[Информационная безопасность, Реверс-инжиниринг] CTF-соревнования 2020 для «белых хакеров». Старт регистрации участников
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В декабре OTUS при поддержке VolgaCTF и СTF.Moscow приглашает всех, кому близко направление ИБ, на онлайн-соревнования по поиску уязвимостей. Узнать подробнее и зарегистрироваться можно здесь. А пока рассказываем подробнее про формат и участие, а также вспоминаем, как прошло мероприятие в 2019 году.
Формат
Аббревиатура CTF расшифровывается как Capture the flag, захват флага. Существует 2 формата таких соревнований:
- Attack-defense, где команды получают свой сервер или сеть и должны обеспечивать их функционирование. Задача набрать как можно больше очков за защиту или украденную информацию («флаги») у команд-противников.
- Task-based, где каждый участник получает набор заданий и за отведенное время должен прислать решения. Ответ, он же флаг, может быть набором символов или фразой
.
Наши CTF-соревнования организованы в формате task-based.
Как это было в прошлом году?
В 2019 году участие приняло 217 человек. Участникам предстояло решить 9 заданий по три в каждом направлении: реверс-инжиниринг, пентест и безопасность Linux. На выполнение отводилось 5 часов.
У задач разный уровень сложности и, соответственно, стоимость в баллах. В прошлый раз только 40% из присланных ответов были засчитаны. Приводим примеры решения прошлогодних задач:
1. Реверс-инжиниринг
Задачи на декомпиляцию кода, восстановление логики программ, пользуясь исключительно низкоуровневым кодом, исследование работы мобильных приложений.
пример задания
Название: Bin
Баллы: 200
Описание:
В этот раз нам попался бинарный файл. Задача все та же, достать секретный пароль.
Вложение: task
Решение:
Дан бинарный файл. Загружаем в дизассемблер и видим шесть функций проверки, написанных на С++.
Они выполнены идентично и вызываются друг в друге, проверяя флаг по кусочкам из 5 элементов.
Поэтапно восстанавливаем с помощью информации из дизассемблера. Получаем флаг частями:
0) проверка длины
1) flag{
2) feefa
3) _172a
4) k14sc
5) _eee}
Объединяем и получаем флаг:
flag{feefa_172ak14sc_eee}
2. Пентест
Участники ищут уязвимости веб-сайтов методами тестирования на проникновение.
пример задания
Название: Databases
Баллы: 100
Описание: Сайт активно использует базы данных. Попробуй провести SQL-инъекции.
Ссылка на сайт: 193.41.142.9:8001/shop/login
Решение:
Идем в основной раздел магазина /shop/products/, потыкав в поле поиска, обнаруживаем sql-инъекцию.
Вводим 1" OR «1» = «1» —, листаем вниз и видим отсутствовавший ранее товар, флаг находится в его описании.
Flag: flag{5ql_1nject10n_15_t00_51mpl3_f0r_y0u}
3. Безопасность Linux + безопасность разработки
Задачи направлены на проверку корректности конфигурации серверов и поиск ошибок в разработке ПО.
пример задания
Название: Algo
Баллы: 50
Описание: У нас новая задача. Провести проверку safe development. Заказчик предоставил архив с открытой частью разрабатываемого сайта. Для проверки своего алгоритма хеширования он предоставил хеш: 666c61677b32646733326473323334327d. Проверь алгоритм на возможность обратного преобразования.
В архиве содержится исходный код части сайта.
Ссылка на сайт: 193.41.142.9:8002/
Вложение: task.7z
Решение:
В исходных кодах есть алгоритм хеширования паролей. На самом деле, это не алгоритм хеширования, а просто преобразование данных из строкового формата в шестнадцатеричный.
Используем Python:
import binascii binascii.unhexlify(«666c61677b32646733326473323334327d»)
Получаем флаг: flag{2dg32ds2342}
Посмотреть все задачи CTF-2019 вы можете здесь.
Что будет в этом году?
Мы добавили 4-ю дисциплину «Безопасность веб-приложений». За 6 часов участникам предстоит решить 12 заданий — по 3 в каждом направлении.
Сроки и призы
Соревнование пройдет 5 декабря с 10 до 16. В каждой из категорий: реверс-инжиниринг, пентест, безопасность Linux и безопасность веб-приложений — определяются свои победители.
Регистрация открыта до 4 декабря до 19:45
Главные призы — бесплатное обучение в OTUS на курсах по ИБ — достанутся тем, кто первым решит правильно все 3 задачи в одной из категорий. Тех, кто займет вторые и третьи места, ждут эксклюзивные скидки на обучение. И конечно, все участники получат новые знания, удовольствие от решения задач и бонусную скидку 10%.
8 и 10 декабря организаторы и преподаватели проведут специальные вебинары, где подведут итоги, разберут решения задач, а также расскажут подробнее о наших курсах.
Кто может стать участником CTF-соревнования?
Мероприятие открыто для каждого, кто в той или иной степени интересуется информационной безопасностью.
Хотите узнать больше? Тогда ждем вас на вводном вебинаре 3 декабря в 20:00, где мы расскажем обо всех условиях проведения и ответим на ваши вопросы. Записывайтесь, чтобы не пропустить трансляцию.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Python, Программирование, Машинное обучение, Искусственный интеллект] Deep Anomaly Detection
- [Информационная безопасность] (не) Безопасный дайджест: сливы COVID-пациентов и незваный гость на министерской встрече в Zoom
- [Java] Как Spring Data Jdbc соединяет таблицы
- [Информационная безопасность] Хакер продает доступ к учетным записям электронной почты сотен глав компаний
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Серверное администрирование] Как настроить SSH-Jump Server
- [Информационная безопасность] Что там с P2P-соцсетями: поиск альтернативных решений или еще одна мишень для регуляторов
- [Информационная безопасность, Законодательство в IT] Персональные данные 16 млн пациентов из Бразилии были скомпрометированы из-за таблицы с паролями, размещенной на GitHub
- [Информационная безопасность] Уязвимость Crosstalk
- [Информационная безопасность, IT-компании] Canon официально подтвердила факт атаки вируса-вымогателя на сервера компании
- [Информационная безопасность, *nix] Как *nix-сигналы позволяют читать память других процессов
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_reversinzhiniring (Реверс-инжиниринг), #_ctf, #_informatsionnaja_bezopasnost (информационная безопасность), #_haking (хакинг), #_blog_kompanii_otus._onlajnobrazovanie (
Блог компании OTUS. Онлайн-образование
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_reversinzhiniring (
Реверс-инжиниринг
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:19
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 В декабре OTUS при поддержке VolgaCTF и СTF.Moscow приглашает всех, кому близко направление ИБ, на онлайн-соревнования по поиску уязвимостей. Узнать подробнее и зарегистрироваться можно здесь. А пока рассказываем подробнее про формат и участие, а также вспоминаем, как прошло мероприятие в 2019 году. Формат Аббревиатура CTF расшифровывается как Capture the flag, захват флага. Существует 2 формата таких соревнований:
Наши CTF-соревнования организованы в формате task-based. Как это было в прошлом году? В 2019 году участие приняло 217 человек. Участникам предстояло решить 9 заданий по три в каждом направлении: реверс-инжиниринг, пентест и безопасность Linux. На выполнение отводилось 5 часов. У задач разный уровень сложности и, соответственно, стоимость в баллах. В прошлый раз только 40% из присланных ответов были засчитаны. Приводим примеры решения прошлогодних задач: 1. Реверс-инжиниринг Задачи на декомпиляцию кода, восстановление логики программ, пользуясь исключительно низкоуровневым кодом, исследование работы мобильных приложений. пример задания
Название: Bin Баллы: 200 Описание: В этот раз нам попался бинарный файл. Задача все та же, достать секретный пароль. Вложение: task Решение: Дан бинарный файл. Загружаем в дизассемблер и видим шесть функций проверки, написанных на С++. Они выполнены идентично и вызываются друг в друге, проверяя флаг по кусочкам из 5 элементов. Поэтапно восстанавливаем с помощью информации из дизассемблера. Получаем флаг частями: 0) проверка длины 1) flag{ 2) feefa 3) _172a 4) k14sc 5) _eee} Объединяем и получаем флаг: flag{feefa_172ak14sc_eee} 2. Пентест Участники ищут уязвимости веб-сайтов методами тестирования на проникновение. пример задания
Название: Databases Баллы: 100 Описание: Сайт активно использует базы данных. Попробуй провести SQL-инъекции. Ссылка на сайт: 193.41.142.9:8001/shop/login Решение: Идем в основной раздел магазина /shop/products/, потыкав в поле поиска, обнаруживаем sql-инъекцию. Вводим 1" OR «1» = «1» —, листаем вниз и видим отсутствовавший ранее товар, флаг находится в его описании. Flag: flag{5ql_1nject10n_15_t00_51mpl3_f0r_y0u} 3. Безопасность Linux + безопасность разработки Задачи направлены на проверку корректности конфигурации серверов и поиск ошибок в разработке ПО. пример задания
Название: Algo Баллы: 50 Описание: У нас новая задача. Провести проверку safe development. Заказчик предоставил архив с открытой частью разрабатываемого сайта. Для проверки своего алгоритма хеширования он предоставил хеш: 666c61677b32646733326473323334327d. Проверь алгоритм на возможность обратного преобразования. В архиве содержится исходный код части сайта. Ссылка на сайт: 193.41.142.9:8002/ Вложение: task.7z Решение: В исходных кодах есть алгоритм хеширования паролей. На самом деле, это не алгоритм хеширования, а просто преобразование данных из строкового формата в шестнадцатеричный. Используем Python: import binascii binascii.unhexlify(«666c61677b32646733326473323334327d») Получаем флаг: flag{2dg32ds2342} Посмотреть все задачи CTF-2019 вы можете здесь. Что будет в этом году? Мы добавили 4-ю дисциплину «Безопасность веб-приложений». За 6 часов участникам предстоит решить 12 заданий — по 3 в каждом направлении. Сроки и призы Соревнование пройдет 5 декабря с 10 до 16. В каждой из категорий: реверс-инжиниринг, пентест, безопасность Linux и безопасность веб-приложений — определяются свои победители. Регистрация открыта до 4 декабря до 19:45 Главные призы — бесплатное обучение в OTUS на курсах по ИБ — достанутся тем, кто первым решит правильно все 3 задачи в одной из категорий. Тех, кто займет вторые и третьи места, ждут эксклюзивные скидки на обучение. И конечно, все участники получат новые знания, удовольствие от решения задач и бонусную скидку 10%. 8 и 10 декабря организаторы и преподаватели проведут специальные вебинары, где подведут итоги, разберут решения задач, а также расскажут подробнее о наших курсах. Кто может стать участником CTF-соревнования? Мероприятие открыто для каждого, кто в той или иной степени интересуется информационной безопасностью. Хотите узнать больше? Тогда ждем вас на вводном вебинаре 3 декабря в 20:00, где мы расскажем обо всех условиях проведения и ответим на ваши вопросы. Записывайтесь, чтобы не пропустить трансляцию. =========== Источник: habr.com =========== Похожие новости:
Блог компании OTUS. Онлайн-образование ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_reversinzhiniring ( Реверс-инжиниринг ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:19
Часовой пояс: UTC + 5