По принципу взаимности, организаторы VolgaCTF уже было решили перенести квалы на 22 апреля — но, поскольку эта дата уже прошла, Qualifier пройдёт послезавтра.
Что же будет в этом году: хорошие таски или хорошие гифки?
13 мая, 18:00 — 14 мая, 18:00
q.2023.volgactf.ru
Congrats to RuCTF winners!
🥇 pwnthem0le
🥈 [LIFE] Sudo SU
🥉 Bushwhackers
Thanks to all teams who joined our event, to Hackerdom for the amazing services and special thanks to our organizing committee — they made the whole RuCTF possible.
Due to technical restrictions, we changed submission interface. Now it's even easier. Try it out: https://ructf.site/submit/
Читать полностью…
We're starting in 10 minutes.
If you didn't receive your VPN config or token, send your team name to @AAAAlexeev NOW!
UPD: THIS IS WRONG ARCHIVE. DOWNLOAD THE REAL ONE BELOW.
📂 Encrypted archive with services (1,85 MB — download in advance!). Password will be published at 16:00 UTC.
We received a lot of feedback and decided to move it once again — RuCTF will be held today.
Services will be published at 16:00 UTC, network will be open at 17:00.
Настало время действительно важных вопросов: то ли с сегодняшнего дня, то ли с 2025 года в образовательной сфере запрещено использовать иностранные слова. Приглашаем всё сообщество присоединиться к рабочей группе по переименовыванию соревнований формата CTF.
Первопроходцами в данной сфере стала команда «Хакердом» — на, к сожалению, отменённый из-за пандемии RuCTF 2020 соревнования сменили свой бренд на «Русскую ловлю флагов».
А как назовёте ваши соревнования вы? Пишите в комментарии.
Ровно столько команд проходит в финал Кубка CTF России
22 июля, по всей видимости, в параллельных вселенных, оргкомитет Кубка CTF России принял сразу два разных положения — видимо, чтобы всех запутать. По одному положению в финал проходит одна команда от вуза, а по другому — сколько угодно, при этом оба были опубликованы.
Разумеется, пункт был дискуссионным не зря — в топе оказались целых две команды ВШЭ.
Наши источники с площадки подтверждают, что в связи с этим недоразумением в финал прошло по меньшей мере пять команд. Однако, точное число все назвать затруднились — нам сообщали цифры от пяти до восьми.
Что ж, поскольку CTF News всё ещё содержит неточную информацию, мы познакомимся с финалистами только завтра...
UPD: по подтверждённой информации в финал вышло 5 команд.
Тем временем продолжает приближаться шестой Кубок CTF. Как стало известно нашей редакции, в этом году он полностью меняет свою концепцию и пройдёт в формате бюрократии.
В этом году от участников требуют не только студенческий билет, но и оригинал справки из образовательной организации. По словам организаторов турнира, данная мера позволяет избежать поддельных документов — якобы в этом году на Кубок зарегистрировалось много не-студентов. Однако, почему подделать книжечку с вклеенной фотографией и печатями за каждый год обучения сложнее, чем один лист A4, никто так и не объяснил.
В числе прочих документов участникам предлагается предоставить справку об эпидемиологическом окружении — видимо, данный документ, получаемый в любом лечебном учреждении за 2 минуты, как-то поможет защитить участников от коронавирусной инфекции; а также снять видеоролик про команду с короткими «селфи-видео» согласно техническому заданию.
Однако, сами организаторы данного мероприятия с бюрократией не справились. Уже шестой год подряд они не могут овладеть искусством ссылок. Даже после окончания отборочного этапа на сайте не появились «Правила проведения этапов» — текст попросту не нажимается. Да и в памятке для участников очень старались оставить много полезных ссылок, но их постигла та же участь.
Как и в прошлые года, формат шоу финала держится в секрете — однако, в положении подробно расписан некий формат «Battle», который «может использоваться Технической группой на финальных турах Соревнований».
И, наконец, главная проблема этого года — уже вторые организаторы не смогли объяснить, что же такое этот ваш атак-дефенс — согласно регламенту данного этапа, «Жюри оценивает Команды по количеству набранных очков за отправленные Флаги в Проверяющую Систему и суммарному времени их сдачи». Ну-ну. Кстати, организаторы Кубка решили вернуться в наш 2018 год и снова запретили оборудование уровня L2!
Что ж, пожелаем удачи всем командам-участницам в бюрократическом марафоне за звание победителя данного мероприятия.
Команда расследований Kappa CTF при помощи наших коллег из одной команды-участницы соревнования нашла, если не дудосеров, то явно нарушителей регламента данного соревнования.
Некая команда G0PPA C0D3S зарегистрировала 15 отдельных команд и сдавала всеми этими командами флаги по очереди. Судя по обязательности предоставления студенческих билетов и требованию к наличию хотя бы двух человек в команде, в данной схеме было задействовано не менее 30 студентов Санкт-Петербурга.
Организаторы предложили «соломоново решение» данной проблемы — исключить все флаги среди данной группы команд, кроме первого. В результате этого действия одна из команд группы даже смогла выйти в финал соревнований.
Что иронично, в положении о соревнованиях такой меры, как «исключение флагов», не предусмотрено.
#VolgaCTF2022 #scoreboard
Финальный скорборд соревнований 2022.
Поздравляем!
В этом году куратор соревнований, Павел Шиверов, выступает со стендапом для зрителей награждения
Читать полностью…
А сегодня наконец-то случился RuCTF, который не прошёл 12 апреля 2020, не прошёл осенью 2020, не прошёл в апреле 2021, не прошёл 18 июля 2021, и так и не прошёл в Екатеринбурге.
Уже есть first bloods по двум сервисам: https://monitor.ructfe.org/
Please note that only your vulnbox should be connected to the network using provided config.
If you connect from several devices at the same time, everything will break.
Password for the services is HspqwvP0a7xfhVUz
The network will be open in an hour — at 17:00 UTC.
Scoreboard is available now at https://live.ructf.org/
⚠️ We accidentally posted archive with exploits. There is a new one — with services.
Password will be published in 30 minutes.
❌ New cloud approach at RuCTF Finals
This year, we will not be providing cloud as usual. As well, teams will not receive OVA images.
We will provide teams with a single archive containing all services. All you need to start pwning is a Docker. No need to use virtual machines, run it in your own environment!
The game will start at 16:00 UTC
Hi, it's HackerDom.
Unfortunately, we have made a decision to move RuCTF Finals once again — this time, to September 14th. Registration and network plan will be available in early August.
Финал Кубка CTF (а точнее, первая его часть) прошла в формате копипаст-цтфа. У команд был атак-дефенс с одним сервисом на Solidity и тремя его частями.
Нюанс заключался в том, что репозитории команд с кодом сервисов и эксплойтами (а точнее, одним эксплойт-контрактом) были публичными — следовательно, любой фикс и любой эксплойт могли легко быть зареплаены другими командами.
Видимо, организаторы решили, что хитрые команды будут пушить патчи с бекдорами. Но, поскольку сами патчи не бинарные, изменения гораздо проще аудировать; да и любая команда, не пришедшая к такой идее, руинит всё веселье.
Команда FaKappa успешно проиграла путём форс-пуша распатченного сервиса прямиком в прод.
Поздравляем Ar и SPRUSH и желаем им удачи в суперфинале :)
Вот и настал первый день Кубка CTF
Пока на трансляции рассказывают про дудос-атаку в 7 миллионов запросов и обещают, что «третий кубок CTF будет по-настоящему зрелищным», мы покажем вам список сервисов этого года
Отдельно скажем пару слов о положении: по всей видимости, организаторы соревнования его не только не читали, но и не составляли — ведь оно слово в слово повторяет положение прошлого года за авторством Никиты Сычёва.
Например, организаторы уверяют, что в финале будет Jeopardy. Однако, в положении мы видим, что команды «получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов». Интересно, если жюрейку опять задудосят, снимут ли у участиков баллы за некорректную работу инфраструктуры? 🤔
Итак, свершилось!
В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare.
К сожалению, участникам пришлось лицезреть не только капчу, но и WAF на заданиях категории web. А пятисотки засияли новыми цветами!
Говорят, что жюрейку всё равно DDoS'ят. Интересно было бы узнать объем трафика :)
И, конечно, команде организаторов!
Увидимся на следующей Волге. Надеемся.
Команда SPbCTF реализует риск несанкционированного проникновения в скорборд соревнований и выходит на первое место The Standoff
Читать полностью…
Сегодня российские команды проводят два крупных мероприятия — YauzaCTF от SFT0 и HITB CTF EDU Pre Qualifications от Хакердома.
На YauzaCTF (надеемся, пока!) не смогли разослать письма командам и открыть таски: посылаем лучи добра организаторам и желаем поскорее всё начать.
HITB идёт полным ходом, но данные команд перед стартом смогли потерять: регистрироваться всем пришлось заново.
В программе заявки на техническую помощь от ровных пацанчиков
Напоминаем, что участникам необходимо написать однострочник на баше
