BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH CƠNG TRÌNH NGHIÊN CỨU KHOA HỌC CỦA SINH VIÊN XÂY DỰNG NỀN TẢNG CAPTURE THE FLAG VÀ HỆ THỐNG CÁC KỊCH BẢN TẬP LUYỆN, THI ĐẤU VỀ KIẾN THỨC AN TỒN THƠNG TIN CHO SINH VIÊN MÃ SỐ: SV2022-35 CHỦ NHIỆM ĐỀ TÀI: LÃ MINH PHÚC SKC008136 Tp Hồ Chí Minh, tháng 11/2022 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐH SƯ PHẠM KỸ THUẬT TPHCM BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU KHOA HỌC CỦA SINH VIÊN XÂY DỰNG NỀN TẢNG CAPTURE THE FLAG VÀ HỆ THỐNG CÁC KỊCH BẢN TẬP LUYỆN, THI ĐẤU VỀ KIẾN THỨC AN TỒN THƠNG TIN CHO SINH VIÊN Mã số: SV2022-35 Thuộc nhóm ngành khoa học: SV thực hiện: Lã Minh Phúc Nam, nữ: Nam Dân tộc: Kinh Lớp, Khoa: 201331C, Công nghệ thông tin Năm thứ: 2/4 Ngành học: Kỹ thuật liệu Người hướng dẫn: ThS Nguyễn Thị Thanh Vân TP Hồ Chí Minh, tháng 11 năm 2022 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐH SƯ PHẠM KỸ THUẬT TPHCM THÔNG TIN KẾT QUẢ NGHIÊN CỨU CỦA ĐỀ TÀI - Thông tin chung: Tên đề tài: Xây dựng tảng Capture The Flag hệ thống kịch tập luyện, thi đấu kiến thức an tồn thơng tin cho sinh viên - - Chủ nhiệm đề tài: Lã Minh Phúc Mã số SV: 20133079 - Lớp: 201331C Khoa: Công nghệ thông tin Thành viên đề tài: STT - Họ tên MSSV Lớp Khoa Lã Minh Phúc 20133079 201331C Công nghệ thông tin Huỳnh Anh Thế Vinh 17110255 Đã tốt nghiệp Công nghệ thông tin Trần Minh Hiếu 17110135 Đã tốt nghiệp Công nghệ thông tin Lưu Văn Cụi 18110258 181101A Công nghệ thông tin Trần Quốc Tuấn 19133064 191330C Công nghệ thông tin Người hướng dẫn: ThS Nguyễn Thị Thanh Vân Ngày 13 tháng 11 năm 2022 SV chịu trách nhiệm thực đề tài (kí, họ tên) Nhận xét người hướng dẫn đóng góp khoa học SV thực đề tài: Ngày tháng 11 năm 2022 Người hướng dẫn (kí, họ tên) MỤC LỤC PHẦN MỞ ĐẦU Tổng quan tình hình nghiên cứu thuộc lĩnh vực đề tài: 2 Lý chọn đề tài Mục tiêu đề tài Phương pháp nghiên cứu, đối tượng phạm vi nghiên cứu PHẦN NỘI DUNG CHƯƠNG I NỀN TẢNG CAPTURE THE FLAG 1.1 Giới thiệu thi CTF 1.2.Cách hoạt động thi CTF 1.3.Các hình thức thi CTF 1.4.Lợi ích thi CTF mang lại 1.5.Kiến trúc hệ thống CTF 1.6 Sơ đồ hệ thống CTF thực tế CHƯƠNG II CÁC VẤN ĐỀ VỀ AN TỒN THƠNG TIN 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống 2.2 Các dạng lỗ hổng HĐH phần mềm ứng dụng 10 CHƯƠNG III XÂY DỰNG HỆ THỐNG CTF 14 3.1 Tổng quan 14 3.2 Yêu cầu hệ thống CTF 14 3.3 Thiết lập môi trường CTF 14 3.4 Xậy dựng cấu hình hệ thống CTF 16 3.5 Thiết kế hệ thống CTF 17 3.6 Mô tả chức CTF 22 CHƯƠNG IV: XÂY DỰNG CÁC KỊCH BẢN VỀ AN TỒN THƠNG TIN 31 4.1 Các loại chủ đề 31 4.2 Các thức xây dựng hệ thống kịch 31 4.3 Cách đưa kịch lên hệ thống CTF 43 CHƯƠNG V TRIỂN KHAI HỆ THỐNG VÀ ĐÁNH GIÁ 49 5.1 Sơ đồ triển khai hệ thống CTF 49 5.2 Triển khai hệ thống 49 5.3 Kết đánh giá hệ thống 61 5.4 Các kết trội 63 PHẦN KẾT LUẬN 64 TÀI LIỆU THAM KHẢO 65 PHỤ LỤC 66 DANH MỤC HÌNH ẢNH Hình Kiến trúc hệ thống CTF Hình Kiến trúc hệ thống mạng Hình Setup thi CTF Hình Usercase Admin Hình Usercase User Hình Trang chủ hệ thống Hình Trang thống kê kết quản trị viên Hình Các đồ thị thống kê kết đội dự thi Hình Trang tạo thơng báo quản trị viên Hình 10 Trang thêm giao diện trị viên Hình 11 Trang nhập thông tin giao diện Hình 12 Trang quản lý người dùng quản trị viên Hình 13 Trang theo dõi điểm số quản trị viên Hình 14 Trang thêm challenges vào hệ thống CTF Hình 15 Trang theo dõi đội thi nộp cờ Hình 16 Trang quản lý cấu hình quản trị viên Hình 17 Chương trình kịch rị rỉ thông tin Hình 18 Chương trình kịch rị rỉ thơng tin Hình 19 Kết giải challenge Hình 20 Chương trình kịch Insecure deserialization Hình 21 Kết kịch Insecure deserialization Hình 22 Kết kịch Forensics Hình 23 Kêt kịch Networking Hình 24 Kịch Crypto Hình 25 Kết vè kịch XOR Hình 26 Trang tạo challenge hệ thống CTF Hình 27 Sơ đồ triển khai hệ thống Hình 28 Kết kịch web Hình 29 Cấu hình kịch web Hình 30 Cấu hình kịch web với Docker Hình 31 Nội dung file build-docker.sh Hình 32 Kết file script build-docker Hình 33 Kết xây dựng web Hình 34 Cấu hình kịch web Hình 35 Nội dung file Dockerfile Hình 36 Nội dung file build-docker.sh Hình 37 Chạy script build-docker Hình 38 Hình ảnh web sau deploy Hình 39 Kịch programming Hình 40 Kết client truy cập đến kịch programming Hình 41 Danh sách đội thi Hình 42 Ảnh chụp đội thi Hình 43 Đội ghi điểm Hình 44 Bảng điểm sau làm 16 18 19 23 23 24 25 25 26 27 28 28 29 30 34 34 35 37 38 40 41 42 43 44 49 50 50 50 50 51 51 51 52 52 52 52 53 53 55 57 57 59 Hình 45 Ảnh đội giải nhiều challenges 59 Hình 46 Đội khơng tham gia thi 59 Hình 47 Kết đội ghi điểm sớm 60 Hình 48 Đội giành giải 60 Hình 49 Đội giành giải nhì 61 Hình 50 Đội giành giải ba 61 Hình 51 Các thơng số kỹ thuật server đội thi 62 PHẦN MỞ ĐẦU Tổng quan tình hình nghiên cứu thuộc lĩnh vực đề tài: Nhiều tảng CTF (Capture The Flag) phát triển năm gần Có nhiều chương trình để học tập an tồn thơng tin nhiều thi tổ chức có giải thưởng lớn như: CTFTime tổ chức độc lập, ví “sàn” tập hợp tất thi CTF giới Điểm đánh giá, xếp hạng cho đội thi trang CTFTime.org tổng hợp từ điểm mà đội thi đạt thi thực hành kiến thức an ninh mạng – CTF có đăng ký website Bảng xếp hạng CTFTime nhiều chuyên gia bảo mật tham gia, thừa nhận - Google CTF 2022 thi CTF tổ chức theo hình thức Jeopardy - Online có thử thách từ hạng mục như: Web, Pwn, Crypto, Sandbox, Reversing, Hardware, Misc Đây thi Trường Đại học Công nghệ Thông tin - ĐHQG TP.HCM tổ chức Các tảng CTF nhiều trường đại học Việt Nam quan tâm xây dựng để huấn luyện kỹ an tồn thơng tin sinh viên thời gian gần Nhiều thi an tồn thơng tin sử dụng CTF tổ chức số trường đại học, đặc biệt thi “Sinh viên với An tồn thơng tin ASEAN” tổ chức năm Hiệp hội An tồn thơng tin Việt Nam – VNISA (Viet Nam Information Security Association) bảo trợ Bộ Giáo dục Đào tạo - Bộ Thông tin Truyền thơng nhằm mục đích tìm kiếm tài an tồn thơng tin Cuộc thi năm 2007 đến năm 2019 thi mở rộng khu vực ASEAN Tham gia thi Sinh viên với An tồn thơng tin ASEAN ln có góp mặt sinh viên trường có chuyên môn sâu đào tạo kỹ an tồn thơng tin liên quan đến thử thách thi như: Đại học Công nghệ Thông tin, ĐHQG - TP.HCM, Đại học Duy Tân, Phân hiệu Học viện Kỹ thuật mật mã TP.HCM, Đại học Bách Khoa - ĐHQG TP.HCM, trường Đại học Sư phạm kỹ thuật TP.HCM tham gia từ năm 2016 Lý chọn đề tài Đi với phát triển Internet tội phạm mạng có nhiều hình thức cơng, khai thác liệu bảo mật tinh vi nguy hiểm hơn, thực đảm bảo an tồn thơng tin vấn đề cấp bách phải giải sớm Do cần phổ biến, tuyên truyền cho sinh viên ý thức kiến thức lĩnh vực an tồn thơng tin Để làm điều việc xây dựng môi trường tốt cho sinh viên học tập phát triển kỹ an tồn thơng tin điều cần thiết Cơng việc đề tài xây dựng tảng Capture the Flag hệ thống kịch tập luyện, thi đấu kiến thức an tồn thơng tin để giúp ích cho việc nâng cao ý thức kỹ an tồn thơng tin cách có hiệu quả, đồng thời tìm tài an tồn thông tin Mục tiêu đề tài Tạo tảng CTF hệ thống kịch thi đấu kiến thức an tồn thơng tin để tăng cường khả giao lưu, tập luyện, nâng cao kiến thức an tồn thơng tin cho sinh viên Tun truyền, phổ biến, nâng cao nhận thức kiến thức an tồn thơng tin cho sinh viên thơng qua tổ chức thi CTF với thách thức kiến thức An tồn thơng tin Phương pháp nghiên cứu, đối tượng phạm vi nghiên cứu Nghiên cứu các hệ thống CTF có Nghiên cứu kỹ thuật, xây dựng phần mềm CTF Nghiên cứu, tìm hiểu, khai thác lỗ hổng web, hệ thống mạng, ứng dụng Nghiên cứu, xây dựng kịch an tồn thơng tin Đối tượng nghiên cứu: Các hệ thống CTF thách thức kiến thức An tồn thơng tin Phạm vi nghiên cứu: Hệ thống CTF cho sinh viên toàn trường tham gia giải challenges liên qua đến an tồn thơng tin PHẦN NỘI DUNG CHƯƠNG I NỀN TẢNG CAPTURE THE FLAG 1.1 Giới thiệu thi CTF CTF (Capture the Flag) thi kiến thức chuyên sâu bảo mật máy tính, tổ chức theo mơ hình trị chơi chiến tranh mạng, tập trung vào hai kỹ cơng phịng thủ mạng máy tính người chơi Trong flag (cờ) ẩn cách bí mật chương trình trang web có chứa lỗ hổng bảo mật dễ bị công Các đấu thủ cướp cờ từ đối thủ khác từ ban tổ chức Một số biến thể tồn tại, bao gồm ẩn cờ thiết bị phần cứng Các thi tồn trực tuyến trực tiếp, cấp độ nâng cao cấp độ đầu vào CTF ngày phổ biến thu hút số lượng tài trẻ cao năm Nó giúp phát triển kỹ thiết yếu cần thiết để theo đuổi đường nghiệp lĩnh vực an ninh mạng 1.2 Cách hoạt động thi CTF Trong thi CTF, đội tham gia CTF cấp máy chủ (hoặc mạng máy chủ) cài đặt sẵn nhiều chương trình chứa lỗ hổng bảo mật Nhiệm vụ đội chơi tìm lỗ hổng đó, cơng máy chủ đội khác để ghi điểm, đồng thời phải nhanh chóng vá lỗ hổng máy chủ đội nhà, để tránh bị công đội khác Cuộc thi CTF lần tổ chức hội thảo bảo mật tiếng DefCon (Mỹ) lần thứ năm 1997 Ngày hàng năm có nhiều thi CTF tổ chức toàn giới theo quy mô khác Đơn vị tổ chức thường tổ chức, trường đại học- học viện, viện nghiên cứu…và nhiều thi CTF tổ chức bên lề hội thảo Security Hacking Chúng ta điểm qua số thi CTF như: DEF CON CTF Qualifier, DEF CON CTF, Codegate YUT Preliminary, UCSB iCTF, RuCTFe, WhiteHat Grand Prix… Các thi tổ chức hình thức online (chơi qua internet) offline (chơi trực tiếp) Một số thi có uy tín thường tổ chức vịng thi khác nhau: Vòng thi online để lựa chọn đội mạnh tham gia vòng chung kết (thi offline) Thành phần tham gia thi CTF đa dạng từ cá nhân đến tập thể, hacker, chuyên gia bảo mật, nhóm nghiên cứu an tồn thơng tin, học sinh sinh viên …Các giải thưởng từ thi CTF không lớn mặt vật chất “thước đo” quan trọng, đánh giá cao Tại Việt Nam có đội CTF tham gia thi quốc tế từ nhiều năm trở lại đây, nhiên phong trào