75 подписчиков

Gold CTF 2024: отчет

13 февраля 202413 фев 2024

3 мин

Оглавление

Соревнования
Как все начиналось
Разработчики

10 февраля успешно состоялись соревнования по кибербезопасности Gold CTF. Название не случайно: участники сражались за золото!

Соревнования

Gold CTF — открытые A/D-соревнования повышенного уровня сложности. В онлайн-этапе мог участвовать кто угодно: ограничений не было ни на состав команды, ни на количество тиммейтов. Тех, кто принял участие очно, выбрали организаторы. Для этого была проанализирована активность российских CTF-команд на A/D соревнованиях за последние 5 лет сразу по нескольким критериям. Таким образом и были отобраны 10 команд: HackerDom, CBS Kids, SPRUSH, Bushwhakers, FaKappa, kks, smiley-from-telega, Red Cadets, Drovosec и Omsk Hackers. Они играли в павильоне "Умный город" на ВДНХ. Всего же участие приняли 118 команд из разных стран.

За 8 часов игры участникам удалось решить 4 сервиса, причем 2 firstblood`а из 4 принадлежали командам с площадки — Bushwhakers и CBS Kids. Они же поочередно занимали первое место в течение почти всей игры, но на последних минутах команда kks решила сервис cell, что и принесло заслуженную победу.

Как все начиналось

Идея создания турнира появилась давно. Однако у организаторов не было уверенности, что участники оценят такой формат, посчитав его чрезмерно сложным, и оттого неинтересным. Анализируя опыт прошедших соревнований, было принято решение рискнуть, и в марте 2023 года стартовала подготовка.

Изначально соревнования были запланированы на начало ноября, но в это же время активно шла подготовка к VII Кубку CTF России. В итоге из-за наложения сроков Gold CTF перенесли на февраль.

Один из разработчиков Роман Никитин рассказал, что его сервис был вдохновлен таском с прошедшего DEFCON`а.

Кстати, сперва возможность играть онлайн не рассматривалась — организаторы хотели пригласить лишь 10 команд на очный этап. Однако A/D-соревнования случаются в мире не так часто, поэтому разработчики предложили сделать турнир открытым для всех желающих онлайн.

Разработчики

Разработчиками стала команда C4T BuT S4D. Они подготовили 5 сервисов повышенного уровня сложности.

cell (PHP)

Редактор электронных таблиц, поддерживающий совместную работу. Сервис позволяет создавать XLSX-файлы и редактировать их, при этом все изменения доступны другим людям в режиме реального времени.

Уязвимость: особенность работы с путями файлов в PHP, которая приводит к некорректному сравнению типов и утечке данных.
conveyor (Python)

Конструктор пайплайнов для моделей машинного обучения. Сервис позволяет сгенерировать рандомизированный набор данных и обучать на нём простые линейные модели.

Уязвимость: 0day-уязвимость в библиотеке RPyC, которая приводит к исполнению удаленного кода на сервере через десериализацию pickle.
digger (C++)

Алгоритм шифрования и расшифровки данных, предоставляемый как облачный сервис. В качестве шифра используется DES, в качестве ключей — пароли пользователей.

Уязвимость: логическая ошибка в реализации алгоритма DES, которая приводит к сломанному расписанию ключей и возможности провести сдвиговую атаку.
goldarn (Rust)

Интерпретатор самописного языка программирования на основе стека. Сервис предоставляет интерактивный интерфейс для исполнения программ.

Уязвимость: возможность переписать конфигурационный файл, который используется для сборки приложения, чтобы запустить произвольный код на Rust.
nugget (Go)

Хранилище данных с возможностью делать бэкапы. Сервис работает с разными форматами архивов, позволяет обрабатывать данные на стороне сервиса.

Уязвимость: особенность tar-архивов, которая приводит к состоянию гонки между загрузкой и обработкой данных, что позволяет прочитать чужие файлы.

Здесь можно подробнее изучить сервисы, райтапы и прочие коды.

Обратная связь

На момент публикации соревнования набрали 24,9 балла из 25 возможных. Участники отметили хорошую организацию, высокое качество A/D и сложность сервисов.

А что потом?

После соревнований участников очного этапа пригласили как следует отметить окончание турнира в пабе "Rootin Tootin". Организаторы подготовили специальные флаеры, которые можно было обменять на комбо с бургером, картошкой и напитком. Все больше становится традицией "Красная Кнопка" — игра, в которой двое на скорость решают таски. Для "Кнопки" подготовили 3 категории: web, pwn и ppc.

Но, конечно, главной целью афтепати стало общение. После непростых состязаний было много тем для обсуждения как у участников, так и у организаторов. Площадка стала и местом встреч старых друзей, многие из которых не виделись месяцами, а теперь наконец-то получили возможность сесть за один стол и поделиться новостями.

Организаторы выражают благодарность всем, кто принимал участие в организации Gold CTF — соревнования состоялись благодаря вам и вашим усилиям!