Kappa CTF
И гран-при уходит той команде, которая заслужила больше всего симпатий участников — команде волонтёров ❤
И, конечно, команде организаторов!
Увидимся на следующей Волге. Надеемся.
Увидимся на следующей Волге. Надеемся.
❤9🤡1
Итак, свершилось!
В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare.
К сожалению, участникам пришлось лицезреть не только капчу, но и WAF на заданиях категории web. А пятисотки засияли новыми цветами!
Говорят, что жюрейку всё равно DDoS'ят. Интересно было бы узнать объем трафика :)
В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare.
К сожалению, участникам пришлось лицезреть не только капчу, но и WAF на заданиях категории web. А пятисотки засияли новыми цветами!
Говорят, что жюрейку всё равно DDoS'ят. Интересно было бы узнать объем трафика :)
😁3👍1
Опрос для организаторов CTF: вас хотя бы раз по-настоящему DDoS'или?
Anonymous Poll
9%
Да
41%
Только Александр Худорожко, которого мы забанили по IP
12%
Нет
39%
Не организатор
🔥6
Kappa CTF
Итак, свершилось! В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare. К сожалению, участникам пришлось лицезреть не только капчу, но и WAF…
Команда расследований Kappa CTF при помощи наших коллег из одной команды-участницы соревнования нашла, если не дудосеров, то явно нарушителей регламента данного соревнования.
Некая команда G0PPA C0D3S зарегистрировала 15 отдельных команд и сдавала всеми этими командами флаги по очереди. Судя по обязательности предоставления студенческих билетов и требованию к наличию хотя бы двух человек в команде, в данной схеме было задействовано не менее 30 студентов Санкт-Петербурга.
Организаторы предложили «соломоново решение» данной проблемы — исключить все флаги среди данной группы команд, кроме первого. В результате этого действия одна из команд группы даже смогла выйти в финал соревнований.
Что иронично, в положении о соревнованиях такой меры, как «исключение флагов», не предусмотрено.
Некая команда G0PPA C0D3S зарегистрировала 15 отдельных команд и сдавала всеми этими командами флаги по очереди. Судя по обязательности предоставления студенческих билетов и требованию к наличию хотя бы двух человек в команде, в данной схеме было задействовано не менее 30 студентов Санкт-Петербурга.
Организаторы предложили «соломоново решение» данной проблемы — исключить все флаги среди данной группы команд, кроме первого. В результате этого действия одна из команд группы даже смогла выйти в финал соревнований.
Что иронично, в положении о соревнованиях такой меры, как «исключение флагов», не предусмотрено.
🔥7🤡5
Отдельно скажем пару слов о положении: по всей видимости, организаторы соревнования его не только не читали, но и не составляли — ведь оно слово в слово повторяет положение прошлого года за авторством Никиты Сычёва.
Например, организаторы уверяют, что в финале будет Jeopardy. Однако, в положении мы видим, что команды «получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов». Интересно, если жюрейку опять задудосят, снимут ли у участиков баллы за некорректную работу инфраструктуры? 🤔
Например, организаторы уверяют, что в финале будет Jeopardy. Однако, в положении мы видим, что команды «получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов». Интересно, если жюрейку опять задудосят, снимут ли у участиков баллы за некорректную работу инфраструктуры? 🤔
🤡13👍6🔥4
Тем временем продолжает приближаться шестой Кубок CTF. Как стало известно нашей редакции, в этом году он полностью меняет свою концепцию и пройдёт в формате бюрократии.
В этом году от участников требуют не только студенческий билет, но и оригинал справки из образовательной организации. По словам организаторов турнира, данная мера позволяет избежать поддельных документов — якобы в этом году на Кубок зарегистрировалось много не-студентов. Однако, почему подделать книжечку с вклеенной фотографией и печатями за каждый год обучения сложнее, чем один лист A4, никто так и не объяснил.
В числе прочих документов участникам предлагается предоставить справку об эпидемиологическом окружении — видимо, данный документ, получаемый в любом лечебном учреждении за 2 минуты, как-то поможет защитить участников от коронавирусной инфекции; а также снять видеоролик про команду с короткими «селфи-видео» согласно техническому заданию.
Однако, сами организаторы данного мероприятия с бюрократией не справились. Уже шестой год подряд они не могут овладеть искусством ссылок. Даже после окончания отборочного этапа на сайте не появились «Правила проведения этапов» — текст попросту не нажимается. Да и в памятке для участников очень старались оставить много полезных ссылок, но их постигла та же участь.
Как и в прошлые года, форматшоу финала держится в секрете — однако, в положении подробно расписан некий формат «Battle», который «может использоваться Технической группой на финальных турах Соревнований».
И, наконец, главная проблема этого года — уже вторые организаторы не смогли объяснить, что же такое этот ваш атак-дефенс — согласно регламенту данного этапа, «Жюри оценивает Команды по количеству набранных очков за отправленные Флаги в Проверяющую Систему и суммарному времени их сдачи». Ну-ну. Кстати, организаторы Кубка решили вернуться в наш 2018 год и снова запретили оборудование уровня L2!
Что ж, пожелаем удачи всем командам-участницам в бюрократическом марафоне за звание победителя данного мероприятия.
В этом году от участников требуют не только студенческий билет, но и оригинал справки из образовательной организации. По словам организаторов турнира, данная мера позволяет избежать поддельных документов — якобы в этом году на Кубок зарегистрировалось много не-студентов. Однако, почему подделать книжечку с вклеенной фотографией и печатями за каждый год обучения сложнее, чем один лист A4, никто так и не объяснил.
В числе прочих документов участникам предлагается предоставить справку об эпидемиологическом окружении — видимо, данный документ, получаемый в любом лечебном учреждении за 2 минуты, как-то поможет защитить участников от коронавирусной инфекции; а также снять видеоролик про команду с короткими «селфи-видео» согласно техническому заданию.
Однако, сами организаторы данного мероприятия с бюрократией не справились. Уже шестой год подряд они не могут овладеть искусством ссылок. Даже после окончания отборочного этапа на сайте не появились «Правила проведения этапов» — текст попросту не нажимается. Да и в памятке для участников очень старались оставить много полезных ссылок, но их постигла та же участь.
Как и в прошлые года, формат
И, наконец, главная проблема этого года — уже вторые организаторы не смогли объяснить, что же такое этот ваш атак-дефенс — согласно регламенту данного этапа, «Жюри оценивает Команды по количеству набранных очков за отправленные Флаги в Проверяющую Систему и суммарному времени их сдачи». Ну-ну. Кстати, организаторы Кубка решили вернуться в наш 2018 год и снова запретили оборудование уровня L2!
Что ж, пожелаем удачи всем командам-участницам в бюрократическом марафоне за звание победителя данного мероприятия.
🤡22👎2😱2🤔1🌚1
Ровно столько команд проходит в финал Кубка CTF России
22 июля, по всей видимости, в параллельных вселенных, оргкомитет Кубка CTF России принял сразу два разных положения — видимо, чтобы всех запутать. По одному положению в финал проходит одна команда от вуза, а по другому — сколько угодно, при этом оба были опубликованы.
Разумеется, пункт был дискуссионным не зря — в топе оказались целых две команды ВШЭ.
Наши источники с площадки подтверждают, что в связи с этим недоразумением в финал прошло по меньшей мере пять команд. Однако, точное число все назвать затруднились — нам сообщали цифры от пяти до восьми.
Что ж, поскольку CTF News всё ещё содержит неточную информацию, мы познакомимся с финалистами только завтра...
UPD: по подтверждённой информации в финал вышло 5 команд.
22 июля, по всей видимости, в параллельных вселенных, оргкомитет Кубка CTF России принял сразу два разных положения — видимо, чтобы всех запутать. По одному положению в финал проходит одна команда от вуза, а по другому — сколько угодно, при этом оба были опубликованы.
Разумеется, пункт был дискуссионным не зря — в топе оказались целых две команды ВШЭ.
Наши источники с площадки подтверждают, что в связи с этим недоразумением в финал прошло по меньшей мере пять команд. Однако, точное число все назвать затруднились — нам сообщали цифры от пяти до восьми.
Что ж, поскольку CTF News всё ещё содержит неточную информацию, мы познакомимся с финалистами только завтра...
UPD: по подтверждённой информации в финал вышло 5 команд.
🤡10🔥8👍1
Финал Кубка CTF (а точнее, первая его часть) прошла в формате копипаст-цтфа. У команд был атак-дефенс с одним сервисом на Solidity и тремя его частями.
Нюанс заключался в том, что репозитории команд с кодом сервисов и эксплойтами (а точнее, одним эксплойт-контрактом) были публичными — следовательно, любой фикс и любой эксплойт могли легко быть зареплаены другими командами.
Видимо, организаторы решили, что хитрые команды будут пушить патчи с бекдорами. Но, поскольку сами патчи не бинарные, изменения гораздо проще аудировать; да и любая команда, не пришедшая к такой идее, руинит всё веселье.
Команда FaKappa успешно проиграла путём форс-пуша распатченного сервиса прямиком в прод.
Поздравляем Ar и SPRUSH и желаем им удачи в суперфинале :)
Нюанс заключался в том, что репозитории команд с кодом сервисов и эксплойтами (а точнее, одним эксплойт-контрактом) были публичными — следовательно, любой фикс и любой эксплойт могли легко быть зареплаены другими командами.
Видимо, организаторы решили, что хитрые команды будут пушить патчи с бекдорами. Но, поскольку сами патчи не бинарные, изменения гораздо проще аудировать; да и любая команда, не пришедшая к такой идее, руинит всё веселье.
Команда FaKappa успешно проиграла путём форс-пуша распатченного сервиса прямиком в прод.
Поздравляем Ar и SPRUSH и желаем им удачи в суперфинале :)
🤡14👍8😢2👏1🎉1
Настало время действительно важных вопросов: то ли с сегодняшнего дня, то ли с 2025 года в образовательной сфере запрещено использовать иностранные слова. Приглашаем всё сообщество присоединиться к рабочей группе по переименовыванию соревнований формата CTF.
Первопроходцами в данной сфере стала команда «Хакердом» — на, к сожалению, отменённый из-за пандемии RuCTF 2020 соревнования сменили свой бренд на «Русскую ловлю флагов».
А как назовёте ваши соревнования вы? Пишите в комментарии.
Первопроходцами в данной сфере стала команда «Хакердом» — на, к сожалению, отменённый из-за пандемии RuCTF 2020 соревнования сменили свой бренд на «Русскую ловлю флагов».
А как назовёте ваши соревнования вы? Пишите в комментарии.
🤡24👍1🍾1
Hi, it's HackerDom.
Unfortunately, we have made a decision to move RuCTF Finals once again — this time, to September 14th. Registration and network plan will be available in early August.
Unfortunately, we have made a decision to move RuCTF Finals once again — this time, to September 14th. Registration and network plan will be available in early August.
🤡20👎3🤣2👍1
Kappa CTF
Hi, it's HackerDom. Unfortunately, we have made a decision to move RuCTF Finals once again — this time, to September 14th. Registration and network plan will be available in early August.
We received a lot of feedback and decided to move it once again — RuCTF will be held today.
Services will be published at 16:00 UTC, network will be open at 17:00.
Services will be published at 16:00 UTC, network will be open at 17:00.
🤣18👌4😁3
This year, we will not be providing cloud as usual. As well, teams will not receive OVA images.
We will provide teams with a single archive containing all services. All you need to start pwning is a Docker. No need to use virtual machines, run it in your own environment!
The game will start at 16:00 UTC
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4😡4❤2👍1😁1
ructf2023-services.7z
1.8 MB
UPD: THIS IS WRONG ARCHIVE. DOWNLOAD THE REAL ONE BELOW.
📂 Encrypted archive with services (1,85 MB — download in advance!). Password will be published at 16:00 UTC.
📂 Encrypted archive with services (1,85 MB — download in advance!). Password will be published at 16:00 UTC.
🗿8🤣5🔥2❤1
ructf2023-services-v2.tar.xz.7z
4.7 MB
⚠️ We accidentally posted archive with exploits. There is a new one — with services.
Password will be published in 30 minutes.
Password will be published in 30 minutes.
🤣11💩2🔥1