Сегодня российские команды проводят два крупных мероприятия — YauzaCTF от SFT0 и HITB CTF EDU Pre Qualifications от Хакердома.
На YauzaCTF (надеемся, пока!) не смогли разослать письма командам и открыть таски: посылаем лучи добра организаторам и желаем поскорее всё начать.
HITB идёт полным ходом, но данные команд перед стартом смогли потерять: регистрироваться всем пришлось заново.
На YauzaCTF (надеемся, пока!) не смогли разослать письма командам и открыть таски: посылаем лучи добра организаторам и желаем поскорее всё начать.
HITB идёт полным ходом, но данные команд перед стартом смогли потерять: регистрироваться всем пришлось заново.
После длительного затишья в нашем канале очередные новости — и снова из Самары: сегодня там начинаются уже одиннадцатые соревнования VolgaCTF.
Наша текстовая трансляция начнётся ближе к вечеру, поэтому впервые за три года трансляций Волги мы пропустим самое главное событие недели — прямое включение Марии Захаровой, официального представителя МИД РФ.
Наша текстовая трансляция начнётся ближе к вечеру, поэтому впервые за три года трансляций Волги мы пропустим самое главное событие недели — прямое включение Марии Захаровой, официального представителя МИД РФ.
Kappa CTF
После длительного затишья в нашем канале очередные новости — и снова из Самары: сегодня там начинаются уже одиннадцатые соревнования VolgaCTF. Наша текстовая трансляция начнётся ближе к вечеру, поэтому впервые за три года трансляций Волги мы пропустим самое…
К сожалению, в трансляции не работает звук, поэтому наши корреспонденты не смогли получить объективную оценку действий Вашингтона по отношению к организаторам CTF-соревнований.
Если вы знаете, что же там всё-таки было, пишите в комментарии.
Если вы знаете, что же там всё-таки было, пишите в комментарии.
Прямо сейчас можно попасть на VolgaCTF в формате телеприсутствия: meet.jit.si/volgactf
Включайте видео!
UPD: к сожалению, уже нет.
Включайте видео!
UPD: к сожалению, уже нет.
В рамках лекции по пентесту лектор продемонстрировал интеграцию собственной утилиты с Burp на примере домена VolgaCTF.ru.
Выяснилось, что VolgaCTF абсолютно безопасна: не получилось не только взломать сайт, но и даже добавить домен в пентест-тулу.
Выяснилось, что VolgaCTF абсолютно безопасна: не получилось не только взломать сайт, но и даже добавить домен в пентест-тулу.
В этот раз мы решили проснуться чуть позже, чем обычно, и пришли на площадку в 9 — а тут, в отличие от прошлого года, уже всё в самом разгаре.
Даже существует образ, который можно скачать, и инфраструктура, которую можно поднять!
Даже существует образ, который можно скачать, и инфраструктура, которую можно поднять!
Из скорборда (кстати, он доступен на https://live.volgactf.ru/scoreboard) видно, что разработчики за вчерашний день успели подготовить ещё три сервиса.
This media is not supported in your browser
VIEW IN TELEGRAM
Если организаторы не написали SPbCTF в название команды, мы допишем сами
Тем временем по расписанию выдали ещё и пароли от образов. Неужели всё идёт по плану?
А, вот, пока мы писали этот пост, удаленные команды пожаловались на отсутствие доступа
А пока снова уходим разбираться с самим шизоидным деплоем за весь наш опыт игры в A/D
Для удобства всех участников VolgaCTF команда [SPbCTF] FaKappa объявляет о запуске альтернативного сервиса приёма флагов.
Теперь вам не нужно ни проверять подписи, ни соблюдать протокол, ни парсить ответы. Всё, что нужно — отправить ваш флаг на submit@kappactf.ru, и он сразу же засчитается на скорборде.
Пока сервис находится в бета-режиме, пишите в комментариях предложения по улучшению.
Теперь вам не нужно ни проверять подписи, ни соблюдать протокол, ни парсить ответы. Всё, что нужно — отправить ваш флаг на submit@kappactf.ru, и он сразу же засчитается на скорборде.
Пока сервис находится в бета-режиме, пишите в комментариях предложения по улучшению.
Пока мы едим обед, расскажем немного о инфраструктуре
Традиционно для VolgaCTF, все сервисы работают в докере. Однако, нетрадиционно для привычных всем CTF-соревнований, в директории сервиса, как правило, обнаруживается всего один файл —
Внимательный читатель спросит: где же сам сервис? После чтения compose-файла он узнает, что в контейнерах запущены образы из местного Docker Registry, которые были загружены заранее — доступа к этому Registry у участников уже нет.
Многие любители Докере наверняка знают, что нельзя получить из локального хранилища образов отдельно тот или иной промежуточный слой — Докер помнит только краткую информацию о действиях на каждом слое.
Таким образом, восстановить флоу сборки становится попросту невозможно, и команды тратят своё время на поиск тех или иных костыльных путей патчинга сервисов так, чтобы они по пути не разваливались.
Традиционно для VolgaCTF, все сервисы работают в докере. Однако, нетрадиционно для привычных всем CTF-соревнований, в директории сервиса, как правило, обнаруживается всего один файл —
docker-compose.yml.Внимательный читатель спросит: где же сам сервис? После чтения compose-файла он узнает, что в контейнерах запущены образы из местного Docker Registry, которые были загружены заранее — доступа к этому Registry у участников уже нет.
Многие любители Докере наверняка знают, что нельзя получить из локального хранилища образов отдельно тот или иной промежуточный слой — Докер помнит только краткую информацию о действиях на каждом слое.
Таким образом, восстановить флоу сборки становится попросту невозможно, и команды тратят своё время на поиск тех или иных костыльных путей патчинга сервисов так, чтобы они по пути не разваливались.