Lab 6.2: CTF

インストラクターから明示的に許可されるまで開始しないでください（ライブイベントの場合のみ）

接続

CTFターゲット環境に接続している必要があります。これは、コースの前半で使用した環境とは異なります。CTFネットワークへの接続方法の詳細については、6.1 CTF Accessを参照してください。

スコープ

Lucadon FinancialはHalicron Bankを買収しました。Lucadonは両方の環境のペネトレーションテストを希望しています。

ネットワーク

スコープ内のネットワークは次のとおりです：

10.130.9.0/24 - ここから開始
10.130.10.0/24
10.130.11.0/24
10.130.12.0/24
10.130.13.0/24
O365 (halicronbank.com) - ログインは可能ですが、その他の攻撃は禁止です！

これらすべてのネットワークでホストが見つかる場合と見つからない場合があります！

ヒント

最初のターゲットは10.130.9.0/24ネットワークにあります。初期ステップの時間を節約するため、「9」ネットワークのNmapスキャンを提供しています。以下のファイルは次のコマンドを使用して生成されました：sudo nmap -oA initial -sV 10.130.9.0/24

注：上記のコマンドを実行する必要はありませんが、必要に応じて実行できます。完了するまでに5分以上かかる場合があることに注意してください。

最初に9ネットワークに焦点を当て、その後見つけたパスをたどることを*強く*お勧めします。

背景

Lucadonは金融サービス会社です。あなたの目標は、脆弱性を特定し、それらの脆弱性を悪用し、ネットワークを介してピボットすることによって、内部ネットワークへのアクセスを実証することです。

Lucadonチームは、システムへのアクセスを獲得できることを実証するために、ネットワーク上にフラグを残しています。フラグはSEC560{SomeUniqueText}の形式で、中括弧{}内のテキストはフラグごとに一意です。例えば、SEC560{FirstFlag}またはSEC560{S3c9ndF1@6}のようなものが見つかる場合があります。

ROE（交戦規定）

交戦規定は次のとおりです：

意図的にシステムを破壊しないこと
スコープ外に出ないこと
他のプレイヤーを攻撃しないこと
システムにパッチを適用しないこと
フラグ、パスワード、その他の資産を変更しないこと
中間者攻撃を実行しないこと
新しいアカウントを作成することは可能です
疑問がある場合は、インストラクターに尋ねること

これらの規則に違反すると、CTFから失格となるか、コースから除外される可能性があります。すべてのそのような決定は、インストラクターまたはTAの独自の判断によるものです。

ライブイベント

これは学習の機会ですが、軽い競争でもあります。すべての目標を最初に完了したチーム、または割り当てられた時間の終わりにリードしているチームが勝者となります。スコアが同点の場合、その最高スコアに最初に到達したチームが勝者となります。

CTF Engineへのアクセス

https://www.ranges.ioにアクセスします。
*Sign up*をクリックしてフォームに記入します（既存のアカウントを持っている場合は、それを使用して次に進んでください）
- 本名を入力してください - これはスコアボードには表示されません
- 有効なメールアドレス - このアカウントを検証する必要があります
- パスワードを選択してください - ログインに必要なので、記録しておいてください
その後、メールを確認し、リンクを開いてメールアドレスを確認するように求められます
メール内のリンクを開くと、*表示名*を選択するように求められます。これはスコアボードに表示される名前です。好きなものを選択できますが、適切なものにしてください。注：選択後に表示名を変更することはできません！
表示名を選択したら、*your events page*リンクをクリックします。
*イベントコード*の入力を求められます。インストラクターから「excellent-tacos」などの2つの単語からなるコードが提供されます（これは有効なイベントコードではありません）。
イベント名が正しいことを確認したら、「Join event」をクリックします。