Всё о CTF в России

«CTF веба»: итоги SPRUSH CTF Quals 2021

21 марта прошел отборочный тасковый онлайн-этап SPRUSH CTF Quals 2021 от команды SPRAVEDLIVAЯ RUSH A (НИЯУ МИФИ). Этап длился 14 часов, всего было 15 заданий: по 4 таска в категоряих reverse, PWN, web и 3 таска на crypto. Некоторые отсылали к старому мему про случай в казино. (Иронично, что в итоге они оказались самыми не решаемыми, но об этом чуть позже.)

Сложность контеста заявлялась как средняя/высокая. «Мы хотели сделать такие таски, которые было бы интересно решать на соревнованиях нам самим», — так описали свой подход к написанию заданий разработчики.

Итоговый скорборд

Всего участвовало 276 команд, из которых 31 решила хотя бы одно задание. Несмотря на то, что квалы задумывались разработчиками с ориентацией на бинарные категории PWN и reverse, участникам больше всего понравились задания на поиск веб-уязвимостей. Самым решаемым оказался таск Casifax из категории web (20 решений), а самым сложным Stand up and go из категории PWN (1 решение). Кроме Stand up and go 1 решение еще у заданий: SecretTactics, Weird Full House, There are no windows in casino, Hydra casino и Private casino.

Статистика по решаемости заданий. Survey task — опросник.

Наша редакция опросила игроков команд из топа, вот какие ответы мы получили:

1. Вебчик был крутой, не смотря на то, что решилось 2 с половиной веба. Уцуцуги в нем действительно не было, а также была довольно необычная для цтф уязвимость в последнем таске - реквест смагглинг. Вердикт — после финала отправляем в монастырь, что бы было меньше крутых соперников.

2. По пывну - все хорошо, на 14ч +- хорошо заходит. Очень разнообразно и довольно несложно. Но не хватает каких-то деталей, ощущение, что делалось минут за 5 до начала, слишком не хватает какой-то красивой обертки. Ощущение, что решаешь таски с какой-то pwnable платформы. Реверс - я только кернел смотрел, но в целом неплохо, хорошо вышло. Крипта по уровню до остального явно не дотянула + вроде как в 3-ей было достаточно уцуцужно, но явной фигни не было, достойно).

3. Все было здорово. Вроде как, ребятам из моей команды зашел веб, тут за них ответить не могу, т.к решали они. Я сидел пытался раскурить пывн, не очень удачно но таски интересные и пришлось поломать голову. Видно было, что квала рассчитана не на новичков.

4. Вебы понравились, хотя в последнем поиск точки входа можно было бы сделать попроще. Сами таски довольно оригинальные и в меру сложные. А больше мы ничего и не решали.

В нашем анонсе разработчики обещали уйти в монастырь, если контест получится уцуцужным, но судя по полученным от сильных команд отзывам, отправлять команду в монастырь пока рано, подождём очного финала.

Райтапы на задания будут залиты в ближайшее время, пока доступны исходный код веба с краткими райтапами и райтапы от участников на некоторые таски на CTF Time.