CTF *

Совсем недавно на VulnHub опубликовали новый образ виртуалки под названием 64Base Boot2Root. Задания, как и статья рассчитаны на новичков. Так что не удивляйтесь, если какие-то из решений покажутся слишком простыми.

Друзья, надеемся, что выходные у всех прошли хорошо, и вы снова готовы немного поломать голову над заданиями CTFzone. Мы продолжаем публиковать райтапы к таскам, и сегодня мы разберем ветку WEB. На всякий случай запасайтесь кавычками и вперед ;)

Направление WEB было вторым по популярности после Forensics, в общей сложности хотя бы одно задание решили 303 человека. Кстати, из них задание на 1000 решили всего пять участников, поэтому ему мы уделим особое внимание. Задания на 50 и на 100 уже публиковались, так что мы сразу перейдем к таскам посложнее.

Доброго времени суток! В этом небольшом опусе я хотел бы глазами участника рассказать как проходят соревнования CTF типа attack-defence и, в частности, осветить минувшее соревнование m*ctf. Но перед всем этим хочется поблагодарить свой Университет Иннополис за возможность побывать на этом (и множестве других) мероприятий.

Под катом как организационные, так и технические детали прошедших соревнований. И конечно же много-много фотографий!

Друзья, по сложившейся за последний месяц традиции мы предлагаем вам начать новую неделю с нового райтапа. В этом посте мы подробно разберем задания из направления MISC, куда вошли все задания, не подходящие ни под какую другую категорию. Тут был нужен особенный креатив ;)

Ветка MISC нашла отклик в душе наших игроков — за время соревнований мы получили около 300 флагов. Заметим, что из всех тасков на 1000, задание из этой категории было наиболее популярным — над ним ломали голову многие, но успеха достигли всего несколько человек. Поэтому мы решили пропустить задания на 50 и 100 очков и сразу перейти к более сложным и интересным заданиям. Поехали!

Друзья, бурные выходные прошли, и мы готовы представить вам новую партию райтапов – на этот раз мы подробно разберем задания ветки Reverse. Надеемся, вы уже разобрались с двумя заданиями из OSINT и готовы полностью погрузиться в процесс реверс-инжиниринга. Обещаем, будет интересно ;)

Это направление имело большую популярность среди участников — одно только задание на 100 решили 103 человека. Однако, таск на 1000 так и остался нерешенным. Поэтому, как и в случае с OSINT, райтап на самое сложное задание CTFzone будет опубликован несколько позже в отдельном посте. А сейчас бросайте все свои дела, и полный вперед!

Друзья, спасибо за проявленную активность в чате и по ссылке с заданиями – ваши заинтересованность и увлеченность мотивируют нас работать по 25 часов в сутки, и это не предел! В связи с увеличением нашего светового дня мы уже готовы представить вам следующую партию райтапов – на этот раз мы рассмотрим ветку OSINT.

Судя по количеству решенных заданий, данное направление оказалось довольно сложным и требовало проявления максимума изобретательности. Примечателен тот факт, что задание на 500 решили всего два человека, а с таском на 1000 справился только один участник. Поэтому в этой статье мы опубликуем решения только на два задания – на 300 и на 500 очков, а райтап на 1000 будет несколько позже в отдельном посте. Следите за обновлениями ;)

Прошло несколько дней после окончания CTFzone от компании BI.ZONE, а наши смартфоны до сих пор разрываются от уведомлений Telegram – чат с участниками битвы после конференции стал еще более оживленным. По отзывам игроков, многие задания CTFzone были очень нестандартными и действительно непростыми. Во время соревнования мы пообещали участникам, что, как только наши разработчики отоспятся и придут в себя, мы выложим райтапы для всех заданий в нашем блоге.

Начнем мы с направления Forensics, и в этой статье представляем вам решения на все таски – от задания на 50 до 1000. Мы знаем, что hackzard опередил нас и уже выложил райтапы к заданиям на 50 и 100, но с более крутыми тасками будет сложнее ;)

Продолжаем цикл статей, посвященный райтапу по CTFzone, который проходил 17 и 18 ноября в рамках ZeroNights2016 под флагом Bi.Zone. В этот раз мы поговорим о заданиях, выполнение которых приносило по 100 очков в пользу реальных хакеров!

Ну, что же, вот и завершился ZeroNights 2016. Хотелось бы поблагодарить организаторов данного мероприятия и всех её участников: за два дня прозвучало множество удивительных дайджестов, мы делали себе алкогольные коктейли, думали как взломать «умный дом», доказывали свой интеллект в викторинах и, разумеется, множество участников CTF попытались побороться за звания «лучших в своём деле» — одними из таких стали и мы. В связи с вышеизложенным, данный цикл статей посвятим райтапу по CTFzone.

За несколько недель перед стартом регистрации на CTF, организованный компанией BI.Zone, на различных информационных порталах был выложен анонс этого мероприятия.

Если посмотреть на анонс, например, на сайте ZN2016, то можно заметить некоторую странность в форматировании текста.

Capture Your Chance – регистрация на CTFzone от BI.ZONE объявляется открытой.

«Форензика вся? Где дескрипшн реверса на 100? Почему опять лагает регистрация?!» — в двадцатых числах октября подобные возгласы слышались с утра до вечера. Бессонные ночи, несколько чашек кофе каждое утро, стопки коробок из-под пиццы и пирамиды пустых банок энергетиков – так выглядела жизнь разработчиков компании BI.ZONE последние несколько месяцев. Никто не жалел себя, чтобы подготовить интереснейший ивент, проводимый в рамках международной конференции по кибербезопасности ZERONIGHTS 2016 – соревнование Capture the Flag (CTF) от компании BI.ZONE.

В рамках ZeroNights 2016 QIWI и системный интегратор «Информзащита» проведут CTF-баттл в формате Jeopardy.



Старт 17 ноября 2016 г. в 10:00 МСК. Призовой фонд за 1-3 места составит ₽150 тыс., ₽75 тыс. и ₽25 тыс. Для победы в турнире необходимо выполнить задания в категориях Reverse / PWN / Web / Crypto / Misc и набрать максимальное число баллов. Допускается решение заданий в произвольном порядке, стоимость решения зависит от сложности задачи. Приоритет – по времени выполнения. Возможен удаленный доступ к игровой сети[1], однако часть заданий реализована в офлайне и потребует присутствия участников в зоне QIWI на площадке ZeroNights.

«У QIWI есть успешный практический опыт участия в CTF и организации таких соревнований. Это очень удобный формат, и я уверен, что вместе с «Информзащитой» мы предложим интересную среду для обмена опытом и достойное вознаграждение победителям», — сказал CISO Группы QIWI Кирилл Ермаков isox.

Весной 2016 года состоялись соревнования по информационной безопасности в Новосибирске NSK CTF. Соревнования проводились два дня подряд, первый день отдан школьникам, второй — студентам. Всего участие приняло 162 человека, 19 школьных и 12 студенческих команд. К слову, с момента прошлых соревнований (статья о Sibsutis-CTF и видео о Sibsutis school CTF 2015) интерес к мероприятию только увеличивается, как увеличивается и уровень подготовки участников. Так ли всё просто?

Привет, Хабровчане! Надеюсь, многие из вас знают и посещают уютные хакерские конференции, форумы и митапы не только ради after-party, но и также для того, чтобы размять ум и смекалку на CTF (Capture The Flag). Организовывая мероприятие, в котором будет совмещено все вышеперечисленное, хотел бы поделиться опытом нашей команды по выбору платформы для СTF и собственно самой разработки.

CTF — соревнования, связанные с поиском уязвимостей и скрытых данных, которые условно разделяются на классические и тасковые. Классические соревнования еще называют Attack-Defence: суть в том, чтобы проанализировать образ системы, найти уязвимости, исправить их и проэксплуатировать на серверах других команд. Речь пойдет о тасковых заданиях.

В этом году главный хакерский конкурс PHDays сменил формат: мы отошли от привычного CTF. Вместо этого на форуме развернулась настоящая битва хакеров и безопасников. В этот раз сражались три команды: «хакеры», «защитники» и SOC (security operations centers). События на полигоне соревнования были максимально приближены к реальности. В распоряжении команд находилась эмуляция города, в котором есть банк, телеком-оператор, офис крупного холдинга, электроэнергетическая компания и другие объекты.

Инженер по защите информации телеком-оператора Андрей Дугин, участвовавший в CityF на стороне защиты, в своем блоге подробно описал ход соревнований и свои впечатления. С разрешения автора мы собрали все его публикации в один хабратопик.

7 июля в Санкт-Петербурге пройдет «очная ставка» NeoQUEST-2016 — увлекательное мероприятие для всех, кто занимается или хотел бы заниматься информационной безопасностью. Ждём всех: специалистов по информационной безопасности, разработчиков и администраторов, студентов и абитуриентов IT-специальностей, хакеров, гиков и всех-всех! Вход на NeoQUEST-2016 бесплатный, необходимо только зарегистрироваться на сайте мероприятия.

Гостей NeoQUEST-2016 ждут:

1. Увлекательные доклады о самом актуальном в информационной безопасности. Поговорим об особенностях создания и обнаружении ботов в социальных сетях, обсудим, как Intel SGX и Intel MPX делают жизнь разработчиков лучше… Или хуже? Расскажем, что интересного может узнать исследователь безопасности, путешествуя из Питера в Москву и обратно. Покажем, что мы «в тренде», рассказав о проблемах безопасности умной и модной носимой электроники. Не обойдем своим вниманием мобильные антивирусы и их недостатки, изучим Intel ME и многое многое другое.
2. Демонстрации атак и способов защиты от них. Покажем олдскульную атаку на Intel ME для чипсета Q35, продемонстрируем обход SSL Pinning, покажем уязвимость современных веб-браузеров к атаке «человек посередине» с использованием ключей с отозванными сертификатами, проведем атаку на «умные» часы — и это еще не всё!
3. Конкурсы, призы, общение. На протяжении всего дня в Twitter будет проводиться викторина «ЕГЭ по ИБ» с разнообразными заданиями на знание информационной безопасности и на смекалку. Помимо этого, гостей ждет множество реальных конкурсов, и, конечно же, призы!

Подробно о содержимом докладов NeoQUEST-2016 — под катом!

Пока продолжается регистрация на питерскую «очную ставку» NeoQUEST-2016, посетить которую может любой желающий, мы продолжаем разбирать задания online-этапа.

И на очереди задание «Эти горькие луковые слёзы», в котором участникам предстояло взломать скрытый сервис, расположенный в даркнете Onionland. Доступ к таким сервисам возможен только через сеть Tor и только по имени, но в остальном они ничем не отличаются от обычных сайтов. Было два принципиально разных способа решения задания:

• поиск уязвимости «вручную»;
• настройка сканера веб-уязвимостей для работы с .onion-сайтами.

Разбор обоих способов — под катом!

Продолжаем разбирать задания online-этапа NeoQUEST-2016 и готовимся к "очной ставке", куда приглашаем всех желающих! Вас ждут интересные доклады, демонстрации атак, конкурсы, призы и многое другое!

Редкий хак-квест обходится без криптографии, ну и NeoQUEST-2016 не стал исключением! В задании online-этапа наш выбор пал на криптосистему RSA, о безопасности которой можно говорить много и долго. В образовательно-познавательных целях, мы взяли не самую популярную атаку на RSA – атаку Хастада.

Кроме этого, мы порядком запутали участников, не предоставив им (на первый взгляд!) никаких исходных данных к заданию. О том, где нужно было искать, что делать с найденным и как реализовать атаку Хастада – читаем под катом!

Уже меньше месяца осталось до «очной ставки» NeoQUEST-2016. Она пройдет в Питере 7 июля, вход традиционно свободный, нужно лишь зарегистрироваться на сайте! Доклады, конкурсы, демонстрации атак, Twitter-викторина — все это (и не только!) ждет гостей мероприятия с 11:00 до 18:00 в КДЦ «Club House».

Тем временем подоспел разбор еще одного задания online-этапа NeoQUEST-2016, и в этот раз поговорим о SPARQL-инъекциях и о CSRF атаках через сообщения Telegram. Задание содержало в себе 3 разных ключа, один ключ получался с помощью SPARQL-инъекции в запросе ID пользователя, второй и третий ключи — с помощью инъекции и CSRF-атаки.

7 июля в Санкт-Петербурге пройдет «очная ставка» NeoQUEST-2016. Гостей ждут интересные доклады, конкурсы, общение с коллегами, а лучших участников online-этапа — восьмичасовое соревнование по кибербезопасности! В преддверии «очной ставки» продолжаем разбирать задания online-этапа, и на очереди — задание, посвященное не самому типичному способу использования компьютерной мышки.

Задумывались ли вы когда-нибудь о том, как работает оптическая мышка? Все просто: в нижней части расположена камера, быстро делающая снимки поверхности, по которой водят мышку. Сравнивая полученные изображения, контроллер мышки вычисляет смещение. Есть вопрос и поинтереснее: можно ли как-то достать изображение поверхности под мышкой? Спойлер: можно! Как это сделать, расскажем под катом!