Просмотр списка запрещенных символов заставил выпить участника три шота
Кстати, это k, ;, s, $, b, &, d, пробел и t
Кстати, это k, ;, s, $, b, &, d, пробел и t
Нет слов. 7:0
Организаторы объявили перерыв, а мы объявляем окончание стрима на сегодня.
Организаторы объявили перерыв, а мы объявляем окончание стрима на сегодня.
Kappa CTF
И гран-при уходит той команде, которая заслужила больше всего симпатий участников — команде волонтёров ❤
И, конечно, команде организаторов!
Увидимся на следующей Волге. Надеемся.
Увидимся на следующей Волге. Надеемся.
❤9🤡1
Итак, свершилось!
В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare.
К сожалению, участникам пришлось лицезреть не только капчу, но и WAF на заданиях категории web. А пятисотки засияли новыми цветами!
Говорят, что жюрейку всё равно DDoS'ят. Интересно было бы узнать объем трафика :)
В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare.
К сожалению, участникам пришлось лицезреть не только капчу, но и WAF на заданиях категории web. А пятисотки засияли новыми цветами!
Говорят, что жюрейку всё равно DDoS'ят. Интересно было бы узнать объем трафика :)
😁3👍1
Опрос для организаторов CTF: вас хотя бы раз по-настоящему DDoS'или?
Anonymous Poll
9%
Да
41%
Только Александр Худорожко, которого мы забанили по IP
12%
Нет
39%
Не организатор
🔥6
Kappa CTF
Итак, свершилось! В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare. К сожалению, участникам пришлось лицезреть не только капчу, но и WAF…
Команда расследований Kappa CTF при помощи наших коллег из одной команды-участницы соревнования нашла, если не дудосеров, то явно нарушителей регламента данного соревнования.
Некая команда G0PPA C0D3S зарегистрировала 15 отдельных команд и сдавала всеми этими командами флаги по очереди. Судя по обязательности предоставления студенческих билетов и требованию к наличию хотя бы двух человек в команде, в данной схеме было задействовано не менее 30 студентов Санкт-Петербурга.
Организаторы предложили «соломоново решение» данной проблемы — исключить все флаги среди данной группы команд, кроме первого. В результате этого действия одна из команд группы даже смогла выйти в финал соревнований.
Что иронично, в положении о соревнованиях такой меры, как «исключение флагов», не предусмотрено.
Некая команда G0PPA C0D3S зарегистрировала 15 отдельных команд и сдавала всеми этими командами флаги по очереди. Судя по обязательности предоставления студенческих билетов и требованию к наличию хотя бы двух человек в команде, в данной схеме было задействовано не менее 30 студентов Санкт-Петербурга.
Организаторы предложили «соломоново решение» данной проблемы — исключить все флаги среди данной группы команд, кроме первого. В результате этого действия одна из команд группы даже смогла выйти в финал соревнований.
Что иронично, в положении о соревнованиях такой меры, как «исключение флагов», не предусмотрено.
🔥7🤡5
Отдельно скажем пару слов о положении: по всей видимости, организаторы соревнования его не только не читали, но и не составляли — ведь оно слово в слово повторяет положение прошлого года за авторством Никиты Сычёва.
Например, организаторы уверяют, что в финале будет Jeopardy. Однако, в положении мы видим, что команды «получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов». Интересно, если жюрейку опять задудосят, снимут ли у участиков баллы за некорректную работу инфраструктуры? 🤔
Например, организаторы уверяют, что в финале будет Jeopardy. Однако, в положении мы видим, что команды «получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов». Интересно, если жюрейку опять задудосят, снимут ли у участиков баллы за некорректную работу инфраструктуры? 🤔
🤡13👍6🔥4
Тем временем продолжает приближаться шестой Кубок CTF. Как стало известно нашей редакции, в этом году он полностью меняет свою концепцию и пройдёт в формате бюрократии.
В этом году от участников требуют не только студенческий билет, но и оригинал справки из образовательной организации. По словам организаторов турнира, данная мера позволяет избежать поддельных документов — якобы в этом году на Кубок зарегистрировалось много не-студентов. Однако, почему подделать книжечку с вклеенной фотографией и печатями за каждый год обучения сложнее, чем один лист A4, никто так и не объяснил.
В числе прочих документов участникам предлагается предоставить справку об эпидемиологическом окружении — видимо, данный документ, получаемый в любом лечебном учреждении за 2 минуты, как-то поможет защитить участников от коронавирусной инфекции; а также снять видеоролик про команду с короткими «селфи-видео» согласно техническому заданию.
Однако, сами организаторы данного мероприятия с бюрократией не справились. Уже шестой год подряд они не могут овладеть искусством ссылок. Даже после окончания отборочного этапа на сайте не появились «Правила проведения этапов» — текст попросту не нажимается. Да и в памятке для участников очень старались оставить много полезных ссылок, но их постигла та же участь.
Как и в прошлые года, форматшоу финала держится в секрете — однако, в положении подробно расписан некий формат «Battle», который «может использоваться Технической группой на финальных турах Соревнований».
И, наконец, главная проблема этого года — уже вторые организаторы не смогли объяснить, что же такое этот ваш атак-дефенс — согласно регламенту данного этапа, «Жюри оценивает Команды по количеству набранных очков за отправленные Флаги в Проверяющую Систему и суммарному времени их сдачи». Ну-ну. Кстати, организаторы Кубка решили вернуться в наш 2018 год и снова запретили оборудование уровня L2!
Что ж, пожелаем удачи всем командам-участницам в бюрократическом марафоне за звание победителя данного мероприятия.
В этом году от участников требуют не только студенческий билет, но и оригинал справки из образовательной организации. По словам организаторов турнира, данная мера позволяет избежать поддельных документов — якобы в этом году на Кубок зарегистрировалось много не-студентов. Однако, почему подделать книжечку с вклеенной фотографией и печатями за каждый год обучения сложнее, чем один лист A4, никто так и не объяснил.
В числе прочих документов участникам предлагается предоставить справку об эпидемиологическом окружении — видимо, данный документ, получаемый в любом лечебном учреждении за 2 минуты, как-то поможет защитить участников от коронавирусной инфекции; а также снять видеоролик про команду с короткими «селфи-видео» согласно техническому заданию.
Однако, сами организаторы данного мероприятия с бюрократией не справились. Уже шестой год подряд они не могут овладеть искусством ссылок. Даже после окончания отборочного этапа на сайте не появились «Правила проведения этапов» — текст попросту не нажимается. Да и в памятке для участников очень старались оставить много полезных ссылок, но их постигла та же участь.
Как и в прошлые года, формат
И, наконец, главная проблема этого года — уже вторые организаторы не смогли объяснить, что же такое этот ваш атак-дефенс — согласно регламенту данного этапа, «Жюри оценивает Команды по количеству набранных очков за отправленные Флаги в Проверяющую Систему и суммарному времени их сдачи». Ну-ну. Кстати, организаторы Кубка решили вернуться в наш 2018 год и снова запретили оборудование уровня L2!
Что ж, пожелаем удачи всем командам-участницам в бюрократическом марафоне за звание победителя данного мероприятия.
🤡22👎2😱2🤔1🌚1
Ровно столько команд проходит в финал Кубка CTF России
22 июля, по всей видимости, в параллельных вселенных, оргкомитет Кубка CTF России принял сразу два разных положения — видимо, чтобы всех запутать. По одному положению в финал проходит одна команда от вуза, а по другому — сколько угодно, при этом оба были опубликованы.
Разумеется, пункт был дискуссионным не зря — в топе оказались целых две команды ВШЭ.
Наши источники с площадки подтверждают, что в связи с этим недоразумением в финал прошло по меньшей мере пять команд. Однако, точное число все назвать затруднились — нам сообщали цифры от пяти до восьми.
Что ж, поскольку CTF News всё ещё содержит неточную информацию, мы познакомимся с финалистами только завтра...
UPD: по подтверждённой информации в финал вышло 5 команд.
22 июля, по всей видимости, в параллельных вселенных, оргкомитет Кубка CTF России принял сразу два разных положения — видимо, чтобы всех запутать. По одному положению в финал проходит одна команда от вуза, а по другому — сколько угодно, при этом оба были опубликованы.
Разумеется, пункт был дискуссионным не зря — в топе оказались целых две команды ВШЭ.
Наши источники с площадки подтверждают, что в связи с этим недоразумением в финал прошло по меньшей мере пять команд. Однако, точное число все назвать затруднились — нам сообщали цифры от пяти до восьми.
Что ж, поскольку CTF News всё ещё содержит неточную информацию, мы познакомимся с финалистами только завтра...
UPD: по подтверждённой информации в финал вышло 5 команд.
🤡10🔥8👍1
Финал Кубка CTF (а точнее, первая его часть) прошла в формате копипаст-цтфа. У команд был атак-дефенс с одним сервисом на Solidity и тремя его частями.
Нюанс заключался в том, что репозитории команд с кодом сервисов и эксплойтами (а точнее, одним эксплойт-контрактом) были публичными — следовательно, любой фикс и любой эксплойт могли легко быть зареплаены другими командами.
Видимо, организаторы решили, что хитрые команды будут пушить патчи с бекдорами. Но, поскольку сами патчи не бинарные, изменения гораздо проще аудировать; да и любая команда, не пришедшая к такой идее, руинит всё веселье.
Команда FaKappa успешно проиграла путём форс-пуша распатченного сервиса прямиком в прод.
Поздравляем Ar и SPRUSH и желаем им удачи в суперфинале :)
Нюанс заключался в том, что репозитории команд с кодом сервисов и эксплойтами (а точнее, одним эксплойт-контрактом) были публичными — следовательно, любой фикс и любой эксплойт могли легко быть зареплаены другими командами.
Видимо, организаторы решили, что хитрые команды будут пушить патчи с бекдорами. Но, поскольку сами патчи не бинарные, изменения гораздо проще аудировать; да и любая команда, не пришедшая к такой идее, руинит всё веселье.
Команда FaKappa успешно проиграла путём форс-пуша распатченного сервиса прямиком в прод.
Поздравляем Ar и SPRUSH и желаем им удачи в суперфинале :)
🤡14👍8😢2👏1🎉1