4 điểm bởi GN⁺ 2023-08-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Wargames của OverTheWire là một không gian học tập giúp bạn luyện tập Unix/Linux, bảo mật web, mật mã học và kỹ nghệ đảo ngược bằng cách tiếp cận các khái niệm bảo mật như một trò chơi
  • Lúc đầu, bạn có thể bắt đầu với Bandit để nắm vững nền tảng, sau đó tiếp tục với Natas, Krypton hoặc Leviathan tùy theo lĩnh vực quan tâm
  • Sau đó, bạn sẽ chuyển sang Narnia, Behemoth, Utumno và Maze, nơi độ khó của khai thác nhị phân và kỹ nghệ đảo ngược tăng lên
  • Cần xem mô tả chi tiết và thông tin kết nối của từng wargame tại trang trò chơi riêng trong menu bên trái
  • Các trò chơi dựa trên shell sử dụng các cổng SSH khác nhau, vì vậy điều quan trọng là phải kiểm tra hướng dẫn trên trang của trò chơi đó trước khi kết nối

Học bảo mật qua trò chơi

  • Cộng đồng OverTheWire vận hành các wargame để người học có thể trực tiếp thực hành các khái niệm bảo mật
  • Có thể xem các quy tắc và thông tin chi tiết của từng wargame tại trang trò chơi tương ứng được liên kết ở menu bên trái
  • Nếu có vấn đề, câu hỏi hoặc đề xuất, bạn có thể tham gia qua chat

Thứ tự học được khuyến nghị và cách kết nối

  • Điểm khởi đầu là Bandit, một trò chơi nhập môn về nền tảng Unix/Linux
  • Sau khi nắm vững kiến thức cơ bản, bạn có thể tiếp tục với một trong các trò chơi sau tùy theo lĩnh vực quan tâm
    • Natas: bảo mật web
    • Krypton: mật mã học
    • Leviathan: kỹ nghệ đảo ngược
  • Ở giai đoạn tiếp theo, độ khó tăng lên với các trò chơi tập trung vào khai thác nhị phân và kỹ nghệ đảo ngược
    • Narnia: nhập môn khai thác nhị phân và kỹ nghệ đảo ngược
    • Behemoth, Utumno, Maze: khai thác nhị phân và kỹ nghệ đảo ngược
  • Các trò chơi dựa trên shell sử dụng cổng SSH khác nhau
    • Cách kết nối SSH được hướng dẫn ở góc trên bên trái của trang từng trò chơi

1 bình luận

 
GN⁺ 2023-08-28
Ý kiến trên Hacker News
  • Tài liệu đáng xem cùng:
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — tài liệu do tôi làm, cung cấp các bài luyện tương tác cho grep, sed, awk, v.v.

  • Nhắc đến OTW thì không thể bỏ qua smash the stack
    Phần hay nhất của các cộng đồng như vậy là các kênh IRC đi kèm, nhưng giờ phần lớn đã chết
    Có những người nổi tiếng như Jduck, spender, và nếu chịu được bầu không khí khắc nghiệt thì có thể học từ những người giỏi nhất
    Hiện nay scene đó gần như ở trạng thái zombie; các game nhìn chung vẫn được cập nhật, nhưng không còn sôi động như trước

    • Tôi tò mò “nếu chịu được bầu không khí khắc nghiệt thì có thể học từ những người giỏi nhất” nghĩa là gì
      Tôi đoán chắc là có kiểu nói năng thô ráp thường thấy hoặc chủ nghĩa tinh hoa, nhưng không rõ lắm
    • Không biết hiện có cộng đồng hiện đại nào trong cùng lĩnh vực có tinh thần và bầu không khí tương tự không
    • Mọi thứ khá vui cho đến khi gặp các bài steganography
      Đến giờ tôi vẫn tránh steganography trong CTF
  • Bài liên quan:
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - tháng 12/2021, 26 bình luận
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - tháng 12/2021, 1 bình luận
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - tháng 1/2018, 23 bình luận
    Wargames - https://news.ycombinator.com/item?id=9878302 - tháng 7/2015, 17 bình luận

  • Gần đây tôi đã hoàn thành một chương trình chứng chỉ sau đại học về an ninh mạng, và một phần đáng kể giai đoạn thực hành ban đầu chỉ là đi theo OTW và hoàn thành vài bài học
    Đây là tài liệu xuất sắc; nếu biết trước, có lẽ tôi đã không trả nhiều tiền cho khóa học như vậy mà chỉ làm các bài luyện OTW

    • Chỉ tò mò thôi, không biết bạn đã hoàn thành toàn bộ OTW chưa
      Cũng muốn biết bạn cảm thấy nó giúp ích đến mức nào trong khóa học
      Chỉ riêng các bài Bandit tôi đã học được rất nhiều rồi, mà tôi hiểu đây là phần dành cho người mới, nên nếu làm hết chắc sẽ khá thú vị
    • Điều đó rốt cuộc có vẻ cho thấy điểm yếu của chương trình chứng chỉ bậc sau đại học
      OTW và các tài liệu của nó rất tuyệt, nhưng vẫn gần với mức nhập môn
  • Một số tài liệu học tương đối mới có đường cong học tập tốt:
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • Tôi từng ở quanh các nhóm kiểu này ở giai đoạn đầu, và thật tuyệt khi phần lớn những đứa từng vận hành các nơi như hackr.org, darkdevelopments.com, ssgroup.org trong thập niên 2000 giờ lại tích cực tạo ra môi trường tốt để người khác học
    Hackthissitewebsec.fr cũng là các tài liệu xuất sắc do những người cùng dòng dõi đó tạo ra

  • Bổ sung một kinh điển tuyệt đối, ít nhất theo tiêu chuẩn của tôi:
    https://www.hackthissite.org/

    • Tôi từng là developer ở đó
      HTS là thứ khiến tôi bắt đầu với khoa học máy tính
  • Một thứ tương tự cho PowerShell:
    https://underthewire.tech/wargames

  • Tôi vẫn nhớ sau khi hoàn thành mỗi level, có thể để lại tên và một câu gì đó trong các file .txt trong filesystem
    Thường chỉ cỡ “Kilroy was here”, nhưng với một thiếu niên, chỉ cần thêm tên mình vào đó cũng đã tạo cảm giác như một hacker 1337 thực thụ, nên khá có động lực
    https://microcorruption.com cũng đáng xem
    Không cần kiến thức riêng về Linux, vào thẳng assembly MSP430, nhỏ gọn và khá ổn để nhập môn khai thác binary và hệ thống nhúng

  • Tình cờ là tôi vừa tìm thấy source đã thất lạc của một bài tập dịch ngược binary mà tôi viết năm 2010
    Khuyên bạn nên compile thử trước, đừng xem bên trong ngay
    Dùng branch “modern”, và làm theo hướng dẫn README cho patch bomb.c
    https://github.com/RPISEC/csci-4971-bomb

    • Đây là bài luyện thực sự tốt khi mới bắt đầu
      Cảm ơn vì đã thiết kế nó