⚡️ Финальная таблица с результатами

Репозиторий с тасками:
https://t.iss.one/permctf/48

PermCTF2020 подошел к концу.

Это были самые крутые 24 часа за последнее время. Большое спасибо всем участникам и организаторам.

Дальнейшая аналитика будет публиковаться позже. Следите за новостями канала. Будут публиковаться райтапы. Также вы сами можете присылать свои райтапы в чат PermCTF или в лс @curiv.

Соревнования PermCTF проводятся уже второй год подряд и, кажется, это становится традицией. Очень хочется финал, но пока никакой информации нет. Но точно известно, что на финале будет жарко.

До встречи на PermCTF2021!

Финальная таблица лидеров.
Репозиторий с тасками.

Форма обратной связи PermCTF!

Пройдите, пожалуйста, это займёт несколько минут Вашего времени, но позволит нам сделать более крутые соревы в следующий раз.

https://forms.gle/1ogUiaodmchg3z7C6

РЕЗУЛЬТАТЫ PermCTF

В этом году PermCTF прошел еще масштабнее чем в прошлом, было зарегистрировано на 21% больше участников.
Команды соревновались в решении 36 тасков из 12 категорий, самой хардкорной стала категорий PWN, самую сложную задачу в этой категории решила всего одна команда!

У нас есть для вас две новости, первая плохая -
К сожалению финал PermCTF переносится на весну следующего года

Зато вторая хорошая -
Соревнования проходили при поддержке АО "Лаборатория Касперского", Яндекс.Облако и УралФД, и наши партнеры готовы наградить победителей и финалистов отборочного этапа потрясающими призами:
1) Промокоды на использование сервисов Яндекс.Облака, чтобы команда могла развернуть свои проекты в онлайн и работать над ними из любой точки мира
2) Брендированые термокружки, чтобы ваш чай не остывал пока вы хардкодите PWN
3) Подушки для путешествий - здоровый сон после CTF это самое главное :)
4) Карты для защиты данных, чтобы вы могли надежно прятать "флаги"
5) канцелярские принадлежности, что написано пером, не вырубить цифровым топором!

Играйте в PermCTF, выигрывайте призы и будьте здоровы!
До встречи на полях PermCTF2021

Всем привет!

Если кому-то нужны сертификаты участника/победителя PermCTF2020, то напишите, пожалуйста, на почту:
[email protected]

Формат:
Команда, ФИО | Ник*
Команда, ФИО | Ник
...
<по числу участников>
* можно просто ник

Если сертификат вам не пришел на почту, то отпишите @curiv

История о поездке на финал InnoCTF

Нашёл репу с огромным количеством тасков на разные темактики с прошлых CTF. Также там есть немного райтапов.

Решайте и развивайтесь :)

https://github.com/b01lers/b01lers-library

Статей на этой неделе не было из-за моей болезни и на следующей навряд ли смогу что-то написать. Но вы по-прежнему можете написать мне свои предложения по какой-то теме, которую можно разобрать.
@Groon1k

#news

Сегодня орги PermCTF провели семинар для студентов второго курса ПНИПУ о роли CTF в вузовской программе. Познакомили ребят с основами крипты, веба, стеги.

Некоторые решили создать команды на завтрашний ивент от SpbCTF

Всем привет!

8 октября 2022 г. мы проведем в Перми #DevTalks (ранее: {Perm} Dev Meetup) для специалистов по безопасности и разработчиков.

#DevTalks. Безопасная разработка: лучшие практики, DevSecOps, пентест, взаимодействие IT и Security

Для вас выступят спикеры из Spectr, Hilbert Team и LMSecurity.

Митап будет посвящен лучшим практикам, взаимодействию разработчиков и специалистов по безопасности. Участники смогут получить новый опыт в сфере OSINT и пентеста, познакомиться с коллегами по цеху, взглянуть на процессы разработки ПО в контексте безопасности.

Доклады митапа:

1️⃣ Настройка SSO авторизации в инфраструктурных сервисах c помощью dex + Keycloak (Вячеслав Бессонов, Co-founder and CEO of Hilbert Team)

2️⃣ Заказная разработка и DevSecOps: существующие инструменты, процесс внедрения и сопровождения. Ищем баланс между безопасностью, стоимостью и удобством (Олег Казаков, технический директор в Spectr)

3️⃣ Типичные ошибки веб-разработчика, или Как усложнить OSINT’теру жизнь (Антон Тиунов, специалист по защите информации в LMSecurity)

4️⃣ Как стать хакером за 40 минут, или «Эксплуатируем типичные ошибки безопасности в веб-приложениях» ( Алексей Шайдоков, руководитель LMSecurity)

Митап пройдет в Технопарке Morion Digital (Пермь, ш. Космонавтов, д. 111, к. 10) + будет организована онлайн-трансляция.

Ссылка на программу и регистрацию: https://digital-spectr.ru/event/dev-talks-devsecops-secure-development

Организаторы и партнеры митапа: Spectr, Тэглайн, Технопарк Morion Digital.

#news

Вот и прошёл финал «Чемпионата по Кибербезопасности по Пермскому краю».
Смешанные чувства переполняют не только мою команду, но и те команды, которые хоть раз играли в CTF.

На первом этапе был заявлен task-based, на котором мы сможем продемонстрировать навыки по форензике, крипте, стеге, вебчику, ppc, администрированию, пывну, сетям и тд, но по итогу была немного криптографии, чуть-чуть сетей в виде поиска паролей в дампе сети и уцуцуга по поиске уникальных строчек в файликах.

Мы прошли в финал с первого места, решив 8/9 задач. Ребята со 2-го мечта решили 6 задач, 3 место - 5 задач, 4,5 место - 3 задания.

На финал нам сказали, что будут задания по пентесту/защите и «царь горы», по факту сжали все в одно и получилось не совсем удачно. Неудачно вышло, так как на команду был дан один пк с VM Kali и старенький ноутбук для оформления отчетности. 4-5 человек вынуждены были определить того одного, кто будет выполнять прихоти остальных за пк, максимально некомфортно, так как члены команды чувствуют свою беспомощность, уцуцуга в задачах преследовала и в финале, так как все было в духе «угадай/додумайся», ибо сканы проводились неоднократно, но по факту ничего полезного не дали, тыкались в вебчик, который оказался «наживкой», потому что веб орги убрали, как вектор, что уже отдаляет мероприятие от реальности.

Но что совсем расстроило, условия и требования от организаторов. На CTF в финале нельзя использовать интернет (об этом сказали на самом финале), там его врубили со словами «мы идём вам навстречу», со слов оргов, не должно быть доступа к гуглению, заготовки в виде команд nmap тоже были запрещены, так как «все в равных условиях, давайте я возьму свои заготовки и в два счета все взломаю», телефоны нас вынудили сдать, как и все личные вещи ( вещи в шкафы, телефон в коробку), все сидели в одной аудитории на расстоянии метра или чуть больше, чекера сервисов не было, поэтому если что-то и упало, мы об этом догадаться могли по пингам, но где-то просто залочены они были, поэтому сиди и гадай.

Организаторам, необходимо учесть прошлый опыт PermCTF, коллег из spbctf, так как фраза «телефон вам не нужен, чтобы вы не гуглили и не отправили задание кому-нибудь» звучит глупо, CTF инвент для того, чтобы ты учился в процессе, пока решаешь таск, а для этого нужно и гуглить, и устраивать мозговой штурм, но неудобно общаться и обмениваться информацией, когда в метре от тебя сидят другие участники. Есть куча решений в сети с других ивентов, статей, где может разбираться нечто подобное, но которые ты в любом случае будешь адаптировать, потому что ни один ивент не решается простым запросом в гугл и получением готового ответа.

P.s смешной момент был ещё при обсуждении на финале, нас спросили помним ли мы про исключения для сканов/атак, мы попросили правила и положение распечатать, чтобы ничего не задеть, на что с нами начали спорить, что нас скинули все за двое суток и мы должны были ВЫУЧИТЬ все, но видимо осознали свою ошибку и распечатали ( потому что мы им намекнули, что явно кто-то случайно зацепит хосты)

https://m.vk.com/wall-40202469_33407

#writeup

Подъехали решения заданий с первого этапа ивента от ПГУ, приятного чтения :)

https://telegra.ph/Rajtapy-na-CHempionat-po-Kiberbezopasnosti-2022-10-11

Сегодня выступили перед студентами второго курса ПНИПУ. Рассказали будущим безопасникам про CTF и поделились опытом. 😎

В рамках занятий по НИРС рассказали про категории CTF, про команду из политеха, про организованные на кафедре занятия.