Home [心得] HITCON CMT 2023
Post
Cancel

[心得] HITCON CMT 2023

前言

這是我第一次參加HITCON,也感謝HITCON有”學生免費專案”,才讓我能參加這次活動。

議程

來說說議程的部分,我寫幾個印象深刻的。

新魔法時代 - CmdGPT (Birdman)

說到過去到現在AI,現在已經可以pre train一個Model然後再加上自己專業的領域,還能有自主學習的能力,以及他們開發的CmdGPT,用他們人工判斷的Model和他們的CmdGPT去train,判斷command是否惡意,解決過去用yara rule。

A 3-Year Tale … (Orange)

主要在說漏洞挖掘的過程,和心態(在對的路上堅持),也說到當他成功發現漏洞的時候,結果馬上就被修復掉了,結果發現是crash會自動發送report回去。

Endpoint Security … (Lays)

再說Endpoint(Apex one)的許多挖掘的漏洞,透過各種手法,像是在loadlib去換掉dll,Race Condition,Directory Junction,達到本地提權。

我覺得需要學習的地方是當他們修復後,要再去看diff,看他們怎麼去patch,和確定他們這麼做真的有去解決到根本的原因嗎,以及在GUI的有做到限制,但在後端IPC卻沒有,最後在user input的地方真的要好好思考安全性的問題。

活動

大地遊戲

有場地的各個角落貼上題目,再根據手機的指引解題,最後解完就能拿到小禮物。

有一題還貼在樓梯旁,讓我找超久XD。

Re:CTF

這次有Re:CTF的活動,是復刻以前經典CTF題目,在day2還有交流的活動可以上台分享解題過程,而且(//●⁰౪⁰●)//我也有分享歐,還有送小獎品 (分享的PPT) (其他題目的Writeup)。

攤位

有企業和社群的部分,在社群部分有很多攤位和社團,有一些靶機和小遊戲可以玩,還有許多小貼紙等,感覺是可以跟很多人交流的地方,但是我沒辦法QQ(〃゚д゚〃)。

End

第一次參加HITCON,我覺得非常酷,除了能讓你了解現在最新的技術,以及專家的經驗等,也能和其他人交流,非常推薦其他有興趣或是想加入這個領域的人,可以先來參加看看或是認識交友之類的(雖然我是社恐XD)。

This post is licensed under CC BY 4.0 by the author.
Contents

[Security] Cross-site Scripting (DOM Clobbering)

[CTF] HackerSir 靶機 in HITCON 2023

Comments powered by Disqus.