Competição CTF 2020 para "hackers brancos". Cadastro de participantes








Em dezembro, a OTUS, com o apoio da VolgaCTF e CTF.Moscow, convida todos os que estão perto da segurança da informação para uma competição online para encontrar vulnerabilidades. Saiba mais e cadastre-se aqui . Enquanto isso, falaremos mais sobre o formato e a participação, além de lembrar como foi o evento em 2019.






Formato



A abreviatura CTF significa Capture the flag. Existem 2 formatos para tais competições:



  1. Ataque-defesa , onde as equipes obtêm seu servidor ou rede e devem garantir seu funcionamento. A tarefa é marcar tantos pontos quanto possível para defesa ou informações roubadas ("bandeiras") das equipes adversárias.
  2. Baseado em tarefas , onde cada participante recebe um conjunto de tarefas e deve enviar soluções dentro do prazo estipulado. A resposta, também conhecida como bandeira, pode ser um conjunto de caracteres ou uma frase.


Nossas competições CTF são organizadas em um formato baseado em tarefas .



Como foi ano passado



Em 2019, participaram 217 pessoas. Os participantes tiveram que resolver 9 tarefas, três em cada direção: engenharia reversa, teste de penetração e segurança Linux. Demorou 5 horas para ser concluído.



As tarefas possuem diferentes níveis de dificuldade e, consequentemente, o custo em pontos. Da última vez, apenas 40% das respostas enviadas foram aceitas. Damos exemplos de como resolver as tarefas do ano passado:



1. Engenharia reversa



Tarefas de descompilação de código, restauração da lógica do programa usando exclusivamente código de baixo nível, pesquisa de funcionamento de aplicativos móveis.



exemplo da tarefa



Nome: Bin

Points: 200



Descrição:

Desta vez, encontramos um arquivo binário. A tarefa é a mesma, obter a senha secreta.

Anexo: tarefa



Solução:

Dado um arquivo binário. Carregue-o no desmontador e veja seis funções de verificação escritas em C ++.



São feitos de forma idêntica e são chamados uns nos outros, conferindo a bandeira em pedaços de 5 elementos.



Restauramos passo a passo usando informações do desmontador. Recebemos o sinalizador em partes:



0) verifique o comprimento

1) sinalizador {

2) feefa

3) _172a

4) k14sc

5) _eee}



Combine e obtenha o sinalizador:



sinalizador {feefa_172ak14sc_eee}


2. Pentest



Os participantes procuram vulnerabilidades em sites usando métodos de teste de penetração.



exemplo de tarefa



Nome: Bancos de dados

Pontos: 100



Descrição: O site está usando bancos de dados ativamente. Experimente SQL Injection.

Link para o site: 193.41.142.9 : 8001 / shop / login



Solução:

Vá para a seção principal da loja / shop / products /, cutucando o campo de pesquisa, encontramos uma injeção de sql.



Insira 1 "OU" 1 "=" 1 "-, role para baixo e veja o produto ausente anteriormente, o sinalizador está em sua descrição.



Sinalizador: sinalizador {5ql_1nject10n_15_t00_51mpl3_f0r_y0u}




3. Segurança Linux + segurança de desenvolvimento



As tarefas têm como objetivo verificar a exatidão da configuração do servidor e encontrar erros no desenvolvimento de software.







: Algo

: 50



: . safe development. . : 666c61677b32646733326473323334327d. .



.

: 193.41.142.9:8002/

: task.7z



:

. , , .



Python:



import binascii binascii.unhexlify ("666c61677b32646733326473323334327d")



Recebemos o sinalizador: sinalizador {2dg32ds2342}




Você pode ver todas as tarefas do CTF-2019 aqui .



O que vai acontecer este ano?



Adicionamos a 4ª disciplina "Segurança de Aplicativos Web". Durante 6 horas, os participantes terão que resolver 12 tarefas - 3 em cada direção.



Datas e prêmios



A competição acontecerá no dia 5 de dezembro, das 10h às 16h. Em cada uma das categorias: engenharia reversa, teste de penetração, segurança Linux e segurança de aplicativos web, os vencedores são determinados.



As inscrições



vão até o dia 4 de dezembro às 19h45. Os principais prêmios - treinamento gratuito nos cursos OTUS em segurança da informação - vão para aqueles que forem os primeiros a resolver todos os 3 problemas corretamente em uma das categorias. Os segundo e terceiro colocados receberão descontos exclusivos nas mensalidades. E claro, todos os participantes receberão novos conhecimentos, prazer em solucionar problemas e um desconto de bônus de 10%.



Nos dias 8 e 10 de dezembro, os organizadores e professores realizarão webinars especiais, onde farão um resumo dos resultados, analisarão as soluções de problemas e também falarão mais sobre nossos cursos.



Quem pode participar da competição CTF?



O evento é aberto a todos os que têm mais ou menos interesse em segurança da informação.



Quer saber mais? Então, estamos esperando por você no webinar introdutório no dia 3 de dezembro às 20h, onde iremos informá-lo sobre todas as condições da holding e responderemos às suas perguntas. Inscreva-se para não perder a transmissão .



All Articles