После длительного затишья в нашем канале очередные новости — и снова из Самары: сегодня там начинаются уже одиннадцатые соревнования VolgaCTF.

Наша текстовая трансляция начнётся ближе к вечеру, поэтому впервые за три года трансляций Волги мы пропустим самое главное событие недели — прямое включение Марии Захаровой, официального представителя МИД РФ.

К сожалению, в трансляции не работает звук, поэтому наши корреспонденты не смогли получить объективную оценку действий Вашингтона по отношению к организаторам CTF-соревнований.

Если вы знаете, что же там всё-таки было, пишите в комментарии.

Итак, наконец-то мы начинаем нашу трансляцию

Сейчас в основном зале идёт доклад «Hijacking AD domain before lunch» от Ростелеком-Солара — почему-то после обеда

Прямо сейчас можно попасть на VolgaCTF в формате телеприсутствия: meet.jit.si/volgactf

Включайте видео!

UPD: к сожалению, уже нет.

В рамках лекции по пентесту лектор продемонстрировал интеграцию собственной утилиты с Burp на примере домена VolgaCTF.ru.

Выяснилось, что VolgaCTF абсолютно безопасна: не получилось не только взломать сайт, но и даже добавить домен в пентест-тулу.

Сейчас идёт доклад от Владимира Волкова — в прошлом году он играл на VolgaCTF в Каппе. Теперь вот решил заняться чем-то полезным, и нашёл багу в zip в MacOS.

Если вам повезёт, то образ будет завтра утром

Организаторы собирают площадку соревнований. Устанавливается самое важное оборудование

В рамках подготовки к финалу VolgaCTF, который начнётся уже завтра утром, мы взяли мини-интервью у команды разработчиков соревнований

В этот раз мы решили проснуться чуть позже, чем обычно, и пришли на площадку в 9 — а тут, в отличие от прошлого года, уже всё в самом разгаре.

Даже существует образ, который можно скачать, и инфраструктура, которую можно поднять!

Из скорборда (кстати, он доступен на https://live.volgactf.ru/scoreboard) видно, что разработчики за вчерашний день успели подготовить ещё три сервиса.

Если организаторы не написали SPbCTF в название команды, мы допишем сами

Тем временем по расписанию выдали ещё и пароли от образов. Неужели всё идёт по плану?

А, вот, пока мы писали этот пост, удаленные команды пожаловались на отсутствие доступа

VolgaCTF начался вовремя, именно поэтому активность в канале была временно прекращена.

Но вот, мы уже написали сплойт, и сплойтим даже не один сервис — и можно этим похвастаться

А пока снова уходим разбираться с самим шизоидным деплоем за весь наш опыт игры в A/D

Для удобства всех участников VolgaCTF команда [SPbCTF] FaKappa объявляет о запуске альтернативного сервиса приёма флагов.

Теперь вам не нужно ни проверять подписи, ни соблюдать протокол, ни парсить ответы. Всё, что нужно — отправить ваш флаг на submit@kappactf.ru, и он сразу же засчитается на скорборде.

Пока сервис находится в бета-режиме, пишите в комментариях предложения по улучшению.

Пока мы едим обед, расскажем немного о инфраструктуре

Традиционно для VolgaCTF, все сервисы работают в докере. Однако, нетрадиционно для привычных всем CTF-соревнований, в директории сервиса, как правило, обнаруживается всего один файл — docker-compose.yml.

Внимательный читатель спросит: где же сам сервис? После чтения compose-файла он узнает, что в контейнерах запущены образы из местного Docker Registry, которые были загружены заранее — доступа к этому Registry у участников уже нет.

Многие любители Докере наверняка знают, что нельзя получить из локального хранилища образов отдельно тот или иной промежуточный слой — Докер помнит только краткую информацию о действиях на каждом слое.

Таким образом, восстановить флоу сборки становится попросту невозможно, и команды тратят своё время на поиск тех или иных костыльных путей патчинга сервисов так, чтобы они по пути не разваливались.

На VolgaCTF произошёл самый андеграундный и импактный взлом

Организаторы разослали через бота фотографию, но перепутали табличку. Помогаем им исправиться!