นั่นก็คือ Secplayground : Cyber Range

⭐King of Hill#

IMPORTANT

ในสนามนี้ เวทมนตร์ของผู้เข้าแข่งขันแต่ละคนจะต้องเข้ายึดครองจุดสูงสุด และคุมการเข้าถึงแหล่งข้อมูลล้ำค่าที่อยู่ในใจกลางสนามประลอง แต่ละทีมหรือผู้เล่นจะต้องใช้พลังของตนเพื่อยึดพื้นที่และขับไล่คู่แข่งออกไป การแข่งขันในรูปแบบนี้เน้นที่การควบคุมและการรักษาพื้นที่อย่างต่อเนื่อง ใครที่ยืนหยัดอยู่ได้นานที่สุด จะครองชัยชนะในที่สุด

King of Hill เป็นการแข่งชันที่จะมีเครื่องเซิฟเวอร์ แค่เครื่องเดียว โดยที่ผู้เข้าแข่งขันจะต้องทำการโจมตียึดเครื่อง และหาทุกวิถีทางที่จะสามารถอยู่ในเครื่องเซิฟเวอร์ให้ได้นานที่สุด โดยต้องป้องกันการโจมตีจากผู้เข้าแข่งขันคนอื่นๆ โดยยิ่งอยู่ในเครื่องนานเท่าไหร่ก็จะยิ่งได้แต้มเพิ่มขึ้นมากเท่านั้น

• ข้อดี
  • ได้ฝึกวางกลยุทธ์ เมื่อต้องเป็นฝ่ายโจมตีแล้วเปลี่ยนเป็นฝ่ายป้องกันเมื่อยึดเครื่องได้
• ข้อเสีย
  • ต้องมีความรู้ในทั้งการโจมตีและป้องกัน

🧙ไซเบอร์คืออะไร#

IMPORTANT

ในยามค่ำคืนที่มืดสลัว ท่ามกลางแสงจันทร์ที่ส่องสว่างผ่านกระจกห้องโถงสูง คุณนั่งอยู่ในเก้าอี้สบายกลางห้องที่เต็มไปด้วยหนังสือเก่า เสียงนาฬิกาดังเป็นจังหวะช้าๆ สร้างบรรยากาศลึกลับรอบตัว

หญิงสาวในชุดคลุมสีเข้มเดินเข้ามา เธอมีดวงตาที่เต็มไปด้วยความเฉลียวฉลาด และยิ้มให้กับคุณ “ยินดีต้อนรับสู่ห้องแห่งการเรียนรู้” เธอพูด พร้อมยื่นมือไปที่ชั้นหนังสือที่ใกล้ๆ และเปิดเผยหนังสือเล่มหนึ่งที่เริ่มกระพริบเป็นตัวเลขและรหัสที่ไม่เคยเห็นมาก่อน

“นี่คือโลกไซเบอร์”

ถามว่าในเรื่องของไซเบอร์ หลายๆคนก็จะคิดถึงเรื่องของการแฮก และการป้องกันระบบใช่มั้ยครับ#

ใช่เราคิดถูกแล้ว ฮาๆ แต่!! นั่นมันก็แค่ส่วนหนึ่ง ซึ่งคำว่าไซเบอร์มันค่อนข้างครอบคลุมในหลายแง่มุม ยกตัวอย่างเช่น

• Computer networks (เครือข่ายคอมพิวเตอร์) การเชื่อมต่อระหว่างคอมพิวเตอร์ และอุปกณรณ์ต่างๆ ผ่านอินเทอร์เน็ต
• Digital Data (ดิจิทัล)ข้อมูลที่ถูกสร้างขึ้นในรูปแบบอิเล็กทรอนิกส์
• Cybersecurity (ความปลอดภัยทางไซเบอร์) ซึ่งก็อย่างที่กล่าวไปข้างต้น และที่ทุกคุณเข้าใจกัน แต่ศาสตร์ของความปลอดภัยไซเบอร์มันก็ยังแบ่งอีกเป็นหลายแขน่ง ขึ้นอยู่กับว่า เทคโนโลยีในปัจจุบันนั่น มีอะไรบ้างที่ทำงานเป็นระบบ
• Cybercrime (อาชญากรรมไซเบอร์) แน่นอนบนโลก ย่อมมีด้านสว่าง และด้านมืดเสมอ ก็จะมีผู้คนบ้างกลุ่มมีจุดประสงค์ที่แตกต่างกันไปในการก่ออาชญากรรมทางไซเบอร์
• Cyberwarfare (สงครามไซเบอร์) เคยได้ยินคำกล่าวนี้มั้ยครับ “War never changes” หรือในภาษาไทย “สงครามไม่เคยเปลี่ยนแปลง” เป็นวลีที่มีความหมายลึกซึ้งเกี่ยวกับธรรมชาติของสงคราม ซึ่งผมได้ยินคำล่าวนี้มาจากเกม Fallout ถึงแม้เทคโนโลยี และยุทธวิธีจะพัฒนา และเปลี่ยนไป แต่แก่นแท้ของสงครามยังคงเหมือนเดิม กล่าวคือ ความรุนแรง การสูญเสีย หรือแม้กระทั่งแรงจูงใจในด้านการแย่งชิงทรัพยากร อุดมการ และการเป็นมหาอำนาจ สิ่งเหล่านี้ก็จะไม่มีวันสิ้นสุดไปได้ นั่นจึงทำให้ต้องหาเทคโนโลยี และยุทธวิธี ที่จะสามารถส่งผลต่อความมั่นคงได้ ดังนั่น สงครามไซเบอร์จึงเกิดขึ้นเนื่องจากการนำไปใช้ในรูปแบบของอาวุธการโจมตี

ซึ่งผมก็ได้เจอแง่มุมที่น่าสนใจที่น่าจะเกี่ยวข้องกับไซเบอร์ นั่นก็คือ Online culture หรือ อาจจะเรียกว่า Internet culture ก็ได้

• Internet culture ตามสุภาษิต “เข้าเมืองตาหลิ่ว ต้องหลิ่วตาตาม” สามารถอธิบายความหมายของคำนี้ได้ ไม่ว่าเราจะไปเข้าวงการใดๆ เราก็ต้องเรียนรูู้ที่จะปรับตัวให้เหมาะสมกับสภาวะแวดล้อมหรือสังคมที่เรากำลังอยู่ ซึ่งนั่นจะทำให้เราได้เรียนรู้ถึงพฤติกรรม และการปฏิสัมพันธ์ของผู้คนในโลกดิจิทัล

แง่มุมสุดท้าย

• Emerging technologies (เทคโนโลยีอุบัติใหม่) ไม่ว่าจะเป็น IoT (Internet of thing) Blockchain และ AI (Artificial Intelligence) ล้วนแล้วแต่มีผลต่อการเปลี่ยนแปลงวิถีชีวิตการใช้เทคโนโลยีในปัจจุบัน

สรุปแล้วไซเบอร์ มันคืออะไรกันแน่ นั่นผม จะอธิบายให้เห็นภาพว่า สิ่งใดๆที่มีการเชื่อมโยงกันเป็นระบบโดยมีการติดต่อสื่อสารผ่านอินเทอร์เน็ต นั่นคือ ไซเบอร์ ซึ่งเรามักจะนำคำว่า “Cyber” เป็นคำนำหน้า เพื่ออธิบายแนวคิด กิจกรรม หรือสิ่งต่างๆ ที่เกี่ยวข้องกับโลกดิจิทัล

NOTE

คำว่าไซเบอร์ รากศัพท์มาจากคำว่า “cybernetics” ในภาษาอังกฤษ ซึ่งมีรากศัพท์มาจากภาษากรีกโบราณ “κυβερνήτης” (kybernētēs) แปลว่า “ผู้ควบคุม” หรือ “ผู้นำทาง”

🧙Road Map CyberSecurity#

IMPORTANT

ด้วยความตื่นเต้น คุณลุกขึ้นเดินตามหญิงสาวไปยังโต๊ะที่เต็มไปด้วยอุปกรณ์แปลกตา ลูกโลกสีฟ้าสว่างเด่นท่ามกลางเทียนไขที่ส่องแสงระยิบระยับ หนังสือเก่าเปิดอยู่ตรงหน้า มีแผนที่ดาวและสัญลักษณ์ลึกลับปรากฏบนหน้ากระดาษ “นี่คือแผนที่นำทางสู่โลกไซเบอร์”

⭐roadmap.sh#

• roadmap.sh

ในเรื่องของไซเบอร์นั่น ถ้าเราจะพูดถึงบริบท Cyber Security#

หน้าที่ของเราก็คือการป้องกัน ดังนั้นหลักๆแล้วเราก็จะแบ่งการป้องกันเป็น

• การป้องกันทางไซเบอร์เชิงรุก (Proactive cyber defense)#

IMPORTANT

ล่มแรก: หนังสือปกดำที่มีอัญมณีสีแดงส่องประกาย ราวกับเปลวไฟที่คอยรอเผาผลาญภายในคือความรู้ของ Red Team ศาสตร์แห่งการโจมตีและการเจาะระบบ ทุกครั้งที่นิ้วของคุณสัมผัสลงไป ความร้อนเริ่มไหลผ่านปลายนิ้ว เปรียบเสมือนพลังของการแฮ็กที่กำลังรอการปลดปล่อย

📕hacktricks

นั้นคือการป้องกันก่อนเกิดเหตุ มักจะใช้วิธีในรูปแบบของการทดสอบเจาะระบบ (Penetration testing) และ การประเมินช่องโหว่ (Vulnerability Assessment) รวมไปถึงการทำ Social Engineering โดยรวมแล้วเราจะเรียกกลุ่มนี้ว่าฝั่ง Red Team

NOTE

Red Team Job Titles

• Offensive Security Engineer
• Penetration Tester
• Vulnerability Researcher

Information: Link

• การป้องกันทางไซเบอร์เชิงรับ (Reactive cyber defense)#

IMPORTANT

เล่มที่สอง: ปกเทาเข้มมีสัญลักษณ์สีฟ้าประดับอยู่กลางเล่ม แทนถึง Blue Team ศาสตร์แห่งการป้องกันที่แข็งแกร่งและรับมือกับภัยคุกคาม เมื่อสัมผัสลงไป คุณรู้สึกถึงความเย็นที่แผ่ซ่านรอบตัว ราวกับโล่ที่ปกป้องโลกไซเบอร์จากการโจมตีทุกรูปแบบ

📘Blue Team form 0 to Hero

เป็นการตอบสนองหลังเกิดเหตุ เน้นการจัดการปัญหาเมื่อตรวจพบ เรามักจะใช้วิธีที่เรียกว่า Incident response หรือ การตอบสนองต่อเหตุการณ์ โดยกลุ่มคนที่คอยเฝ้าระวังความปลอดภัย (Security Monitoring) เราจะเรียกว่า ทีม SOC (Security Operations Center) ซึ่งเราจะเรียกกลุ่มนี้ว่าฝั่ง Blue Team

WARNING

มาถึงตรงนี้แล้ว อยากจะเลือกหนังสือเล่มไหนละ ฮาๆ 🧙

NOTE

Blue Team Job Titles

• Security Analyst
• Threat Hunter
• Incident Responder
• Malware Analyst
• Digital Forensics Analyst
• Defensive Security Engineer
• Security Architect
• Threat Detection Engineer

Information: Link

WARNING

ถ้ายังตัดสินใจไม่ได้ เรายังมีลูกผสมระหว่าง Red Team และ Blue Team นั่นคือ

• Purple Team#

IMPORTANT

เล่มสุดท้าย: ปกสีม่วงเข้มเรืองแสงคริสตัลสว่างสดใส ตัวแทนของ Purple Team ทีมที่ผสานความรู้ของ Red Team และ Blue Team ไว้ด้วยกัน ความสมดุลของการโจมตีและการป้องกันเริ่มหมุนวนในมือคุณ เมื่อจับมันไว้ คุณสัมผัสได้ถึงพลังที่ซ่อนเร้นอยู่ข้างใน ราวกับกุญแจสู่การเข้าใจโลกทั้งใบ

📚s0cm0nkey

สำหรับ Purple Team เป็นส่วนที่ขาดไปไม่ได้เลย เนื่องจากไม่ว่าเราจะทำงานสายไหน เราก็ต้องมี ผู้นำ ถูกมั้ยครับ ดังนั้นสิ่งที่ตอบโจทย์ในการประสานงาน และการชักจูงทีม ก็คือสายนี้ครับ เนื่องจาก Purple Team นั่นจะต้องมีความรู้ทั้งสองแขนง ถึงแม้จะไม่ใช่ Specialist ในด้านใดด้านนึง แต่ก็ถือว่ามีความสำคัญในด้านการบริหารในภาพรวมระดับที่กว้างกว่าทั้งสองทีม

NOTE

Purple Team Job Titles

• Offensive Security Engineer
• Defensive Security Engineer
• Purple Team Operator
• Penetration Tester
• Vulnerability Researcher
• Security Analyst
• Incident Responder
• Malware Analyst
• Security Architect
• Threat Hunter
• Digital Forensics Analyst

Information: Link

Image source: Link.

โดยสรุปแล้ว ถามว่าทำไมจึงต้องแบ่งแยกให้ชัดเจน เนื่องจากว่าในการแข่งขัน CTF มันมีเวลาจำกัด และต้องเน้นแข่งกับเวลาดังนั้นเราควรเลือกที่จะชำนาญในด้านใดด้านนึงไป เพื่อที่ว่าเวลาที่เราทำโจทย์การแข่งขันจะสามารถทำเวลาได้ดี แล้วจะทำให้เราไม่ตกอันดับ เนื่องจากทำโจทย์ได้แต้มช้านั้นเอง

🔴 Web Application#

IMPORTANT

“หมวดหมู่แรกคือ Web Application” เธอเอ่ย พร้อมเปิดหนังสือที่แสดงถึงการทดสอบเว็บแอปพลิเคชัน ภายในประกอบด้วยวิธีการค้นหาช่องโหว่ของเว็บเพจ และการเจาะระบบผ่านการเข้าถึงข้อมูลที่ซ่อนอยู่ในเว็บต่าง ๆ

สำหรับหมวดหมู่ Web Application ในการแข่งขัน CTF จะเป็นหน้าที่ของฝั่ง Red Team ที่จะรับผิดชอบในการแก้ไขปัญหาโจทย์ โดยที่จะต้องเรียนรู้ในเรื่องของระบบปฏิบัติการต่างๆ ได้แก่ Window Linux เพื่อศึกษาวิธีการใช้ Commad Line ในการควบคุมเครื่อง รวมไปถึง Service ในการให้บริการของเครื่อง Server ว่ามีรูปแบบไหนบ้าง

📕CTF101 : Web Exploitation

TIP

ในเรื่องของ Web Application อาจจะต้องไปฝึกเขียน และการทำ Web Development เพื่อให้เราเข้าใจหลักการทำงานในภาษาต่างๆ ของเว็บได้มากขึ้น และเพื่อที่จะสามารถค้นหาวิธีการในการที่จะโจมตีเว็บไซค์ โดยส่วนใหญ่ก็จะอ้างอิงถึง OWASP Top 10 แต่ถ้ามาศึกษาเรื่องนี้เพิ่มเติมจะพบว่ายังมีท่าอื่นๆ ในการโจมตีอีกมากมาย

🔴 Reverse Engineering & Pwnable#

IMPORTANT

“ต่อไปคือ Reverse Engineering & Pwnable หมวดนี้จะทดสอบความสามารถในการวิเคราะห์และถอดรหัสโปรแกรม คุณต้องแยกโค้ดออกเป็นส่วน ๆ เพื่อค้นหาจุดอ่อนและแก้ไขปริศนาที่ถูกสร้างขึ้นมา”

ปกติแล้วเวลาเราเรียกเราจะเรียกคำย่อๆว่า Reverse และ Pwn สำหรับมือใหม่ ผมอาจจะไม่แนะนำเพราะ ค่อนข้างที่จะต้องใช้ความรู้และทักษะในหลายๆด้าน ไม่ว่าจะเป็นเข้าใจถึง การทำงาน การประมวลผล ของ CPU โดยเฉพาะโปรแกรมมิ่ง และภาษาต่างๆในคอมพิวเตอร์ หรือถ้าเราชื่นชอบในการอ่าน ภาษาแอสเซมบลี และการศึกษาการประมวลผลต่างๆ ของเครื่องคอมพิวเตอร์ หมวดหมู่นี้น่าจะตอบโจทย์ ซึ่งหลักๆในการแข่งขัน CTF ก็จะให้ Red Team รับผิดชอบอีกเช่นกัน เนื่องจากที่ต้องมีความรู้ด้านระบบปฏิบัติการ และการเปิด Service ต่างๆภายในเครื่อง

📕 CTF101 : Reverse Engineering

📕 CTF101 : Binary Exploitation

🔴 Mobile Security#

IMPORTANT

เธอหยุดหน้าแผงควบคุมขนาดใหญ่และกล่าวต่อ “สำหรับ Mobile Security หมวดหมู่นี้จะพาคุณเข้าสู่โลกของอุปกรณ์เคลื่อนที่ คุณจะได้เรียนรู้วิธีป้องกันและโจมตีในสมาร์ตโฟนหรือแท็บเล็ต”

หมวดหมู่นี้ เช่นเคยโดยส่วนตัวผมมองว่า ฝั่ง Red Team รับผิดชอบ เพราะเล่นเกี่ยวกับระบบปฏิบัติการ และมีการใช้หลักการการโจมตีที่ใช้ทักษะที่มีความเกี่ยวข้องกับ Web App และ Reverse & Pwn เนื่องจากมีการวิเคราะห์และโจมตี ในรูปแบบของ Static และ Dynamic

📕 Android Pentesting 101: A Novice’s Handbook to Getting Started

🔵 Digital Forensic#

IMPORTANT

เมื่อเดินไปถึงอีกมุมของห้อง หญิงสาวชี้ไปยังหนังสือที่เรืองแสงเป็นสีน้ำเงิน “นี่คือ Digital Forensic หมวดที่คุณจะได้วิเคราะห์หลักฐานดิจิทัล ค้นหาร่องรอยของข้อมูลที่ถูกทิ้งไว้ เพื่อติดตามผู้กระทำผิดในโลกไซเบอร์”

สำหรับผมมองว่า คนที่เข้ามาเล่น CTF ใหม่ๆจะชอบหมวดหมู่นี้เนื่องจากที่โจทย์มีหลักการที่ตายตัว แต่ในการแก้ไขปัญหาโจทย์ผู้ออกโจทย์อาจจะทำให้มีความซับซ้อน และวิธีการซ้อนที่แปลกใหม่ ดังนั้นแนะนำว่าควรที่จะมีการคิดนอกกรอบนอกจากที่จะยึดตามหลักการไปมากจนทำให้เราหลงกล กับผู้ออกโจทย์ได้ โดยความรู้ที่จะต้องมีหลักๆก็คือ เรื่องของไฟล์ประเภทต่างๆในระบบคอมพิวเตอร์ ฮาร์ดิส แรม การเก็บข้อมูลในรูปแบบต่างๆ เลขฐานสอง (Binary Number) เลขฐานสิบ (Decimal Number) ฐานสิบหก (Hexadecimal Number System) หรือที่ชอบเรียกย่อๆว่า Hex

📘 CTF101 : Forensics

🔵 Network Security#

IMPORTANT

“Network Security คือหมวดที่คุณจะได้เผชิญกับการโจมตีและป้องกันเครือข่ายไซเบอร์ คุณจะต้องสร้างเกราะป้องกันที่แข็งแกร่งที่สุด” หญิงสาวกล่าวขณะชี้ไปที่เครือข่ายสัญญาณเวทย์มนตร์ที่ลอยอยู่ในอากาศ

หมวดหมู่นี้จะเน้นไปการวิเคราะห์ Trffic Network ในไฟล์ pcap ที่ได้มาจากการดักจับโดยโปรแกรม Wireshark เป็นซะส่วนใหญ่ ดังนั้นจึงเป็นหน้าที่ของฝั่ง Blue Team เนื่องจากมีการเก็บไฟล์เป็นหลักฐาน รวมไปถึงพวก Network Log ต่างๆ ดังนั้น ควรที่จะมีความรู้ในด้าน HTTP Request และ Networking เป็นอย่างดี

📘 CTF101 : Wireshark

🟣 Programming#

IMPORTANT

“Programming คือหมวดที่ทดสอบความสามารถในการเขียนโค้ด คุณต้องใช้ความคิดสร้างสรรค์และตรรกะเพื่อแก้ไขปัญหาที่ซับซ้อน” เธอเอ่ยพร้อมเปิดหนังสือที่เต็มไปด้วยโค้ดที่ส่องประกายออกมา

ต้องบอกว่าหมวดหมู่นี้จับจุดยากมากเพราะ โปรแกรมมิ่งสามารถออกรูปแบบไหนก็ได้ที่เป็น Source Code Review ดังนั้นสิ่งที่ต้องเตรียมตัวก็คือ ฝึกการเขียนโปรแกรม และทำความเข้าใจในภาษานั่นๆ

🟣 Cryptography#

IMPORTANT

“และสุดท้าย Cryptography คุณจะได้เรียนรู้การเข้ารหัสและถอดรหัส ข้อมูลที่ถูกซ่อนอยู่ในข้อความลับจะต้องถูกปลดล็อกด้วยความรู้และปัญญา”

หมวดหมู่สุดท้าย ที่ผมคิดว่าจริงๆแล้ว มันเป็น Base ของทุกๆอย่าง เพราะทุกๆหมวดหมู่ย่อมมีการเข้ารหัสเข้ามาใช้งานเป็นปกติอยู่แล้ว ดังนั้นหมวดหมู่นี้ไม่ว่าจะเป็น Red Team พวก HTTPS, private key , public key หรือ Blue Team พวก Encode , Encrypt รูปแบบต่างๆ ก็ต้องมีความรู้ด้านนี้เป็นอย่างดีเช่นกัน

📚 CTF101 : Cryptography

IMPORTANT

เธอหันมามองคุณ “เมื่อคุณพร้อมที่จะฝึกฝน ทุกหมวดหมู่จะเปิดรอให้คุณเข้าไปศึกษา ทักษะทั้งหมดจะต้องถูกนำมาใช้ในการแข่งขัน เพื่อค้นหาผู้ที่จะเป็น CTF Master คนต่อไป”

NOTE

สัญลักษณสีที่ติดไว้ในแต่ละหมวดหมู่เป็นการแบ่งแยกคร่าวๆ ให้กับผู้เล่นเวลาลงแข่ง CTF ซึ่งโดยสุดท้ายแล้วทุกคนสามารถกระโดดทำหมวดหมู่ไหนก็ได้ที่เราคิดว่าสามารถทำได้ตามความเหมาะสม

ซึ่งโดยปกติในงานแข่ง CTF มักจะแบ่งเป็นทีมละ 3 คน จากที่เราได้เรียนรู้ถึงอาชีพไซเบอร์ เราก็คงมีทีมที่เราอยากเป็นแล้วในใจแล้วละ ที่นี้เดียวผมจะอธิบายให้ฟังว่า ในแต่ละทีมควรที่จะรับผิดชอบในหมวดหมู่อะไรบ้าง และแนวทางในการฝึกฝนของแต่ละทีม

Level 0 : NOVICE ✝️#

IMPORTANT

นักเรียนใหม่ที่ยังไม่ได้ก้าวสู่ภาคปฏิบัติ เปรียบเสมือนนักเวทย์ฝึกหัดที่เพิ่งเรียนรู้คาถาเบื้องต้น คุณจะได้รับการฝึกฝนเพื่อให้รู้จักเครื่องมือและกระบวนการต่างๆ ในการเตรียมตัวเข้าสู่การทดสอบทักษะต่อไป ความรู้พื้นฐานและการทำความเข้าใจกฎเกณฑ์จะเป็นหัวใจสำคัญของการก้าวไปสู่ระดับถัดไป

สำหรับผู้เริ่มต้นใหม่ผมจะแนะนำให้เราไปฝึกฝนทักษะพื้นฐานต่างๆ ให้แน่นจากหลายๆ Platform

IMPORTANT

หลังจากที่คุณและเพื่อนร่วมทีม Novice ได้รับการคัดเลือกจากคณาจารย์ คุณถูกพามายังมหาวิหารอันยิ่งใหญ่ที่ตั้งอยู่กลางเมือง มหาวิหารนี้คือศูนย์กลางแห่งการศึกษาเวทมนตร์และทักษะไซเบอร์ ทั้งห้องเรียน ห้องสมุด และห้องปฏิบัติการล้วนตั้งอยู่ภายในนี้ การออกแบบของอาคารเต็มไปด้วยรายละเอียดล้ำค่า ประตูใหญ่ถูกแกะสลักอย่างประณีต ราวกับสื่อถึงความยิ่งใหญ่ของสถานที่แห่งนี้ และแสงแดดที่ส่องลอดผ่านหน้าต่างบานสูงสะท้อนเป็นลวดลายหลากสี ทำให้บรรยากาศดูขลังและศักดิ์สิทธิ์

“ที่นี่คือมหาวิหารแห่งการเรียนรู้ที่เราจะใช้ฝึกฝนทุกทักษะ ทั้งเวทมนตร์และไซเบอร์” หญิงสาวผู้พาคุณมาอธิบาย ขณะที่คุณมองขึ้นไปยังยอดหอคอยที่สูงเสียดฟ้า ความรู้สึกของคุณตอนนี้ทั้งตื่นเต้นและท้าทาย แต่คุณก็อดรู้สึกถึงแรงกดดันที่จะต้องพิสูจน์ตัวเองในที่แห่งนี้ไม่ได้

คุณและเพื่อน Novice คนอื่น ๆ เดินเข้าสู่มหาวิหาร ภายในเต็มไปด้วยเหล่าผู้ที่มีความสามารถหลากหลาย บางคนสวมชุดคลุมแห่งเวทมนตร์ บ้างก็ถืออุปกรณ์เทคโนโลยีขั้นสูง พวกเขากำลังฝึกฝนและเรียนรู้ความรู้ที่ผสานเวทมนตร์และวิทยาศาสตร์อย่างลงตัว

หญิงสาวผู้นำทางยิ้มให้ก่อนจะกล่าวว่า “จากนี้ไป คุณจะต้องก้าวเข้าสู่การฝึกฝนอย่างจริงจัง ศึกษาทุกทักษะอย่างเข้มข้นเพื่อเตรียมพร้อมสู่การแข่งขัน CTF และพิสูจน์ว่าคุณคือผู้ที่จะก้าวไปสู่จุดสูงสุดของศาสตร์นี้”

ในการเก็บเลเวล ผมจะให้เริ่มต้นจากภาคทฤษฎีก่อนแล้วจึงไปภาคปฏิบัติ

⭐ Basic Programming#

• w3schools
• wrikka

⭐ MOOC NCSA#

• Basic Cybersecurity Lab

⭐ Try Hack Me#

• 💫Intro Rooms#

  • Welcome
  • How to use TryHackMe
  • Tutorial
  • OpenVPN
  • Learning Cyber Security
  • Starting Out In Cyber Sec
  • Introductory Researching
  • pythonbasics
  • What the shell?

• 💫Linux Fundamentals#

  • Linux Modules
  • Linux Fundamentals Part 1
  • Linux Fundamentals Part 2
  • Linux Fundamentals Part 3

⭐ Hack The Box : Academy#

• Intro to Academy
• Setting Up
• Introduction to Networking
• Linux Fundamentals

⭐ DropCTF#

• STARTING POINT
• Beginner Fundamental

⭐ CTFlearn#

• Intro-to-Linux-Command-Line-1
• Intro-to-Linux-Command-Line-2

⭐ picoCTF#

• General Skills : Easy , Medium

⭐ cmdchallenge#

Website

⭐ CTFlearn#

• Miscellaneous: Practice Flag
• Miscellaneous: Time Traveller
• Miscellaneous: Where Can My Robot Go?
• Miscellaneous: Wikipedia
• Miscellaneous: QR Code
• Miscellaneous: My Friend John

IMPORTANT

หลังจากการฝึกฝนทั้งภาคทฤษฎีและภาคปฏิบัติสิ้นสุดลง นักเรียนทั้งหมดถูกเรียกตัวเข้าสู่ห้องสอบที่ตั้งตระหง่านกลางวิหารเวทย์มนตร์ขนาดใหญ่ การสอบเลื่อนชั้นไปสู่ Level 1: MAGE ได้เริ่มต้นขึ้น ห้องสอบถูกล้อมรอบด้วยพลังงานเวทย์ที่เปล่งประกาย ระยิบระยับจากอุปกรณ์เวทย์ที่ลอยอยู่เหนือศีรษะของพวกเขา

การทดสอบถูกแบ่งเป็น 3 ส่วน นักเรียนแต่ละคนจะต้องฝ่าฟันความท้าทายในการถอดรหัสเวทย์ลับ ป้องกันระบบจากการโจมตี และสร้างการเข้ารหัสที่ไม่สามารถถูกเจาะได้ ด้วยเวลาที่จำกัดและความกดดันที่เพิ่มขึ้น นักเรียนทุกคนจะต้องนำทักษะทั้งหมดที่ได้ฝึกฝนมาใช้ในการทดสอบครั้งนี้

ทุกสายตาจับจ้องไปที่ผลการทดสอบ ใครจะผ่านและกลายเป็น MAGE ตัวจริง?

Level 1 : MAGE ✡️#

IMPORTANT

หลังจากที่การสอบผ่านพ้นไป และคุณได้กลายเป็นผู้ใช้เวทย์ในระดับ Mage Level 1 อย่างเป็นทางการ คุณและเหล่าผู้ผ่านการสอบคนอื่น ๆ ได้รับการเชิญเข้าสู่สถานที่อันสง่างามซึ่งถูกเรียกว่า “วิหารแห่ง Mage Level 1” สถานที่นี้เต็มไปด้วยพลังงานเวทย์มนตร์ที่เปล่งประกายระยิบระยับจากอัญมณีและแสงอันบริสุทธิ์ที่สาดส่องผ่านกระจกสีสันที่ประดับประดาอย่างวิจิตร

IMPORTANT

ภายในวิหารนี้ พลังงานเวทย์มนตร์ลอยอยู่ในอากาศ และทุกซอกมุมถูกเติมเต็มด้วยสัญลักษณ์เวทย์ลึกลับที่เปล่งแสงจาง ๆ เหล่ามาสเตอร์และอาจารย์ระดับสูงกำลังเดินไปมาระหว่างห้องต่าง ๆ โดยให้ความรู้และแนะนำเหล่าศิษย์ใหม่ในการฝึกฝนสกิลระดับสูง

IMPORTANT

หลังจากผ่านการสอบและเลื่อนชั้นมาเป็น Mage ผู้ใช้เวทย์มนตร์ขั้นต้นได้สำเร็จ ทุกคนก็ได้รับการต้อนรับเข้าสู่ระดับใหม่ที่ท้าทายและน่าตื่นเต้นกว่าเดิม การตัดสินใจครั้งสำคัญได้มาถึงแล้ว พวกเขาจะต้องเลือกเส้นทางที่เหมาะสมกับความสามารถของตนเอง

“ต่อไปนี้คือช่วงเวลาสำคัญ” หญิงสาวที่เคยเป็นผู้สอนกล่าว “ในการเป็น Mage ระดับต้น คุณจะต้องเลือกหนึ่งในสามสายสำคัญ—Red Team, Blue Team หรือ Purple Team.”

เธอชี้ไปที่หนังสือวิเศษเล่มหนาที่ลอยอยู่ตรงหน้า โดยมีสีต่างๆ เปล่งประกายออกมา “สาย Red Team จะเน้นไปที่การโจมตี การแฮ็ก และการทำลายล้างในโลกไซเบอร์ พลังงานแห่งการทำลายคือสิ่งที่พวกเขาเชี่ยวชาญ” ขณะที่เธอพูด หนังสือสีแดงเรืองแสงพร้อมสัญลักษณ์ของพลังแห่งการต่อสู้ก็ปรากฏขึ้น

“Blue Team นั้นเป็นสายป้องกันและปกป้อง การรักษาความปลอดภัยของระบบไซเบอร์เป็นหน้าที่ของพวกเขา คุณจะต้องเรียนรู้วิธีป้องกันการโจมตีทุกรูปแบบ” หนังสือสีน้ำเงินที่เงางามปรากฏขึ้นข้างเธอ

“และสุดท้าย Purple Team สายผสมที่ต้องการทั้งทักษะโจมตีและป้องกัน คุณจะได้ฝึกฝนทั้งสองด้าน พร้อมใช้เวทย์มนตร์เพื่อควบคุมและสร้างสมดุลในโลกไซเบอร์” หนังสือสีม่วงลอยขึ้นข้างๆ เธอ แสดงถึงเส้นทางสายกลางของการเป็น Mage

“เลือกให้ดีนะ การตัดสินใจครั้งนี้จะเป็นตัวกำหนดเส้นทางในอนาคตของคุณ!” หญิงสาวพูดพร้อมมอบทางเลือกให้พวกเขาตัดสินใจ

IMPORTANT

ขณะที่คุณยืนอยู่ต่อหน้าทั้งสามเล่ม หญิงสาวเอ่ยเบาๆ “ทุกเล่มมีพลังของมัน แต่สิ่งสำคัญคือคุณพร้อมจะเผชิญหน้ากับความท้าทายของมันหรือยัง จงเชื่อในสัญชาตญาณของคุณ แล้วเลือกหนึ่งในนั้น”

IMPORTANT

หลังจากที่คุณได้เลือกหนังสือแห่งเวทย์มนตร์ที่เหมาะสมกับตนเองแล้ว หญิงสาวที่เป็นผู้แนะนำได้นำคุณไปยังแท่นพิธีอันศักดิ์สิทธิ์ ที่ซึ่งอัญมณีสามสีส่องประกายระยิบระยับรอการเลือกสรรอยู่บนแท่น หญิงสาวอธิบายว่าอัญมณีเหล่านี้เป็นสัญลักษณ์ของการเข้าร่วมสมาคมเวทย์มนตร์ ซึ่งแต่ละสมาคมจะมีวิถีและจุดเด่นที่แตกต่างกัน

ขอแสดงความยินดีด้วย🍻 ตอนนี้เราก้าวขึ้นมาจาก Novice เป็นผู้ใช้เวทย์มนตร์ขั้นต้นได้แล้ว หรือ Mage นั้นเอง ฮาๆ

ซึ่งต่อจากนี้ก็จะเป็นการเลือก แล้วว่าเราจะไปเป็นเวทย์สายอะไร ได้แก่ Red Team , Blue Team และ สายผสม Purple Team

IMPORTANT

🔴 Red Team - เป็นสมาคมที่เน้นการโจมตีและทำลายล้าง พวกเขาเชี่ยวชาญในการใช้เวทย์มนตร์ในการทดสอบระบบและค้นหาช่องโหว่ในการป้องกัน อัญมณีสีแดงเปล่งประกายด้วยพลังร้อนแรง สะท้อนถึงความมุ่งมั่นและความกล้าหาญ

🔵 Blue Team - สมาคมนี้มีจุดเด่นในการป้องกันและรักษาระบบจากการโจมตี พวกเขาคือผู้ที่คอยปกป้องและเสริมสร้างความแข็งแกร่งให้กับระบบเวทย์มนตร์ อัญมณีสีฟ้าเย็นสงบ เปรียบเสมือนกำแพงที่ไม่สามารถถูกทำลายได้

🟣 Purple Team - สำหรับผู้ที่ต้องการผสมผสานความสามารถทั้งการโจมตีและป้องกัน Purple Team เป็นทางเลือกที่ลงตัว พวกเขาเป็นนักเวทย์ที่ยืดหยุ่นและเชี่ยวชาญในการถอดรหัสและสร้างเวทย์ลับที่ซับซ้อน อัญมณีสีม่วงส่องประกายดั่งปริศนา แสดงถึงความสมดุลและความลึกลับ

คุณจะต้องตัดสินใจเลือกอัญมณีเพื่อเข้าร่วมสมาคมและฝึกฝนต่อในสายที่คุณเลือก…

📖ภาคทฤษฎี (Theory section)#

IMPORTANT

สำหรับสายนี้ พื้นฐานที่สำคัญที่สุด คือ การมี “Hacker Mindset” ซึ่งไม่ใช่เพียงแค่การรู้จักเทคนิคหรือเครื่องมือในการเจาะระบบ แต่เป็นการมองทุกสิ่งด้วยมุมมองที่ลึกซึ้งและสงสัยอยู่เสมอ การพยายามเข้าใจระบบให้ลึกถึงแก่น และหาวิธีที่ไม่เคยมีใครคิดออกเพื่อทำลายหรือเจาะระบบ การมี Hacker Mindset คือการคิดนอกกรอบและค้นหาคำตอบที่คนทั่วไปมองไม่เห็น

ในระหว่างการฝึกฝน นักเรียนจะต้องเรียนรู้ที่จะคิดแบบนี้ ต้องมีความพยายามที่จะเปิดเผยจุดอ่อนและหาช่องทางในการแฮกระบบ ซึ่งเป็นส่วนสำคัญในการเตรียมพร้อมสู่การเป็นผู้ใช้เวทย์ของ Red Team

สำหรับความรู้พื้นฐานที่ต้องมีของสายนี้ นั่นคือ การมี Hacker Mindset

⭐ MOOC NCSA#

• Penetration Test

⭐ Try Hack Me#

• Intro to offensive security
• Cyber kill chain
• Common attacks
• What is networking
• Network services
• Network services 2
• HTTP in detai
• DNS in detail
• How websites work
• Putting it all together
• Pentesting fundamentals
• Red team fundamentals
• Red team engagements
• Active reconnaissance
• Passive reconnaissance
• Nmap
• Metasploit
• Rustscan
• Hydra
• Ffuf
• Learn burpsuite

⭐ Hack The Box : Academy#

• 💫 Cracking into Hack the Box#

  • Web Requests
  • JavaScript Deobfuscation
  • Getting started

• 💫 Penetration Tester#

  • Penetration testing process
  • Network enumeration with nmap
  • Footprinting
  • Information Gathering - web Edition
  • Vulnerability assessment
  • File transfers
  • Shells & payloads
  • Using the metasploit framework
  • Password attacks
  • Attacking common services
  • Using web proxies
  • Attacking web applications with Ffuf
  • Login brute forcing
  • SQL injection fundamentals
  • SQLMap essentials
  • Cross-Site scripting (XSS)
  • File inclusion
  • File upload attacks
  • Command injections
  • Web attacks
  • Attacking common applications
  • Linux privilege escalation
  • Windows privilege escalation
  • Pivoting, tunneling, and port forwarding
  • Active directory enumeration & attacks
  • Attacking enterprise networks

⭐ DropCTF#

• 💫 Beginner (Red Team)#

  • Recon & enumeration
  • Local file inclusion
  • Os command injection
  • Blind os command injection
  • Broken access control
  • Broken access control 2
  • Brute force
  • BYPASS AUTHENTICATION
  • BACKUP LAB
  • SQL INJECTION
  • SQL INJECTION POST
  • XSS
  • SSRF (Blind)
  • Unrestricted File Upload 0x01
  • Unrestricted File Upload 0x02
  • REVERSE SHELL
  • ANONYMOUS LOGIN
  • SECURITY MISCONFIGURATION
  • MASS ASSIGNMENT
  • SESSION MANAGEMENT
  • CONTENT DISCOVERY
  • CONTENT DISCOVERY : ADVANCE
  • LOCAL STORAGE
  • WEB PARAMETER TAMPERING
  • NGINX PATH TRAVERSAL
  • SSTI

• 💫 Privilege Escalation Linux#

  • BASIC PRIVESC
  • PRIVESC PASSWD FILE
  • PRIVESC SUID
  • RACE CONDITION PRIVESC
  • CRONTAB EXPLOIT PRIVESC
  • PRIVESC PATH ENV

NOTE

แถม

• HACK ANDROID
• OTP Length Manipulation

⭐ Hack The Box : Starting Point#

TIER 0 , 1 , 2

⭐ Try Hack Me#

Mr robot CTF Pickle rick Vulnversity Steelmountain Basic pentesting Blue Owasp juice shop Kenobi Simple CTF

⭐ overthewire#

Website

⭐ picoCTF#

• 💫Web Exploitation#

  • Easy
  • Medium

⭐ Root-me#

• 💫Web-Client#

  • Javascript - Authentication
  • Javascript - Authentication 2
  • Javascript - Source
  • HTML - disabled buttons
  • Javascript - Obfuscation 1
  • Javascript - Obfuscation 2
  • Javascript - Obfuscation 3
  • Javascript - Obfuscation 4
  • Javascript - Native code
  • Javascript - Webpack
  • XSS - Stored 1
  • XSS - Stored 2
  • XSS - Reflected
  • XSS DOM Based - Introduction
  • CSRF - 0 protection
  • CSRF - token bypass
  • Flash - Authentication
  • CSP Bypass - Inline code

• 💫Web-Server#

  • HTML - Source code
  • Weak password
  • HTTP - User-agent
  • HTTP - Directory indexing
  • HTTP - Open redirect
  • PHP - Command injection
  • HTTP - Headers
  • Backup file
  • HTTP - POST
  • HTTP - Verb tampering
  • SQL injection - Authentication
  • HTTP - Cookies
  • Install files
  • HTTP - Improper redirect
  • Directory traversal
  • File upload - Double extensions
  • CRLF
  • File upload - MIME type
  • HTTP - IP restriction bypass
  • Local File Inclusion
  • File upload - Null byte
  • SQL injection - String
  • PHP - Filters
  • JWT - Introduction
  • PHP - register globals
  • PHP - assert()
  • SQL injection - Numeric
  • Insecure Code Management
  • Local File Inclusion - Double encoding
  • Remote File Inclusion
  • JWT - Weak secret
  • Java - Server-side Template Injection
  • LDAP injection - Authentication
  • SQL injection - Authentication - GBK
  • File upload - ZIP
  • PHP - preg_replace()
  • PHP - type juggling
  • NoSQL injection - Authentication
  • SQL injection - Error
  • Command injection - Filter bypass
  • SQL injection - Blind
  • PHP - Loose Comparison
  • PHP - Serialization
  • SQL Truncation
  • XPath injection - Authentication
  • SQL injection - File reading
  • JWT - Revoked token
  • SQL injection - Time based
  • XML External Entity
  • PHP - Path Truncation
  • SQL Injection - Routed
  • Python - Server-side Template Injection Introduction

⭐ ringzer0ctf#

• 💫SQL Injection#

  • Most basic SQLi pattern.
  • ACL rulezzz the world.
  • Login portal 1
  • Random Login Form
  • Po po po po postgresql

⭐CTFlearn#

• 💫Web#

  • My Blog
  • Basic Injection
  • Gobustme ?
  • POST Practice
  • Don’t Bump Your Head(er)
  • Calculat3 M3
  • Inj3ction Time
  • AudioEdit
  • Grid It!

⭐flagyard#

• 💫Web#

  • Meters Flag
  • nooter

WARNING

สำหรับ Red Team ที่เป็น 🐦‍🔥 Reverse Engineering & Pwnable , 🐦‍🔥 Mobile Security , Blue Team และ Purple Team กำลังเขียนอยู่ครับ ถ้าผลตอบรับดีเดียวผมกลับมาเขียนต่อ…

ขอบคุณที่อ่านมาจนจบนะครับ เป็นยังไงกันบ้างสำหรับ Road to CTF Master Level I Part I ที่มีการนำเสนอการฝึกฝน CTF ในรูปแบบสวมบทบาทตามนิยายที่ผมแต่งขึ้นมา ฮาๆ ขอฝากความคิดเห็น หรือติชมกันได้นะครับ

ขอบคุณมากคร้าบ