CTF *

Уже 6-ый год HEX.TEAM является разработчиком финального этапа Национальной технологической Олимпиады по профилю ИБ. Финал ежегодно уже несколько лет подряд происходит на площадке НИЯУ МИФИ и длится целую неделю.
Наша команда разрабатывает задачи инженерного тура, разворачивает свою инфраструктуру и скоринговую платформу.

Кроме понятных любителям CTF задачек на веб-уязвимости, реверс-инжиниринг, бинарную эксплуатацию уязвимостей, программирование и криптографию, наши коллеги предлагают попробовать зарешать задачки максимально актуальные и приближенные к реальности, связанные с безопасностью аппаратных решений.

Так, в этом году старшеклассникам предлагалось

• Изучить головное устройство реального автомобиля и воспользоваться уязвимостью для осуществления дефейса главной панели.

• Решить задачку на поиск скрытого канала утечки информации.

• Исследовать кейс с особенностью работы устройств умного дома и "проникнуть" в "дом", не оставив при этом цифровых следов.

• Вмешаться в работу промышленного контроллера заводского сортировщика.

• Провести разведку по открытым источникам и обойти чат-бота с искусственным интеллектом.

• Внедриться в работу оборудования промышленного объекта.

Участникам было важно понимать принципы решения каждой задачи, однако параллельно разрешалось применять бесплатные нейросети.
Некоторые задания были составлены таким образом, что решить их без помощи нейросетей оказалось практически невозможно.
Проверка уровня понимания осуществлялась посредством индивидуального интервью с экспертами жюри.

Показательно, что по итогам собеседования нередко приходилось снижать или даже обнулять баллы за решения, т.к. получали ответа вида "нейросеть решила", а далее участник затруднялся пояснить логику решения.
Нам бы хотелось, чтобы участники понимали, какие возможности и вызовы стоят перед мировым сообществом.
Важное наблюдение было озвучено одним из экспертов в заключительной речи на награждении:

C начинающими специалистам ИИ может сыграть злую шутку: злоупотребляя его применением, есть риск замедления развития и профессионального роста. При этом крутому эксперту ИИ хороший помощник и ускоряет достижение результатов.

Поэтому,как всегда, возвращаемся к мысли о важности соблюдения баланса и человеческого контроля...

В этом году погрузились в мир ИБ около 100 школьников.
Желаем им развития на профессиональном пути!

В апреле встречаемся на Alfa CTF!

Пока другие складывают доски, мы запускаем следующий сезон Capture the Flag. Волны принесут новый формат. Что будем делать:

🔴 Исследовать системы и искать флаги
🔴 Решать задачи разного уровня: для профи, новичков и даже школьников (от 14 лет)
🔴 Соревноваться в мастерстве поиска уязвимостей

Скоро расскажем подробно про формат нового запуска: точно будет интересно! Занимайте в своём календаре дату 25 апреля — и регистрируйтесь на нашем сайте.

Приглашаем на Alfa CTF 2025, соревнование по спортивному хакингу

Альфа-Банк приглашает специалистов и студентов в области информационной безопасности принять участие в соревновании по спортивному хакингу Alfa CTF, которое пройдет 13–14 сентября 2025 года в 2-х форматах: онлайн или офлайн по дополнительной регистрации в IT-хабах Москвы, Санкт-Петербурга и Екатеринбурга

Участники будут соревноваться в формате Capture The Flag (CTF), решая практические задачи на поиск уязвимостей и эксплуатацию различных сценариев атак. Призовой фонд — 3 100 000 рублей. Максимальный приз для одной команды — до 450 000 рублей.

Участники могут выбрать один из трех треков:

⚡️IT-трек — для ИТ-специалистов, кроме тех, кто работает в кибербезопасности, разработке ИБ-продуктов или уже 5 раз участвовал в соревнованиях формата CTF. Команда: 1–4 человека.

⚡️Студенческий трек — для учащихся вузов и колледжей 18–25 лет, кроме обучающихся на группе направлений «10.00.00 Информационная безопасность» и тех, кто уже 5 раз участвовал в соревнованиях формата CTF. Команда: 1–4 человека.

⚡️CTF-трек — для специалистов по ИБ и опытных CTF-игроков. Размер команды не ограничен. Этот трек открыт для всех, кто готов к сложным заданиям.

Для участия необходимо зарегистрироваться на соревнование по ссылке, определиться с форматом участия — индивидуально или командой (если вы не можете найти напарников, мы вам поможем и объединим с другими игроками), выбрать соответствующий трек и участвовать в решении задач в течение двух дней соревнования.

Алоха! Ловите хакинговую волну

И участвуйте в соревновании по спортивному хакингу с призовым фондом в 3 100 000 рублей.

Если вы готовы решать таски и искать флаги — регистрируйтесь на первое соревнование по спортивному хакингу Capture The Flag (CTF) от Альфа-Банка!

Это соревнование по спортивному хакингу, где вам предстоит решать таски на поиск уязвимостей в системах. Призовой фонд: 3 100 000 рублей, на команду можно получить до 450 000!

Alfa CTF пройдет с 13 по 14 сентября в 2-х форматах: онлайн или офлайн по дополнительной регистрации в IT-хабах Москвы, Санкт-Петербурга и Екатеринбурга

Что нужно сделать:

⚡️ Собрать команду или подготовиться к игре в соло (если вы не можете найти напарников, мы вам поможем и объединим с другими игроками)

⚡️ Зарегистрироваться на соревнование

⚡️ Выбрать один из 3 треков (для IT-специалистов, для профи или для студентов)

⚡️ Решить как можно больше тасков 13-14 сентября

Ждём вас — будем вместе сёрфить на CTF!

Задача о поиске флага на видеосервере

Эта задача для тех, кто любит сложности и не боится искать верное решение, перебирая разные подходы. И особенно полезна тем, кто готовится к CTF-турнирам. Мы подготовили ее по следам соревнования Selectel для специалистов по информационной безопасности.

Условие
На видеосервере находятся очень ценные изображения, но для их просмотра необходимо пройти авторизацию! А для этого вам понадобится флаг — строка в формате slcctf{}.

Задача
Найдите флаг. Чтобы выполнить задание, перейдите на страницу http://watcher.slcctf.fun/.

Предлагайте свое решение в комментариях или подсмотрите его в Академии Selectel.

Задача об анализе адреса

Задание будет интересно всем, кто любит CTF-турниры или просто не боится вызовов. Особенно — новичкам или опытным специалистам по информационной безопасности.

Условие
Вы — участник CTF-турнира. Ваша задача — как можно быстрее найти флаг.
Что известно: флаг находится на нестандартном порту сервера. Чтобы его получить, необходимо проанализировать адрес 79.141.77.70.

Задача
Найдите флаг — строку в формате slcctf{}.

Предлагайте свое решение в комментариях. Подсмотреть его можно в Академии Selectel.

Задача об анализе ответа сервера

Задача подойдет начинающим специалистам по информационной безопасности, а также всем, кто любит CTF-турниры или только готовится к участию в этих соревнованиях.

Условие
На веб-сервере спрятан флаг. Отправьте правильный запрос, чтобы получить к нему доступ. Будьте внимательны при анализе ответа.

Задача
Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://attention.slcctf.fun/.

Делитесь решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.

Задача о поиске флага в журналах системы

Несложная задача с CTF-турнира. Будет интересна всем, кто интересуется информационной безопасностью.

Условие
Представьте, что вы — дежурный инженер. Вместе с коллегами вы ежедневно фиксируете состояние информационной системы в специальном журнале. Этот документ помогает определять угрозы и вовремя на них реагировать.

Однажды ваши коллеги рассказали, что где-то на странице журнала находится флаг. Но вот где именно — не раскрыли. Попробуйте найти этот флаг без подсказок коллег.

Задача
Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://findme.slcctf.fun/.

Делитесь своим решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.

Как автоматизировать распознавание текста с изображений?

В открытых источниках часто встречаются изображения с ценным текстом — скриншоты рабочих столов и приложений, фотографии таблиц, чеков, рукописных заметок и т.д. Сбор обычного текста автоматизировать легко, но с текстом на картинках начинаются сложности.

Раньше в моём арсенале был только pytesseract (Python-библиотека для распознавания текста). Она работала, но с серьёзными ограничениями:
➖Плохо справлялась с разными шрифтами
➖Теряла точность на низкокачественных изображениях
➖Путала языки, если текст был мультиязычным

Сейчас появились LLM-модели, которые справляются с этой задачей гораздо лучше, но если у вас нет мощного железа, запустить их локально не получится.

В профильных каналах регулярно пишут: «Вышла модель Х, которая показывает отличные результаты. OSINT-еры больше не нужны!», но никто не дает гайдов, как с этими моделями работать. Сегодня я это исправлю.

Обзор моделей для OCR
Прошерстив не один десяток источников, я выделил две наиболее популярные на текущий момент модели:
1️⃣ GPT-4 mini — высокая точность, но платная.
2️⃣ Google Gemini 2.0 Flash — высокая точность + бесплатный лимит.

Выбор без раздумий пал на Gemini. На момент публикации бесплатные лимиты от Google следующие:
✔️ 15 запросов в минуту
✔️ 1 млн токенов в минуту (ввод + вывод)
✔️ 1 500 запросов в сутки

Как взаимодействовать с Gemini?
1️⃣ Получаем API-ключ в Google AI Studio
2️⃣ Через API отправляем изображение в base64 + промпт
3️⃣ Получаем распознанный текст в ответе

Но есть важный нюанс: сервис не работает с российскими IP

Что делать, если Gemini недоступна?
Если у вас по какой-то причине нет возможности получить доступ к серверам Google AI Studio, то можно воспользоваться сервисами, которые предоставляют доступ к различным open-source моделям. Например, DeepInfra.
Плюсы:
✔️ Нет блокировок по геолокации
✔️ Гибкая тарификация
Минусы:
✖️ Нет бесплатного тарифа

Примеры скриптов выложил на github (https://github.com/vmtest439/britalb_ocr)

Если вам понравился пост и вы хотите читать больше подобного контента, то можете подписаться на мой авторский Telegram-канал BritLab!

Попробуйте себя в роли этичного хакера на T-CTF 2025

19—20 апреля встречаемся на T-CTF — соревнованиях по кибербезопасности. Вас ждут увлекательные задачи из мира информационной безопасности. Лучшие игроки получат шанс выиграть призы — до 420 000 ₽ на команду.

В этом году игроки перенесутся в Капибаровск. В городе все завязано на технологиях, но из-за лапок капибар инфраструктура постоянно выходит из строя: на Капибарже путают грузы, а в бизнес-центре ломаются лифты. Мы ищем неравнодушных героев — тех, кто сможет помочь капибарам укрепить безопасность города.

• Приглашаем скилловых ИТ-специалистов из разных сфер. На соревнованиях будет две лиги: Лига безопасности для опытных игроков и Лига разработки для тех, кто еще ни разу не участвовал в СTF. Ждем backend- и frontend-разработчиков, аналитиков, SRE- и QA-инженеров и других специалистов, которые хорошо разбираются в коде.

• Участвуйте онлайн или приходите на офлайн-площадки в шести городах России. Для тех, кто хочет погрузиться в атмосферу ИТ-хабов Т-Банка, мы подготовили площадки в Москве, Санкт-Петербурге, Казани, Иннополисе, Екатеринбурге и Новосибирске. На них вас будут ждать рабочие места для выполнения заданий, зоны для отдыха и нетворкинга, вкусная еда и напитки. 

• В T-CTF участвуют командами — если у вас ее нет, мы поможем найти. После регистрации присоединяйтесь к чату в Телеграме: в нем будут единомышленники, которые тоже ищут команду. Еще есть телеграм-бот, где можно посмотреть анкеты участников и объединиться с желающими. В одной команде может быть от одного до трех человек. Чем больше команда, тем выше шансы на победу.

Выбирайте лигу по скиллам, отправляйте заявку и собирайте команду! Регистрация открыта до 18 апреля 23:59.

Зарегистрироваться

CTF-турнир Selectel стартовал!

Первое задание нашего онлайн-соревнования уже доступно для выполнения. Успейте завершить его до 23:59 сегодняшнего дня (по московскому времени). Это вполне реально. По нашим оценкам, вы потратите от 5 до 30 минут.

Если вы спросите, где же ссылка на сам турнир, то вот она.

Заполните форму на сайте, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых — мерч Selectel, печатный комикс «Мультихакер» и не только.

Вирус получил доступ к системе — сможете его остановить? Участвуйте в CTF-турнире от Selectel

С 17 по 21 марта проведем онлайн-соревнование по ИБ, где участникам нужно искать и захватывать «флаги». Последние находятся на преднамеренно уязвимых страницах, в строках кода, URL-адресе и других неочевидных местах.

Регистрируйтесь, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых —мерч Selectel, печатный комикс «Мультихакер» и не только.

Задача о поиске секретной службы

Задача подойдет для специалистов по информационной безопасности и всех, кто интересуется CTF-турнирами.

Условие

Вы давно ищете путь к секретной службе. И вот, наконец, вам удалось перехватить трафик, в котором должен быть ключ к получению ее адреса. Разберите дамп и следуйте верным маршрутом.

Задача

Найдите флаг — строку в формате slcctf{}. 

Чтобы выполнить задание, перейдите на страницу Secret Service и скачайте файл dump.pcap.

Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. А если потребует помощь, ищите ответ в Академии Selectel.

Задача об игре в ветреную погоду

Условие

Добро пожаловать в тир. Здесь игрок, попавший стрелой в центр мишени, может получить награду. Но будьте терпеливы, ведь сегодня ветрено, и стрелу сдувает!

Управлять луком можно с помощью кнопок на сайте или с помощью клавиатуры: кнопками вправо, влево и Enter.

Задача

Перейдите в тир и найдите флаг — строку в формате slcctf{}.

Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. Если трудновато — заглядывайте в Академию Selectel, там найдете пошаговое решение задачи.

Сможете попасть на закрытую вечеринку для специалистов по ИБ?

Попробуйте решить простую задачу с CTF-турнира. Найдите флаг — приглашение на вечеринку.

CTF (Сapture the Flag) — это онлайн-соревнования, на которых участникам нужно первым захватить «флаг».

Условие

На сайте для специалистов по информационной безопасности скоро начнется вечеринка Cyberparty. Но чтобы на нее попасть, требуется достать приглашение — строку в виде slcctf{}.

Не опоздайте, пунш-масла на всех не хватит!

Задача

Найдите флаг — строку в формате slcctf{}.

Если будет сложно, заглядывайте в Академию Selectel — показываем там пошаговое решение задачи.

Ответ на задачу про следы взлома в дампе трафика

Привет, Хабр! Помните задачу о взломе, которую подготовил наш специалист по информационной безопасности? Как и обещали, показываем верные ответы.

Напомним, что в ней было:

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Верные ответы

↓

↓

↓

↓

На каких портах отвечают web-приложения?

80/TCP, 5000/TCP

Какая нагрузка в SQL-инъекции использована для обхода авторизации в первом web-приложении?

‘ or 1 -- -

Какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором web-приложении

Man%27+union+select+1%2Cuser%28%29%2Cdatabase%28%29%2C%28select+GROUP_CONCAT%28login%2C+%27%5Cn%27%2C+password%2C+%27%5Cn%27%29+from+users%29%2C5%2C6%2C7+--+-

Решение задач каких известных приложений отражено в дампе?

bWAPP, OWASP JuiceShop

Интересно, как решить задачу? Показываем пошаговое решение в Академии Selectel.

Задача почти как на CTF-турнире: найдите следы взлома в дампе трафика

Почувствуйте себя участником CTF-турнира. Попробуйте решить задачу от специалиста по информационной безопасности Selectel.

Условие

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Задача

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Делитесь в комментариях своими вариантами, а мы 27 апреля добавим пост с верным ответом.

Если не хочется ждать, заглядывайте в Академию Selectel. Там пошагово разбираем задачу и показываем решение.

Читайте также

• Самые интересные задачи для безопасников — Джабба одобряет

• Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти

• Безопасность в Docker: от правильной настройки хоста до демона