Итак, свершилось!
В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare.
К сожалению, участникам пришлось лицезреть не только капчу, но и WAF на заданиях категории web. А пятисотки засияли новыми цветами!
Говорят, что жюрейку всё равно DDoS'ят. Интересно было бы узнать объем трафика :)
В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare.
К сожалению, участникам пришлось лицезреть не только капчу, но и WAF на заданиях категории web. А пятисотки засияли новыми цветами!
Говорят, что жюрейку всё равно DDoS'ят. Интересно было бы узнать объем трафика :)
😁3👍1
Опрос для организаторов CTF: вас хотя бы раз по-настоящему DDoS'или?
Anonymous Poll
9%
Да
41%
Только Александр Худорожко, которого мы забанили по IP
12%
Нет
39%
Не организатор
🔥6
Kappa CTF
Итак, свершилось! В Петербурге запустили первый CTF по заветам Александра Худорожко. Платформу CTFd и все задания, включая веб, поместили под систему защиты от падения журеек™ CloudFlare. К сожалению, участникам пришлось лицезреть не только капчу, но и WAF…
Команда расследований Kappa CTF при помощи наших коллег из одной команды-участницы соревнования нашла, если не дудосеров, то явно нарушителей регламента данного соревнования.
Некая команда G0PPA C0D3S зарегистрировала 15 отдельных команд и сдавала всеми этими командами флаги по очереди. Судя по обязательности предоставления студенческих билетов и требованию к наличию хотя бы двух человек в команде, в данной схеме было задействовано не менее 30 студентов Санкт-Петербурга.
Организаторы предложили «соломоново решение» данной проблемы — исключить все флаги среди данной группы команд, кроме первого. В результате этого действия одна из команд группы даже смогла выйти в финал соревнований.
Что иронично, в положении о соревнованиях такой меры, как «исключение флагов», не предусмотрено.
Некая команда G0PPA C0D3S зарегистрировала 15 отдельных команд и сдавала всеми этими командами флаги по очереди. Судя по обязательности предоставления студенческих билетов и требованию к наличию хотя бы двух человек в команде, в данной схеме было задействовано не менее 30 студентов Санкт-Петербурга.
Организаторы предложили «соломоново решение» данной проблемы — исключить все флаги среди данной группы команд, кроме первого. В результате этого действия одна из команд группы даже смогла выйти в финал соревнований.
Что иронично, в положении о соревнованиях такой меры, как «исключение флагов», не предусмотрено.
🔥7🤡5
Отдельно скажем пару слов о положении: по всей видимости, организаторы соревнования его не только не читали, но и не составляли — ведь оно слово в слово повторяет положение прошлого года за авторством Никиты Сычёва.
Например, организаторы уверяют, что в финале будет Jeopardy. Однако, в положении мы видим, что команды «получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов». Интересно, если жюрейку опять задудосят, снимут ли у участиков баллы за некорректную работу инфраструктуры? 🤔
Например, организаторы уверяют, что в финале будет Jeopardy. Однако, в положении мы видим, что команды «получают баллы в зависимости от времени корректной работы выделенного команде сегмента инфраструктуры, от количества штрафов за утрату конфиденциальности информации, а также от числа отправленных в проверяющую систему верных ответов на задания и стоимости каждого из принятых ответов». Интересно, если жюрейку опять задудосят, снимут ли у участиков баллы за некорректную работу инфраструктуры? 🤔
🤡13👍6🔥4
Тем временем продолжает приближаться шестой Кубок CTF. Как стало известно нашей редакции, в этом году он полностью меняет свою концепцию и пройдёт в формате бюрократии.
В этом году от участников требуют не только студенческий билет, но и оригинал справки из образовательной организации. По словам организаторов турнира, данная мера позволяет избежать поддельных документов — якобы в этом году на Кубок зарегистрировалось много не-студентов. Однако, почему подделать книжечку с вклеенной фотографией и печатями за каждый год обучения сложнее, чем один лист A4, никто так и не объяснил.
В числе прочих документов участникам предлагается предоставить справку об эпидемиологическом окружении — видимо, данный документ, получаемый в любом лечебном учреждении за 2 минуты, как-то поможет защитить участников от коронавирусной инфекции; а также снять видеоролик про команду с короткими «селфи-видео» согласно техническому заданию.
Однако, сами организаторы данного мероприятия с бюрократией не справились. Уже шестой год подряд они не могут овладеть искусством ссылок. Даже после окончания отборочного этапа на сайте не появились «Правила проведения этапов» — текст попросту не нажимается. Да и в памятке для участников очень старались оставить много полезных ссылок, но их постигла та же участь.
Как и в прошлые года, форматшоу финала держится в секрете — однако, в положении подробно расписан некий формат «Battle», который «может использоваться Технической группой на финальных турах Соревнований».
И, наконец, главная проблема этого года — уже вторые организаторы не смогли объяснить, что же такое этот ваш атак-дефенс — согласно регламенту данного этапа, «Жюри оценивает Команды по количеству набранных очков за отправленные Флаги в Проверяющую Систему и суммарному времени их сдачи». Ну-ну. Кстати, организаторы Кубка решили вернуться в наш 2018 год и снова запретили оборудование уровня L2!
Что ж, пожелаем удачи всем командам-участницам в бюрократическом марафоне за звание победителя данного мероприятия.
В этом году от участников требуют не только студенческий билет, но и оригинал справки из образовательной организации. По словам организаторов турнира, данная мера позволяет избежать поддельных документов — якобы в этом году на Кубок зарегистрировалось много не-студентов. Однако, почему подделать книжечку с вклеенной фотографией и печатями за каждый год обучения сложнее, чем один лист A4, никто так и не объяснил.
В числе прочих документов участникам предлагается предоставить справку об эпидемиологическом окружении — видимо, данный документ, получаемый в любом лечебном учреждении за 2 минуты, как-то поможет защитить участников от коронавирусной инфекции; а также снять видеоролик про команду с короткими «селфи-видео» согласно техническому заданию.
Однако, сами организаторы данного мероприятия с бюрократией не справились. Уже шестой год подряд они не могут овладеть искусством ссылок. Даже после окончания отборочного этапа на сайте не появились «Правила проведения этапов» — текст попросту не нажимается. Да и в памятке для участников очень старались оставить много полезных ссылок, но их постигла та же участь.
Как и в прошлые года, формат
И, наконец, главная проблема этого года — уже вторые организаторы не смогли объяснить, что же такое этот ваш атак-дефенс — согласно регламенту данного этапа, «Жюри оценивает Команды по количеству набранных очков за отправленные Флаги в Проверяющую Систему и суммарному времени их сдачи». Ну-ну. Кстати, организаторы Кубка решили вернуться в наш 2018 год и снова запретили оборудование уровня L2!
Что ж, пожелаем удачи всем командам-участницам в бюрократическом марафоне за звание победителя данного мероприятия.
🤡22👎2😱2🤔1🌚1
Ровно столько команд проходит в финал Кубка CTF России
22 июля, по всей видимости, в параллельных вселенных, оргкомитет Кубка CTF России принял сразу два разных положения — видимо, чтобы всех запутать. По одному положению в финал проходит одна команда от вуза, а по другому — сколько угодно, при этом оба были опубликованы.
Разумеется, пункт был дискуссионным не зря — в топе оказались целых две команды ВШЭ.
Наши источники с площадки подтверждают, что в связи с этим недоразумением в финал прошло по меньшей мере пять команд. Однако, точное число все назвать затруднились — нам сообщали цифры от пяти до восьми.
Что ж, поскольку CTF News всё ещё содержит неточную информацию, мы познакомимся с финалистами только завтра...
UPD: по подтверждённой информации в финал вышло 5 команд.
22 июля, по всей видимости, в параллельных вселенных, оргкомитет Кубка CTF России принял сразу два разных положения — видимо, чтобы всех запутать. По одному положению в финал проходит одна команда от вуза, а по другому — сколько угодно, при этом оба были опубликованы.
Разумеется, пункт был дискуссионным не зря — в топе оказались целых две команды ВШЭ.
Наши источники с площадки подтверждают, что в связи с этим недоразумением в финал прошло по меньшей мере пять команд. Однако, точное число все назвать затруднились — нам сообщали цифры от пяти до восьми.
Что ж, поскольку CTF News всё ещё содержит неточную информацию, мы познакомимся с финалистами только завтра...
UPD: по подтверждённой информации в финал вышло 5 команд.
🤡10🔥8👍1
Финал Кубка CTF (а точнее, первая его часть) прошла в формате копипаст-цтфа. У команд был атак-дефенс с одним сервисом на Solidity и тремя его частями.
Нюанс заключался в том, что репозитории команд с кодом сервисов и эксплойтами (а точнее, одним эксплойт-контрактом) были публичными — следовательно, любой фикс и любой эксплойт могли легко быть зареплаены другими командами.
Видимо, организаторы решили, что хитрые команды будут пушить патчи с бекдорами. Но, поскольку сами патчи не бинарные, изменения гораздо проще аудировать; да и любая команда, не пришедшая к такой идее, руинит всё веселье.
Команда FaKappa успешно проиграла путём форс-пуша распатченного сервиса прямиком в прод.
Поздравляем Ar и SPRUSH и желаем им удачи в суперфинале :)
Нюанс заключался в том, что репозитории команд с кодом сервисов и эксплойтами (а точнее, одним эксплойт-контрактом) были публичными — следовательно, любой фикс и любой эксплойт могли легко быть зареплаены другими командами.
Видимо, организаторы решили, что хитрые команды будут пушить патчи с бекдорами. Но, поскольку сами патчи не бинарные, изменения гораздо проще аудировать; да и любая команда, не пришедшая к такой идее, руинит всё веселье.
Команда FaKappa успешно проиграла путём форс-пуша распатченного сервиса прямиком в прод.
Поздравляем Ar и SPRUSH и желаем им удачи в суперфинале :)
🤡14👍8😢2👏1🎉1
Настало время действительно важных вопросов: то ли с сегодняшнего дня, то ли с 2025 года в образовательной сфере запрещено использовать иностранные слова. Приглашаем всё сообщество присоединиться к рабочей группе по переименовыванию соревнований формата CTF.
Первопроходцами в данной сфере стала команда «Хакердом» — на, к сожалению, отменённый из-за пандемии RuCTF 2020 соревнования сменили свой бренд на «Русскую ловлю флагов».
А как назовёте ваши соревнования вы? Пишите в комментарии.
Первопроходцами в данной сфере стала команда «Хакердом» — на, к сожалению, отменённый из-за пандемии RuCTF 2020 соревнования сменили свой бренд на «Русскую ловлю флагов».
А как назовёте ваши соревнования вы? Пишите в комментарии.
🤡24👍1🍾1
Hi, it's HackerDom.
Unfortunately, we have made a decision to move RuCTF Finals once again — this time, to September 14th. Registration and network plan will be available in early August.
Unfortunately, we have made a decision to move RuCTF Finals once again — this time, to September 14th. Registration and network plan will be available in early August.
🤡20👎3🤣2👍1
Kappa CTF
Hi, it's HackerDom. Unfortunately, we have made a decision to move RuCTF Finals once again — this time, to September 14th. Registration and network plan will be available in early August.
We received a lot of feedback and decided to move it once again — RuCTF will be held today.
Services will be published at 16:00 UTC, network will be open at 17:00.
Services will be published at 16:00 UTC, network will be open at 17:00.
🤣18👌4😁3
This year, we will not be providing cloud as usual. As well, teams will not receive OVA images.
We will provide teams with a single archive containing all services. All you need to start pwning is a Docker. No need to use virtual machines, run it in your own environment!
The game will start at 16:00 UTC
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4😡4❤2👍1😁1
ructf2023-services.7z
1.8 MB
UPD: THIS IS WRONG ARCHIVE. DOWNLOAD THE REAL ONE BELOW.
📂 Encrypted archive with services (1,85 MB — download in advance!). Password will be published at 16:00 UTC.
📂 Encrypted archive with services (1,85 MB — download in advance!). Password will be published at 16:00 UTC.
🗿8🤣5🔥2❤1
ructf2023-services-v2.tar.xz.7z
4.7 MB
⚠️ We accidentally posted archive with exploits. There is a new one — with services.
Password will be published in 30 minutes.
Password will be published in 30 minutes.
🤣11💩2🔥1
We're starting in 10 minutes.
If you didn't receive your VPN config or token, send your team name to @AAAAlexeev NOW!
If you didn't receive your VPN config or token, send your team name to @AAAAlexeev NOW!
😱6🥴2
Password for the services is HspqwvP0a7xfhVUz
The network will be open in an hour — at 17:00 UTC.
Scoreboard is available now at https://live.ructf.org/
The network will be open in an hour — at 17:00 UTC.
Scoreboard is available now at https://live.ructf.org/
🙏7⚡2❤1🔥1
Due to technical restrictions, we changed submission interface. Now it's even easier. Try it out: https://ructf.site/submit/
🥴2💔1
Please note that only your vulnbox should be connected to the network using provided config.
If you connect from several devices at the same time, everything will break.
If you connect from several devices at the same time, everything will break.
🥴2😁1😢1