Осенью 2023 года состоялось международное соревнование BRICS+ Capture The Flag. Организаторами мероприятия выступили Ассоциация руководителей служб информационной безопасности (АРСИБ), ВОД “Наставники России”, Университет ИТМО. Разработкой заданий занималась команда C4T BuT S4D. Финал мероприятия был приурочен к V Международному муниципальному форуму БРИКС+.
Турнир проходил в два этапа: открытый отборочный тур для всех желающих команд и финал, в который вышли по 3 команды от каждой страны БРИКС и 10 международных команд. Оба этапа проходили онлайн.
Отборочный этап
Квалификационный раунд состоялся 24-25 сентября в формате Task-Based.
Всего на турнире было зарегистрировано 992 команды из 91 страны, однако с ненулевым результатом соревнование завершили всего 150 команд.
За 24 часа чемпионата участники должны были решить 20 заданий: по 4 таска на криптографию, реверс и веб, 3 pwn и ppc и 2 задания на форензику. Но из 20 заданий к концу ивента было решено всего 13: самым популярным таском оказался веб ChadGPT – его решила 141 команда.
Первое место и специальный приз – проходку на финал китайского соревнования XCTF – завоевала международная команда Project Sekai.
Скорборд согласно игровому рейтингу:
Итоговый состав команд-финалистов согласно квотам по странам:
– BRICS quota:
- SPRUSH – Россия
- Bushwhackers – Россия
- smiley-from-telega – Россия
- Hack South – ЮАР
- r3kapig – Китай
- S1uM4i – Китай
- Redbud – Китай
- Ganesh – Бразилия
- hopper – Индия
- newbie69 – Индия
- avrrop – Индия
– International teams:
- Project Sekai
- thehackerscrew
- adragos
- 796f75
- Polaris
- winger
- noname
- kks
- Weak But Leet
- AAA
- El3ctronic
- Phish Paprikaš
- Arr3stY0u
- Red Cadets
Репозиторий этапа: https://github.com/C4T-BuT-S4D/bricsctf-2023-stage1
Финальный этап
Соревнования проходили 11 ноября онлайн в формате Attack/Defense. Турнир длился 8 часов, в нем приняли участие 18 команд (из 25, прошедших в финальный тур).
Во время соревнования участники решали 4 сервиса:
notify – сервис создания уведомлений, которые отсылаются по электронной почте. Можно зарегистрироваться или войти в свой аккаунт, после чего создавать уведомления с различными настройками (тема, содержимое, время отправки, количество повторений). Для получения уведомлений дополнительно запускался почтовый сервер с открытым портом IMAP, куда пользователи сервиса могли войти и читать отправленные им уведомления. Уязвимость – CRLF-инъекция в модуль отправки уведомлений, за счёт которой имеется возможность добавлять себя в получатели чужих уведомлений.
leakless – сервис для дисклоуза юридических документов с проверкой возможности раскрытия чувствительной информации компаний (которая и является секретом с флагом). Уязвимость – отсутствие рандома при генерации одной из констант полиномиального хэша, который используется для проверки чувствительной информации.
notes – сервис с заметками, которыми можно делиться между пользователями, либо создать приватную заметку, которая видна только владельцу. Сервис был написан на языке python, но действия с заметками происходят через C-модуль, в котором последнюю заметку пользователь может удалить дважды
restmenu – сервис позволяет создать меню, при этом введенные данные будут использованы для генерации markdown-файла. Также можно вывести меню в виде PDF-файла, для этого сервис использует сгенерированный markdown-файл, преобразует его в HTML, а затем в PDF. Уязвимость: SSRF через PDF-рендеринг.
По итогам 8-часовой борьбы итоговая турнирная таблица выглядела следующим образом:
Лидерами итогового рейтинга стали российские команды:
- первое место заняла команда Bushwhackers из МГУ,
- серебро за командой SPRUSH из НИЯУ МИФИ,
- бронза досталась команде kks РТУ МИРЭА.
Призовой фонд турнира составил 800 тысяч рублей.
Репозиторий этапа: https://github.com/C4T-BuT-S4D/bricsctf-2023-stage2
Партнеры и спонсоры
Организаторами соревнования выступили Ассоциация руководителей служб информационной безопасности (АРСИБ), ВОД “Наставники России”, Университет ИТМО.
Разработкой заданий и инфраструктуры соревнований BRICS+ CTF занимались команда C4T BuT S4D и сотрудники Университета ИТМО.
Партнерами мероприятия выступили компании RDP, EdgeЦентр, XCTF League, Positive Technologies.
Информационные партнеры: Хакер, Международная жизнь, Codeby.
При поддержке Федерации спортивного программирования.
