Nedir bu CTF ? Nasıl hazırlanmalı ?

Son zamanlarda sıkça adını duyduğumuz CTF ve ya bir başka deyişle Bayrak Kapma Yarışması aslında siber güvenlik camiasında aktif olarak bilgisini güncel tutmak isteyenler için bulunmaz nimet desem çok da yanlış olmaz sanırım.Tarihi çok eskiye dayanan bu tür oyunları bir çok farklı türde görebiliriz.


Mantık olarak bir yarışma olduğu için tabiki ödül sistemi de bulunuyor.

” Peki bu CTF dediğimiz şey nerede yapılıyor ? “ şeklinde sorularınızı duyar gibiyim.

Yarışmalar fiziksel veya genellikle olduğu gibi sanal ortamdan yapılıyor.Her kategori için belli süreler belirlenip sonraki aşamalara süre dolunca geçiliyor.Deadline zamanı gelince herkes topladığı flag’ler kadar puan alınıp değerlendiriliyor ve tabiki ödüllendiriliyor.

Sanal ortamda yapılan CTF lerden haberdar olmak için tek yapmanız gereken birazcık sosyal medyayı kullanmak.Twitter üzeinde ve diğer paylaşım platformlarında SiberTakvim i takip ettiğiniz takdirde ülke içindeki birçok etkinlik ve yarışmalardan haberdar olabilisiniz.

Fiziksel CTF lerçok nadir de olsa yapılıyor fakat mekanın ve gerekli rolleri oynayacak oyuncuların ayarlanması daha zahmetli olduğundan pek göremiyoruz.


Sanal CTF için duyuruları önceden haber aldık ve kayıt için verilen linke tıkladık.Gerekli kayıt işlemlerinden sonra yarışma günü bizim sisteme erişimimiz için gerekli olan kullanıcı adı ve şifremizi alarak ilk adımı atmış oluyoruz.

Yarışmaya katılırken yapmanızda fayda gördüğüm bir ayrıntı, takım halinde ve görev dağılımı yaparak hazırlıklı gelmek olacaktır.Çünkü yarışma esnasında soruyu ilk çözen her zaman önde olacağı için süre faktörü çok önemlidir.


İnternette paylaşılan bazı CTF sistem şablonları sayesinde siz de kendi yarışmanızı düzenleyebilir ve yönetebilirsiniz.


Yarışma günü geldiğinde ilgili domain e gittiğimizde  Login ekranı çıkar ve giriş yaparız.Artık bizim için zorlu ama bir o kadar da keyifli bir süreç başlamıştır.

Karşımıza çıkan sorular hemen hemen klasik Beginner seviyesinde sorulardır ilk başlarda.Zaman daraldıkça soru zorlukları ve puan değerleri artmaya başlar.

Sorular belli başlı kategorilerden gelir ve bu her kategori için belli bir bilgi birikimi yanında klavye tecrübesine de sahip olmamız gerekiyor.Bundan dolayı görev paylaşımı yapmak en rahat yöntem olarak tercih edilebilir.

Sorular genellikle şu kategorilerde olur:

  • WEB
  • Mobile
  • Crypto (Şifreleme)
  • Forensics (Adli Bilişim )
  • Network
  • Exploiting
  • Reversing
  • Steganography ( Bilgi gizleme )
  • Binary analysis
  • Mobile

Bu kategorilerin yanısıra makinaya sızma senaryoları ile Priv.Esc yani yetki yükseltme ve bayrağı ele geçirme olarak farklı türde sorular da yapılabilmektedir.

Bulduğumuz flag leri web tarafında ilgili sorunun cevabının yazılması gereken yere yazarak puanları bire ikişer toplar yarışmacılar.Süre sonunda sistem kapanır ve erişim kesilir.Artık değerlendirme süreci başlamıştır.

Tüm bu yarışma esnasında bir yönetim grubu tarafında her oyuncunun bağlantısı SIEM tarzı sistemlerle kayıt altına alınır ve kuralların dışında bir hareket gözlendiğinde ise diskalifiye edilmesi için oyuncu logları raporlanır.

Yarışma kuralları hazırlayan kişiye/gruba/şirkete göre değişkenlik gösterebilir.

Ödül kısmında ise kimi zaman staj imkanı kimi zaman kariyer imkanı ya da genelde olduğu üzere para ödülü ile gerçekleşir.


CtfTime ve yukarda da bahsettiğim benzer yerleri takip ederseniz geçmişte yapılan yarışmalar ve bunlara ait çözüm makaleleri bulabilirsiniz.

” Nasıl hazırlanmalı ? “konusunda da yine araştırma ve bolca deneme yapmak, bunun yanında ilgi alanına göre ctf write-up larını okumak sizi geliştirecek ve artık nasıl soru çıkabileceğini kestirebilecek düzeye geleceksiniz.


CTF hakkında tecrübe ettiklerimden ve bilgilerimden yola çıkarak sizlere bir kaç şey anlatmaya çalıştım.Sıkılmadan okuyup beğenmeniz ümidiyle … Teşekkürler

Kaynak 1 Kaynak 2

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir