En décembre, OTUS, avec le soutien de VolgaCTF et de CTF.Moscow, invite tous ceux qui sont proches de la sécurité de l'information à un concours en ligne pour trouver des vulnérabilités. Apprenez-en plus et inscrivez-vous ici . En attendant, nous vous en dirons plus sur le format et la participation, et nous nous souviendrons également du déroulement de l'événement en 2019.
Format
L'abréviation CTF signifie Capturer le drapeau. Il existe 2 formats de ces compétitions:
- Attaque-défense , où les équipes obtiennent leur serveur ou réseau et doivent assurer leur fonctionnement. La tâche est de marquer autant de points que possible pour la défense ou les informations volées («drapeaux») des équipes adverses.
- Basé sur les tâches , où chaque participant reçoit un ensemble de tâches et doit envoyer des solutions dans le temps imparti. La réponse, aka un drapeau, peut être un jeu de caractères ou une phrase.
Nos concours de la FCE sont organisés selon un format basé sur les tâches .
Comment était-ce l'année dernière?
En 2019, 217 personnes y ont participé. Les participants ont dû résoudre 9 tâches, trois dans chaque sens: la rétro-ingénierie, les tests de pénétration et la sécurité Linux. Il a fallu 5 heures pour terminer.
Les tâches ont différents niveaux de difficulté et, par conséquent, le coût en points. La dernière fois, seulement 40% des réponses envoyées ont été acceptées. Nous donnons des exemples de résolution des tâches de l'année dernière:
1. Rétro-ingénierie
Tâches pour décompiler le code, restaurer la logique du programme en utilisant exclusivement du code de bas niveau, rechercher le fonctionnement des applications mobiles.
exemple de la tâche
Nom: Bin
Points: 200
Description:
Cette fois, nous sommes tombés sur un fichier binaire. La tâche est la même, pour obtenir le mot de passe secret.
Pièce jointe: tâche
Solution:
Étant donné un fichier binaire. Chargez-le dans le désassembleur et voyez six fonctions de test écrites en C ++.
Ils sont fabriqués à l'identique et s'appellent l'un dans l'autre, vérifiant le drapeau en morceaux de 5 éléments.
Nous restaurons étape par étape en utilisant les informations du désassembleur. Nous recevons le drapeau en plusieurs parties:
0) vérifiez la longueur
1) flag {
2) feefa
3) _172a
4) k14sc
5) _eee}
Combinez et obtenez le drapeau:
flag {feefa_172ak14sc_eee}
2. Pentest
Les participants recherchent des vulnérabilités dans les sites Web à l'aide de méthodes de test de pénétration.
exemple de tâche
Nom: Bases de données
Points: 100
Description: Le site utilise activement des bases de données. Essayez SQL Injection.
Lien vers le site: 193.41.142.9 : 8001 / shop / login
Solution:
Allez dans la section principale du magasin / boutique / produits /, en poussant dans le champ de recherche, nous trouvons une injection sql.
Entrez 1 "OU" 1 "=" 1 "-, faites défiler vers le bas et voyez le produit précédemment absent, le drapeau est dans sa description.
Drapeau: drapeau {5ql_1nject10n_15_t00_51mpl3_f0r_y0u}
3. Sécurité Linux + sécurité du développement
Les tâches visent à vérifier l'exactitude de la configuration du serveur et à trouver des erreurs dans le développement logiciel.
: Algo
: 50
: . safe development. . : 666c61677b32646733326473323334327d. .
.
: 193.41.142.9:8002/
: task.7z
:
. , , .
Python:
import binascii binascii.unhexlify ("666c61677b32646733326473323334327d")
Nous obtenons le drapeau: flag {2dg32ds2342}
Vous pouvez voir toutes les tâches du CTF-2019 ici .
Que va-t-il se passer cette année?
Nous avons ajouté la 4ème discipline "Web Application Security". Pendant 6 heures, les participants devront résoudre 12 tâches - 3 dans chaque direction.
Dates et prix
Le concours se déroulera le 5 décembre de 10 h à 16 h. Dans chacune des catégories: rétro-ingénierie, tests de pénétration, sécurité Linux et sécurité des applications Web, les gagnants sont déterminés.
L'inscription est ouverte jusqu'au 4 décembre jusqu'à 19 h 45.
Les principaux prix - une formation gratuite aux cours OTUS sur la sécurité de l'information - iront à ceux qui sont les premiers à résoudre correctement les 3 problèmes dans l'une des catégories. Ceux qui occupent les deuxième et troisième places bénéficieront de réductions exclusives sur les frais de scolarité. Et bien sûr, tous les participants recevront de nouvelles connaissances, du plaisir à résoudre des problèmes et un bonus de 10%.
Les 8 et 10 décembre, les organisateurs et les enseignants organiseront des webinaires spéciaux, où ils résumeront les résultats, analyseront les solutions aux problèmes et vous en diront plus sur nos cours.
Qui peut participer au concours de la FCE?
L'événement est ouvert à tous ceux qui s'intéressent plus ou moins à la sécurité de l'information.
Veut en savoir plus? Ensuite, nous vous attendons au webinaire d'introduction le 3 décembre à 20h00, où nous vous informerons de toutes les conditions de la tenue et répondrons à vos questions. Inscrivez-vous pour ne pas manquer la diffusion .