Всё о CTF в России

RuCTFE 2020: итоги

RuCTFE 2020 окончен? На самом деле, не совсем. Но обо всём по порядку.

В субботу, 26 декабря уже минувшего 2020 года прошли всемирные онлайн A/D соревнования RuCTFE 2020 от команды Хакердом. Участников соревнования ждали следующие приключения: всего было представлено 7 сервисов в восточной тематике: FlightRadar для ковров-самолётов, сундук с золотом, арабский банк, пещера с сокровищами, сервисы для хранения и подписывания арабских свитков и древний мудрец Mumbler, который не поддавался участникам до самых последних минут игры, пока разработчики не начали давать подсказки почти готовым эксплойтом. Также победителей ждал не только расширенный список призовых мест, но и весьма необычные призы в криптовалюте TON Crystals.

Все сервисы, эксплойты и райтапы на них уже доступны на ГитХабе команды.

Победители:

1. Bushwhackers, Россия;
2. saarsec, Германия;
3. C4T BuT S4D, Россия.

Полный финальный скорборд. По традиции, лучшие академические команды получат приглашение на RuCTF, который все с нетерпением ждут с 2019 года.

Партнёрами RuCTFE в этом году выступили Free TON, СКБ Контур и Яндекс.

Наша редакция задала несколько вопросов о соревновании ребятам из российских команд-победительниц. Вот какие ответы мы получили:

Asterite, Bushwhackers

1. Как вам в целом контест, что понравилось/что не понравилось в этом году?

Контест в целом — классно. Понравилось, что игровая инфраструктура была достаточно стабильной, сеть работала намного лучше чем в прошлом году. Началось и закончилось всё вовремя. Сервисы тоже порадовали. Что не понравилось: прямо серьёзных косяков не было, по-моему. Что стоит улучшить: были unintended баги в сервисах, в т. ч. приводившие к тому что сервис плохо работал под нагрузкой и становился красным (к паре сервисов в ходе игры организаторы выкладывали патчи). Такого надо стараться не допускать, надо лучше тестить сервисы перед игрой, в т. ч. под нагрузкой.

2. На протяжении всего соревнования можно было заметить вашу ожесточенную борьбу с немецкой командой saarsec, занявшей первое место в 19 году. Насколько тяжело было одержать над победу?

Ну, это не было легко :) Последние пару лет нам это не удавалось. В этом году, в середине игры они вырвались вперед, так что пришлось постараться, поднажать, чтобы всё таки их опередить. В итоге, отрыв по очкам был не такой уж большой. Команде saarsec большой респект — они очень круто прокачались в Attack-Defence, и даже сделали свой CTF — saarCTF. Ну и вообще крутые чуваки.

3. Успели ли до хинтов найти rce в сервисе Mumbler?

Нашли баг в самом начале — заметили что родительский образ в докере какой то странный, увидели что в нём старая версия питона, и нашли что в ней есть известный баг, воспроизвели переполнение и получили краш — тоже сразу легко, но за всю игру так и не докрутили его до выполнения кода.

Илья Греков, C4T BuT S4D

1. Как вам в целом контест, что понравилось/что не понравилось в этом году?

Контест понравился, Хакердом держит уровень, как всегда. У многих команд были претензии к облаку, там были слишком слабые машины. Мы хостили все у себя, поэтому нас это не коснулось. По таскам могу сказать только то, что видел я. Сервис sesam имел очень простое api и вместе с этим несложную уязвимость, что практически убивало смысл искать более сложную дырку, так как все сильные команды сервис просто переписали. Огромный респект за сервис Mumbler, все максимально легко, но одновременно сложно.

2. Насколько тяжко было вырваться в тройку лидеров?

Если имеется достаточно большой опыт в attack/defence, то войти в десятку не составит проблем. Дальше надо биться за каждое место. В этом году у нас было очень много ошибок, что не помешало попасть в тройку. Однако 1-2 места были далеко впереди по очкам.

3. Ваша команда вошла в тройку во второй половине соревнования, ближе к концу: превозмогли под конец или это был коварный план в стиле «залечь на дно и в самом конце рвануть»?

Такой план практически никогда не работает, особенно на RuCTFE, где для большего набора очков практически необходимо начать ломать сервис первым. Под конец мы просто нашли все, что могли и понемногу догнали команды на 4 и 3 местах.

4. На что потратите выигрыш?

Пока не потратим, подождём более выгодного курса Тонов.

Однако на этом, как заявляют организаторы, RuCTFE не окончен! Каждый год Хакердом проводит конференцию в рамках RuCTF, который в 2020 году не удалось организовать. Поэтому конференция прошла в формате съёмок докладов, которые каждый желающий сможет посмотреть на Ютубе. Подписывайтесь на канал, среди докладов обещают много интересного: от проблем с неправильной конфигурацией веб-приложений и OSINT'а до взламывания физических замков и ревёрса микросхем с помощью паяльника!