去年12月,OTUS在VolgaCTF和CTF.Moscow的支持下,邀请所有接近信息安全的人参加在线竞赛,以发现漏洞。了解更多信息并在这里注册。同时,我们将向您详细介绍活动的形式和参与方式,并记住该活动在2019年的进行情况。
格式
缩写CTF代表捕获标志。此类比赛有2种格式:
- 攻击防御,团队可以在其中获得服务器或网络,并且必须确保其正常运行。任务是为对方的防御或被盗信息(“旗帜”)尽可能多地得分。
- 基于任务的,每个参与者都接收一组任务,并且必须在分配的时间内发送解决方案。答案(也称为标记)可以是字符集或短语。
我们的CTF竞赛以基于任务的形式组织。
去年过得怎么样?
2019年有217人参加。参与者必须解决9个任务,每个方向三个:逆向工程,渗透测试和Linux安全性。花了5个小时才完成。
任务具有不同的难度级别,因此成本也不同。上一次,仅发送了40%的答案。我们举例说明解决去年的任务:
1.逆向工程
代码反编译任务,仅使用低级代码恢复程序逻辑,研究移动应用程序的操作。
任务的示例
名称:Bin
点:200
说明:
这次我们遇到了一个二进制文件。获取秘密密码的任务是相同的。
附件:任务
解决方案:
给定一个二进制文件。将其加载到反汇编程序中,并查看用C ++编写的六个测试函数。
它们的制作方法相同,彼此调用,以5个元素为单位检查标志。
我们使用反汇编程序中的信息逐步还原。我们分部分接收标志:
0)检查长度
1)标志{
2)Feefa
3)_172a
4)k14sc
5)_eee}
组合并获得标志:
标志{feefa_172ak14sc_eee}
2.渗透测试
参与者使用渗透测试方法搜索网站中的漏洞。
任务
名称示例:数据库
点数:100
说明:该站点正在使用数据库。尝试SQL注入。
链接到该站点:193.41.142.9:8001 / shop / login
解决方案:
转到store / shop / products /的主要部分,进入搜索字段,我们找到一个sql注入。
输入1“ OR” 1“ =” 1“-,向下滚动以查看先前不存在的产品,该标志在其描述中。
标志:标志{5ql_1nject10n_15_t00_51mpl3_f0r_y0u}
3. Linux安全性+开发安全性
这些任务旨在检查服务器配置的正确性并发现软件开发中的错误。
: Algo
: 50
: . safe development. . : 666c61677b32646733326473323334327d. .
.
: 193.41.142.9:8002/
: task.7z
:
. , , .
Python:
导入binascii binascii.unhexlify(“ 666c61677b32646733326473323334327d”)
我们得到标志:标志{2dg32ds2342}
您可以在此处查看CTF-2019的所有任务。
今年会怎样?
我们添加了第四个准则“ Web应用程序安全性”。在6个小时内,参与者必须解决12个任务-每个方向3个。
日期和奖品
比赛将于12月5日上午10点至16点举行。在每个类别中:逆向工程,渗透测试,Linux安全性和Web应用程序安全性,将确定获奖者。
报名截止至12月4日至晚上7:45
。主要奖项-信息安全OTUS课程的免费培训-将颁发给那些谁能首先正确解决其中一个类别的所有三个问题。那些获得第二和第三名的人将获得学费的独家折扣。当然,所有参与者都将获得新知识,解决问题的乐趣以及10%的奖金折扣。
12月8日至10日,组织者和老师将举行特别的网络研讨会,他们将在其中总结,分析问题解决方案,并向您详细介绍我们的课程。
谁可以参加CTF比赛?
该活动向对信息安全或多或少感兴趣的所有人开放。
想知道更多?然后,我们将在12月3日20:00举行的介绍性网络研讨会上等您,我们将在此向您介绍举办的所有条件并回答您的问题。注册以便不要错过广播。