Добавить в корзинуПозвонить
Найти в Дзене
ACISO CTF
87 подписчиков

BRICS+ CTF 2023: итоги

95
3 мин
Осенью 2023 года состоялось международное соревнование BRICS+ Capture The Flag. Организаторами мероприятия выступили Ассоциация руководителей служб информационной безопасности (АРСИБ), ВОД “Наставники России”, Университет ИТМО. Разработкой заданий занималась команда C4T BuT S4D. Финал мероприятия был приурочен к V Международному муниципальному форуму БРИКС+. Турнир проходил в два этапа: открытый отборочный тур для всех желающих команд и финал, в который вышли по 3 команды от каждой страны БРИКС и 10 международных команд. Оба этапа проходили онлайн. Отборочный этап Квалификационный раунд состоялся 24-25 сентября в формате Task-Based. Всего на турнире было зарегистрировано 992 команды из 91 страны, однако с ненулевым результатом соревнование завершили всего 150 команд. За 24 часа чемпионата участники должны были решить 20 заданий: по 4 таска на криптографию, реверс и веб, 3 pwn и ppc и 2 задания на форензику. Но из 20 заданий к концу ивента было решено всего 13: самым популярным таском о
Оглавление

Осенью 2023 года состоялось международное соревнование BRICS+ Capture The Flag. Организаторами мероприятия выступили Ассоциация руководителей служб информационной безопасности (АРСИБ), ВОД “Наставники России”, Университет ИТМО. Разработкой заданий занималась команда C4T BuT S4D. Финал мероприятия был приурочен к V Международному муниципальному форуму БРИКС+.

Турнир проходил в два этапа: открытый отборочный тур для всех желающих команд и финал, в который вышли по 3 команды от каждой страны БРИКС и 10 международных команд. Оба этапа проходили онлайн.

Отборочный этап

Квалификационный раунд состоялся 24-25 сентября в формате Task-Based.

Всего на турнире было зарегистрировано 992 команды из 91 страны, однако с ненулевым результатом соревнование завершили всего 150 команд.

-2

За 24 часа чемпионата участники должны были решить 20 заданий: по 4 таска на криптографию, реверс и веб, 3 pwn и ppc и 2 задания на форензику. Но из 20 заданий к концу ивента было решено всего 13: самым популярным таском оказался веб ChadGPT – его решила 141 команда.

Первое место и специальный приз – проходку на финал китайского соревнования XCTF – завоевала международная команда Project Sekai.

-3

Скорборд согласно игровому рейтингу:

-4

Итоговый состав команд-финалистов согласно квотам по странам:

– BRICS quota:

  1. SPRUSH – Россия
  2. Bushwhackers – Россия
  3. smiley-from-telega – Россия
  4. Hack South – ЮАР
  5. r3kapig – Китай
  6. S1uM4i – Китай
  7. Redbud – Китай
  8. Ganesh – Бразилия
  9. hopper – Индия
  10. newbie69 – Индия
  11. avrrop – Индия

– International teams:

  1. Project Sekai
  2. thehackerscrew
  3. adragos
  4. 796f75
  5. Polaris
  6. winger
  7. noname
  8. kks
  9. Weak But Leet
  10. AAA
  11. El3ctronic
  12. Phish Paprikaš
  13. Arr3stY0u
  14. Red Cadets

Репозиторий этапа: https://github.com/C4T-BuT-S4D/bricsctf-2023-stage1

Финальный этап

Соревнования проходили 11 ноября онлайн в формате Attack/Defense. Турнир длился 8 часов, в нем приняли участие 18 команд (из 25, прошедших в финальный тур).

Во время соревнования участники решали 4 сервиса:

notify – сервис создания уведомлений, которые отсылаются по электронной почте. Можно зарегистрироваться или войти в свой аккаунт, после чего создавать уведомления с различными настройками (тема, содержимое, время отправки, количество повторений). Для получения уведомлений дополнительно запускался почтовый сервер с открытым портом IMAP, куда пользователи сервиса могли войти и читать отправленные им уведомления. Уязвимость – CRLF-инъекция в модуль отправки уведомлений, за счёт которой имеется возможность добавлять себя в получатели чужих уведомлений.

leakless – сервис для дисклоуза юридических документов с проверкой возможности раскрытия чувствительной информации компаний (которая и является секретом с флагом). Уязвимость – отсутствие рандома при генерации одной из констант полиномиального хэша, который используется для проверки чувствительной информации.

notes – сервис с заметками, которыми можно делиться между пользователями, либо создать приватную заметку, которая видна только владельцу. Сервис был написан на языке python, но действия с заметками происходят через C-модуль, в котором последнюю заметку пользователь может удалить дважды

restmenu – сервис позволяет создать меню, при этом введенные данные будут использованы для генерации markdown-файла. Также можно вывести меню в виде PDF-файла, для этого сервис использует сгенерированный markdown-файл, преобразует его в HTML, а затем в PDF. Уязвимость: SSRF через PDF-рендеринг.

По итогам 8-часовой борьбы итоговая турнирная таблица выглядела следующим образом:

-5

Лидерами итогового рейтинга стали российские команды:

  • первое место заняла команда Bushwhackers из МГУ,
  • серебро за командой SPRUSH из НИЯУ МИФИ,
  • бронза досталась команде kks РТУ МИРЭА.

Призовой фонд турнира составил 800 тысяч рублей.

Репозиторий этапа: https://github.com/C4T-BuT-S4D/bricsctf-2023-stage2

Партнеры и спонсоры

Организаторами соревнования выступили Ассоциация руководителей служб информационной безопасности (АРСИБ), ВОД “Наставники России”, Университет ИТМО.

Разработкой заданий и инфраструктуры соревнований BRICS+ CTF занимались команда C4T BuT S4D и сотрудники Университета ИТМО.

Партнерами мероприятия выступили компании RDP, EdgeЦентр, XCTF League, Positive Technologies.

Информационные партнеры: Хакер, Международная жизнь, Codeby.

При поддержке Федерации спортивного программирования.

-6