Прямо сейчас можно попасть на VolgaCTF в формате телеприсутствия: meet.jit.si/volgactf
Включайте видео!
UPD: к сожалению, уже нет.
Включайте видео!
UPD: к сожалению, уже нет.
В рамках лекции по пентесту лектор продемонстрировал интеграцию собственной утилиты с Burp на примере домена VolgaCTF.ru.
Выяснилось, что VolgaCTF абсолютно безопасна: не получилось не только взломать сайт, но и даже добавить домен в пентест-тулу.
Выяснилось, что VolgaCTF абсолютно безопасна: не получилось не только взломать сайт, но и даже добавить домен в пентест-тулу.
В этот раз мы решили проснуться чуть позже, чем обычно, и пришли на площадку в 9 — а тут, в отличие от прошлого года, уже всё в самом разгаре.
Даже существует образ, который можно скачать, и инфраструктура, которую можно поднять!
Даже существует образ, который можно скачать, и инфраструктура, которую можно поднять!
Из скорборда (кстати, он доступен на https://live.volgactf.ru/scoreboard) видно, что разработчики за вчерашний день успели подготовить ещё три сервиса.
This media is not supported in your browser
VIEW IN TELEGRAM
Если организаторы не написали SPbCTF в название команды, мы допишем сами
Тем временем по расписанию выдали ещё и пароли от образов. Неужели всё идёт по плану?
А, вот, пока мы писали этот пост, удаленные команды пожаловались на отсутствие доступа
А пока снова уходим разбираться с самим шизоидным деплоем за весь наш опыт игры в A/D
Для удобства всех участников VolgaCTF команда [SPbCTF] FaKappa объявляет о запуске альтернативного сервиса приёма флагов.
Теперь вам не нужно ни проверять подписи, ни соблюдать протокол, ни парсить ответы. Всё, что нужно — отправить ваш флаг на submit@kappactf.ru, и он сразу же засчитается на скорборде.
Пока сервис находится в бета-режиме, пишите в комментариях предложения по улучшению.
Теперь вам не нужно ни проверять подписи, ни соблюдать протокол, ни парсить ответы. Всё, что нужно — отправить ваш флаг на submit@kappactf.ru, и он сразу же засчитается на скорборде.
Пока сервис находится в бета-режиме, пишите в комментариях предложения по улучшению.
Пока мы едим обед, расскажем немного о инфраструктуре
Традиционно для VolgaCTF, все сервисы работают в докере. Однако, нетрадиционно для привычных всем CTF-соревнований, в директории сервиса, как правило, обнаруживается всего один файл —
Внимательный читатель спросит: где же сам сервис? После чтения compose-файла он узнает, что в контейнерах запущены образы из местного Docker Registry, которые были загружены заранее — доступа к этому Registry у участников уже нет.
Многие любители Докере наверняка знают, что нельзя получить из локального хранилища образов отдельно тот или иной промежуточный слой — Докер помнит только краткую информацию о действиях на каждом слое.
Таким образом, восстановить флоу сборки становится попросту невозможно, и команды тратят своё время на поиск тех или иных костыльных путей патчинга сервисов так, чтобы они по пути не разваливались.
Традиционно для VolgaCTF, все сервисы работают в докере. Однако, нетрадиционно для привычных всем CTF-соревнований, в директории сервиса, как правило, обнаруживается всего один файл —
docker-compose.yml.Внимательный читатель спросит: где же сам сервис? После чтения compose-файла он узнает, что в контейнерах запущены образы из местного Docker Registry, которые были загружены заранее — доступа к этому Registry у участников уже нет.
Многие любители Докере наверняка знают, что нельзя получить из локального хранилища образов отдельно тот или иной промежуточный слой — Докер помнит только краткую информацию о действиях на каждом слое.
Таким образом, восстановить флоу сборки становится попросту невозможно, и команды тратят своё время на поиск тех или иных костыльных путей патчинга сервисов так, чтобы они по пути не разваливались.
Kappa CTF
Для удобства всех участников VolgaCTF команда [SPbCTF] FaKappa объявляет о запуске альтернативного сервиса приёма флагов. Теперь вам не нужно ни проверять подписи, ни соблюдать протокол, ни парсить ответы. Всё, что нужно — отправить ваш флаг на submit@kappactf.ru…
В последний час VolgaCTF, в отличие от последних десяти лет, не будет никакой музыки. Наши инсайдерские источники в оргкомитете подсказывают, что музыка выключена по требованию Российского авторского общества, которое требует отчислений за право проигрывания музыки.
Спешим обрадовать участников — у них право проигрывания есть абсолютно бесплатно, нужно всего лишь выключить сплойты. А лучше — отправить свои флаги с помощью нашего альтернативного сервиса сдачи флагов на адрес submit@kappactf.ru.
Спешим обрадовать участников — у них право проигрывания есть абсолютно бесплатно, нужно всего лишь выключить сплойты. А лучше — отправить свои флаги с помощью нашего альтернативного сервиса сдачи флагов на адрес submit@kappactf.ru.
Однако другим традициям организаторы не изменяют — скорборд заморожен, и результаты мы узнаем уже завтра на церемонии награждения.
Вот так выглядит таблица за час до конца. Смогут ли SUSlo.PAS вернуться на привычное им второе место? Обгонит ли [SPbCTF] eltech banana команду [SPbCTF] FaKappa? Смогут ли Pixels (они, кстати, уже на 14 месте!) войти в топ-10 впервые за всю историю VolgaCTF?
Вот так выглядит таблица за час до конца. Смогут ли SUSlo.PAS вернуться на привычное им второе место? Обгонит ли [SPbCTF] eltech banana команду [SPbCTF] FaKappa? Смогут ли Pixels (они, кстати, уже на 14 месте!) войти в топ-10 впервые за всю историю VolgaCTF?