Пока никто так и не смог запывнить оставшийся сервис amazon, мы немного поанализировали скорборд

Не нужно быть экспертом в российском CTF-сообществе, чтобы заметить, что в топе в основном российские команды

Мы собрали статистику, чтобы узнать, где все остальные: https://kappactf.ru/assets/specials/2019/cybrics/countries.html

Corrupted Lights обгоняют fargate и выходят на второе место

UPD: и наоборот

У большинства команд наконец-то поднялся долго падающий thegreatfw

Теперь командам нужно отправлять PoW

У корреспондентов нашего канала нет доступа в игровую сеть, но по инсайдерской информации он выглядит как-то так

Рано или поздно это должно было случиться

«Твои сплойты не будут реплаить, если ты не будешь атаковать топ-5 команд» (с) Конфуций

Мы поговорили с одним из участников CyBRICS CTF про сервисы. Вот, что он думает про amazon: «То, что написал @groke, я даже смотреть не хочу»

fargate снова на первом месте

Остаётся три часа до конца

C4T BuT S4D вошли в топ-3!

А мы пока немного расскажем о сервисах

Первый сервис — ubuntu (c зулу — человечность), соцсеть на Laravel (PHP). Всё как всегда: юзеры, посты, комментарии, друзья.

По словам автора сервиса, @juwilie, на данный момент командами эксплуатируется лишь одна уязвимость из N возможных.

И NPC решительно вырывается на 18 место, сдав один флаг по сервису thegreatfw. Поздравляем!

Как раз про него и расскажем. thegreatfw является отсылкой к китайскому HITCON 2017. Сам сервис представляет собой RCEaaS (RCE as a Service), к которому у участников нет доступа.

Однако, участники могут написать антивирус, который будет фильтровать вводимые команды. На антивирус накладываются ограничения по размеру (как сорцов, так и бинарного файла). Более того, все бинари публичные и их можно забирать у других команд.

Цель команд — отфильтровать все эксплойты

Пока мы это писали, CBS вышли из топ-3

Третий сервис — gosuslugi — первый российский государственный сервис без подтверждения личности в почтовом отделении.

Помимо регистрации и входа портал предоставляет всего одну государственную услугу — оставление жалоб (ну а что ещё нужно россиянам?)

Сервис бинарный, интерфейс консольный — всё, как вы любите

У fargate число поинтов перевалило за 10000. Смогут ли они удержать эту высокую планку, или за оставшиеся полтора часа потеряют всё?

Далее идёт сервис regex-ci, отличающийся прекрасным качеством кода и хорошей архитектурой

Он позволяет проверять текст на соответствие регэкспам, сохраняя все запросы в виде git-репозитория

Дизайн этого сервиса так же находится на высоком уровне, чего стоит только ожидание результата

Участники делятся впечатлениями от CyBRICS

Feels great to be overtaken by an NPC

BREAKING NEWS! NPC вошло в топ-10 CyBRICS!

Сможет ли оно получить $3000?

И, наконец, самый безопасный сервис CyBRICS — amazon! Это криптографически надежный онлайн-магазин, написанный на C++

Пока этот сервис никому не удалось сломать, но, надеемся, за 40 минут участники всё же справятся с этим

Хотя, как мы уже рассказывали, участники не сильно горят желанием исследовать уязвимости данного продукта.