Вчера прошел финал VolgaCTF. Наша команда на нём впервые, и нам понравилось. На соревнования из Санкт-Петербурга мы приехали вместе с LC↯BC.
Весь финал состоял из двух дней конференции и непосредственно соревнований. На конференции, помимо интересных практических докладов были и всякие представители государства — не очень полезно и интересно, зато смешно. Всё мероприятие проходило в гостинице Holiday Inn Самара, и выглядело довольно красиво.
Теперь непосредственно к соревнованиям. На финале было пять сервисов. Пойдем по сложности: cookbook был написан на Джаве, в нём были самые простые и очевидные уязвимости. С ним у нас связана веселая история: один из участников команды не смог залить исправленный сервис на вулнбокс и хостил его на компе, откатив патч path traversal при дебаге. Сейчас он меняет все ключи и пароли. Не надо так.
В нём же был странный IDOR, для эксплуатации которого каждый раунд перебирались 65536 айдишников, сильно нагружая вулнбокс.
enjoycasino был бинарём, ходил в MySQL и вообще был достаточно весёлым. Чего стоит только патч от оргов, опубликованный вместе с видеороликом, ссылку на который привести мы не можем в связи с законом о СМИ.
Сервис f был криптографическим, содержал одни линейные шифры, и, в общем-то, было не очень понятно, как его исправлять, ведь поменять криптографию было нельзя: чекер забирал зашифрованный текст. Короче, F. У него была и странная особенность: он форкался и при этом использовал SQLite.
hourglass — весёлый перловый сервис, который традиционно для данного языка программирования содержал RCE.
Наконец, claus был зашифрован, и, как я понял, никто его не расшифровал — поднимался он только у команды спикеров, которая написала подобие сервиса на основе дампа трафика.
Игра прошла достаточно хорошо: внутренняя сеть летала почти до самого конца, многие сервисы были хорошо написаны, жюрейка не лагала — нам даже удалось запустить рекламу на скорборде. Последний час скорборд был заморожен для сохранения интриги. Вместо этого мы кекали над гифками и усами оргов.
Из минусов можно отметить разве что постоянные падения интернета во второй половине игры и лаги сетки в самом конце.
Организационные мелочи тоже были: например, первый кофе-брейк поставили именно в момент выдачи паролей от образа, отвлекая участников в самый важный момент. При всём этом ещё и запретили проносить еду в зал, но это правило сразу же отменили под воздействием гражданского CTF-сообщества.
Однако, у нас всё было не так гладко — за 15 минут до открытия сети, например, наш хост для вулнбокса упал в BSoD. Да и после начала мы ещё два часа дебагали отправку флагов на борду.
В игре победила команда LC↯BC, с чем её и поздравляем :)
Подводя итог, можем сказать только одно: редакция Каппы рекомендует соревнование VolgaCTF в городе Самара.