В русскоязычном сегменте Твиттера (заблокирован на территории РФ) самой популярной темой последних дней являются ботофермы. Что ж, нам тоже есть что сказать на эту тему — поделимся с вами итогами финала соревнований «Студент CTF 2023», который завершился буквально час назад.
Как и в прошлом году, финал в полном соответствии с положением прошёл в формате Jeopardy (нет), а именно:
В рамках финального этапа команды получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов.
Организаторы решили не повторять ошибки отбора и, судя по всему, просто удалили все категории, с которыми могли произойти хоть какие-то проблемы.
В 12:00 участники открыли борду и увидели такие категории, как:
– OSINT
– misk
– УЦУЦУГА
Позже к этим трём, несомненно, важным для любого специалиста в сфере защиты информации, категориям добавились misk-brainstorm (авторская орфография сохранена), два задания в категории crypto и задание «халява приди» категории stego.
Справедливости ради, реюзов тасков в этот раз наша редакция не обнаружила.
Погрузимся глубже в некоторые категории. В категории «misk» было представлено сложнейшее сочетание техник стеганографии, криптографии и ревёрс-инжиниринга: исполняемый файл с флагом в строках был зашифрован надёжным шифром «однобайтовый xor с ключом 0xff», после чего полученные байты были добавлены к изображению. Для закрепления успеха данный тип задания был представлен в шести различных вариациях.
Выводы делайте сами. А мы ждём ещё больше реакций, чем под постами с отбора.
Стоит ли показывать комментарии самих организаторов Codeby Games к другим мероприятиям :)
Читать полностью…
Комментарий организаторов RuCTF
У нас, конечно, были проблемы, и мы будем над ними работать)
Но я напомню, что у нас нет ни партнёров, ни бюджетов, мы делаем соревнование на чистом энтузиазме, и делаем как можем, релизим что получается
В РФ вообще мало кто делает крупные AD, на которые приходят международные команды, сейчас уже почти никто. Но мы пока остались, и мы стараемся
Тем временем начался отбоочный этап «Кубка CTF России».
Нам остаётся только догадываться, что происходит: на скорборде показываются некие «text'ы» в триальной версии, судя по всему, игры по киберзахвату Лахта-Центров 2.
Связано ли это с тем, что партнёр кубка — Газпром?
ОПРОВЕРЖЕНИЕ
В редакцию обратился человек, которому поступила жалоба лиц, представившихся организаторами Студент CTF. Мы внимательно изучили жалобу и обнаружили некорректные сообщения в нашем канале.
Редакция канала «Kappa CTF» опровергает недостоверные сведения о соревнованиях «Студент CTF»:
1. В заметке /channel/kappactf/1259 утверждалось, что организаторы предоставили 2 задания категории pwn. На самом деле заданий было не меньше шести, однако все задания содержали исходный код с флагом.
2. В заметке /channel/kappactf/1263 утверждалось, что система регистрации находилась в Telegram. Однако выяснилось, что регистрация была через онлайн-форму, а организаторы просто зачем-то попросили всех участников написать ФИО и название команды в комментариях.
Приносим извинения нашим читателям и организаторам соревнований.
Тем временем организаторы сначала выключили реакции в канале, а после того, как клоунов стали ставить в комментариях, выключили и их.
Наша редакция успела запечатлеть скриншот системы регистрации на Студент CTF — она находилась именно в этих комментариях.
UPD: Это не система регистрации: организаторы сказали, что всем командам необходимо указать эти данные в комментариях. Подробнее
Многие задания были в формате white-box, что позволило командам наглядно изучить принципы работы алгоритма. Как пример — сложное задание из категории crypto на знание алгоритма RSA.
К сожалению, сервера, на котором можно было протестировать свой эксплойт, предоставлено не было.
Что ж, организаторы объявили об окончании соревнования всего лишь через 5 минут после закрытия борды — и обещают разборы тасков после финала.
Наша редакция опережает время, поэтому прямо сейчас — разбор категории PWN со Студент CTF 2023.
Итак, первый CTF в мире со встроенной anti-DDoS-защитой
Читать полностью…
Итак, Студент CFT (если судить по описанию трансляции) начался.
Соревнование проходит в формате «jeopardy stream»: жюри ровно в 12:00 пожелало удачи в стриме на RuTube и запустило прямую трансляцию CTFd.
По правилам Студент CTF, которые есть в распоряжении редакции, все команды «обязаны зарегистрироваться» до 12:10, иначе их участие будет аннулировано.
Однако, ссылки на борду нигде нет. Неужели организаторы решили дисквалифицировать всех и сэкономить на проведении финала?
В этом году соревнования KubanCTF претерпели большие изменения — изменился город проведения с Краснодара на Сочи, и даже команда разработки.
Для проведения отбора в этом году была выбрана самая надёжная жюрейка (после хакердомовской, конечно) — CTFd. И, разумеется, как всегда, настроить её у организаторов не получилось.
Дошло до того, что в середине соревнований организаторы решили передеплоить борду. Заодно, по всей видимости, был проведён полный ребрендинг соревнований.
Редакция попробовала ознакомиться с заданиями, но сайт оказался недоступен.
Организаторы сообщают нашей редакции, что им удалось получить HTTPS-сертификат. Поздравим их с этим!
Читать полностью…
Также некоторые команды перенимают лучшие практики OpenToAll
Читать полностью…
За минуту до окончания накал страстей разгорелся и в основном чате соревнований
Читать полностью…
Эти два задания удалили, поэтому мы выкладываем райтап и на задание со скриншота: Audio Problems
Читать полностью…
Новый формат шоу в CTF придумали в Саудовской Аравии на Black Hat MEA — за деструктивные атаки на инфраструктуру организаторы включают воду с потолка на 8 раундов
Читать полностью…
Тем временем цтф-коммьюнити посетила полиция неконструктивных отзывов — в @codeby_games_chat всерьёз предлагают заблокировать команду FaKappa за «неконструктивные отзывы», а конструктивные — проверить.
Вместе с тем, когда один из авторов отзывов пришёл написать конструктивный фидбек (как мы все знаем, в комментарий на цтфтайме влезает всего-то сотня-другая символов), разумеется, его заблокировали.
Мы уже думали, что всё, но оказалось не всё.
Райтап на задание, практически построчно совпадающее с одним из сегодняшних криптотасков, написан командой b1os из Индии — и почему-то он загружен на GitHub два года назад. Даже не знаем, как так вышло:
https://github.com/teambi0s/InCTFi/tree/master/2021/Crypto/Lost%20Baggage
Там же, в директории Right Now Generator, участникам сегодняшнего соревнования встретится ещё один знакомый сниппет кода.
610 ботов, поставившие 💩, вы этим что хотели сказать? Просто интересно
Читать полностью…
Если в команде нет эксперта по white-box, не беда — всегда можно попрактиковаться в изучении однонаправленных хеш-функций.
Выбор широк — задание на взлом хеша (на скриншоте), на перебор пароля от RAR-архива или на расшифровку AES без ключа.
На скриншоте вы видите все задания категории pwn.
Ключевой идеей решения заданий данной категории является вставка фигурной скобки в конец флага. Дойдя до этой идеи, десятки команд без труда смогли сдать данные таски.
UPD: Заданий было более двух, однако идея решения всех была похожей. Подробнее
Длительность данного соревнования определяется организаторами в динамическом режиме: несмотря на открытие борды в 12:11, соревнование не завершилось ни в 21:00, ни в 21:11
Первая попытка завершить Студент CTF случилась ещё два часа назад — около 19:00. Выяснилось, что не все команды успели закетчить зе-флаги (о флагах, кстати, чуть позже), поэтому под натиском комментариев борду открыли.
В этот раз, видимо, борду закрыли уже окончательно.
А как вы думаете, как лучше завершать соревнования: путём голосования участников или в любую минуту с вероятностью 0,5%?
Что ж, 12:10 — по всей видимости, регистрация завершена.
Желаем удачи всем нулю командам!
Импортоопережение добралось и до Санкт-Петербурга — в этот раз переходящее знамя организаторов CTF от Комитета по науке и высшей школе снова перешло к новым лицам.
В этом году организаторы решили не только переименовать соревнование в «Студент CTF» (до 2022 года оно называлось Student CTF), но и переосмыслить само понятие CTF.
Что из этого получилось — смотрите (а точнее, слушайте) в видеоролике.
Источник: видео «CTF 2023 promo», пользователь channel32432104, rutube
Тем временем на дворе середина сентября — а это значит, что почти 25 команд собрались в Ека Самаре, чтобы поучаствовать в финале VolgaCTF 2023.
В этом году наши корреспонденты, к сожалению, не будут радовать вас самыми оперативными новостями из центра событий — но вы можете всё увидеть своими глазами в онлайн-трансляции на сайте Волги.
Регистрация на один из крупнейших турниров страны, как всегда, полна сюрпризов и неожиданностей.
Кстати, организаторы вернулись к истокам — прямиком в Сколково. Вернётся ли вместе с площадкой атмосфера легендарности, известный сколковский интернет, отсутствие устройств «мощностью L2» и всё то, за что наша редакция так любила первые кубки?
Тем временем начался ENOWARS 7 с рейтингом целых 100 на CTFTime.
Формат шоу заключается в том, что организаторы решили без предупреждения поменять ключ, которым подписывались флаги — причём не предупредили не только участников, но и жюрейку. Поэтому 100% баллов зависят от SLA. Где-то мы это уже видели...
Изображение: пользователь a_misc, Discord.
Дух altstu_ctf_teams-oatctf2018">легендарного OAT CTF возвращается — но уже не в Омске, а в самом центре Москвы.
Сегодня проходит Lyceum CTF от Лицея ВШЭ. Говорят, в нём участвуют школьники со всей России и борятся за нешуточные призы — в скорборде была обнаружена даже команда из Владивостока.
Корреспонденты Kappa CTF зашли на борду поузнавать, насколько успешно проходит данное соревнование, и неожиданно обнаружили довольно знакомые задания. Настолько знакомые, что их составляли участники команды Kappa для сезона Kids 2.0 @SPbCTF.
В этот раз организаторы даже не потрудились поднять копию таска — а просто дали ссылку на уже поднятое задание, которому исполняется 4 года. Среди реюзов не только сезон Kids 2.0, но и другие соревнования — например, Ice CTF.
Специально для тех, кто пропустил сезон Kids 2.0 и его видеоразборы — прямая ссылка с таймкодом: Injection, Голосование.
