21 марта прошел отборочный тасковый онлайн-этап SPRUSH CTF Quals 2021 от команды SPRAVEDLIVAЯ RUSH A (НИЯУ МИФИ). Этап длился 14 часов, всего было 15 заданий: по 4 таска в категоряих reverse, PWN, web и 3 таска на crypto. Некоторые отсылали к старому мему про случай в казино. (Иронично, что в итоге они оказались самыми не решаемыми, но об этом чуть позже.)
Сложность контеста заявлялась как средняя/высокая. «Мы хотели сделать такие таски, которые было бы интересно решать на соревнованиях нам самим», — так описали свой подход к написанию заданий разработчики.
Итоговый скорборд
Всего участвовало 276 команд, из которых 31 решила хотя бы одно задание. Несмотря на то, что квалы задумывались разработчиками с ориентацией на бинарные категории PWN и reverse, участникам больше всего понравились задания на поиск веб-уязвимостей. Самым решаемым оказался таск Casifax из категории web (20 решений), а самым сложным Stand up and go из категории PWN (1 решение). Кроме Stand up and go 1 решение еще у заданий: SecretTactics, Weird Full House, There are no windows in casino, Hydra casino и Private casino.
Статистика по решаемости заданий. Survey task — опросник.
Наша редакция опросила игроков команд из топа, вот какие ответы мы получили:
Вебчик был крутой, не смотря на то, что решилось 2 с половиной веба. Уцуцуги в нем действительно не было, а также была довольно необычная для цтф уязвимость в последнем таске - реквест смагглинг. Вердикт — после финала отправляем в монастырь, что бы было меньше крутых соперников.
По пывну - все хорошо, на 14ч +- хорошо заходит. Очень разнообразно и довольно несложно. Но не хватает каких-то деталей, ощущение, что делалось минут за 5 до начала, слишком не хватает какой-то красивой обертки. Ощущение, что решаешь таски с какой-то pwnable платформы. Реверс - я только кернел смотрел, но в целом неплохо, хорошо вышло. Крипта по уровню до остального явно не дотянула + вроде как в 3-ей было достаточно уцуцужно, но явной фигни не было, достойно).
Все было здорово. Вроде как, ребятам из моей команды зашел веб, тут за них ответить не могу, т.к решали они. Я сидел пытался раскурить пывн, не очень удачно но таски интересные и пришлось поломать голову. Видно было, что квала рассчитана не на новичков.
В нашем анонсе разработчики обещали уйти в монастырь, если контест получится уцуцужным, но судя по полученным от сильных команд отзывам, отправлять команду в монастырь пока рано, подождём очного финала.
Райтапы на задания будут залиты в ближайшее время, пока доступны исходный код веба с краткими райтапами и райтапы от участников на некоторые таски на CTF Time.
Мы в соцсетях