2024 09 10 crab the flag
(099/100) Crab the flag
В прошлом году на день рождения компании мы совместно с @biozz_dev делали свой advent of code под названием advent of crab. Получилось довольно прикольно: со стороны Вани была платформа, с моей — контент. В этом году Ваня уже стал Developer Advocate, поэтому решили дальше играться с форматом. Само соревнование было изменено на capture the flag (CTF), а сделали его для нас прекрасная команда kksctf (@greg0r0_life_and_work, @dotrubic).
CTF проводился с личным зачётом и по набору задач, которые открывались в течение трёх дней. Это не самый популярный формат, но для внутренних мероприятий он подошёл отлично. Подробнее про байки, типы задач и формат attack defense мы расскажем чуть позже в подкасте “Два Ивана”.
У меня же была уникальная ситуация — наконец-то смог быть в роли участника! С финальным результатом в виде 11-го места, то есть не попал даже в топ-10, хотя цель была такая. (:
Что мне понравилось за эту неделю и что нового узнал?
- Динамический скоринг — задачки обновляли свою цену в зависимости от того, сколько участников решили задачу.
- SQL-инъекции вредны, даже если в результате API отдаёт только bool - https://owasp.org/www-community/attacks/Blind_SQL_Injection
- По интернету ходит шутка про rm -rf xml, так вот это не шутка - https://github.com/payloadbox/xxe-injection-payload-list
- Иногда md5 может очень-очень интересно совпадать при слабой типизации - https://news.ycombinator.com/item?id=9484757
Да, и сама платформа была устроена удобно. Выбираешь задачу, читаешь описание, тыкаешь “старт”, и у тебя есть свой сервер, который можно исследовать. Ребята сразу предупредили, что не надо натравливать какие-то брутфорс-скрипты, и все задачки (кроме одной) решались именно эксплуатацией одной или нескольких уязвимостей.
Если вдруг заинтересовались задачами, то они доступны публично, можете почитать - https://github.com/kksctf/ostrovok-advent-2024
Ещё раз большое спасибо ребятам, было круто!
#марафон @chernov_sharit