Новости SPbCTF

2022-08-16 15:44:10 Разбор Ыжедневных тасков в 20:00 →

Открыть/Комментировать

2022-08-15 13:37:03 Ыжедневные таски завершены!

Поздравляем победителей, которые раньше всех решили каждый таск дня и получают свои награды:
Web — Zema @damnware
Forensics — hexad3c1mal @disasm_me
Crypto — локальный мем @someone12469, проходку забирает 2nd blood: Anton @f_o_rest
Windows Pwn — @Skriep
Coding — @sh1y0
Android Reverse — @Skriep, проходка у 3rd blood: @Avva_va
On-site OSINT++ — TI @z37yc, проходка переходит к 2nd blood: Daniil Gavshin @bloqueue

Все, кто набрал сколько-то очков на Ыжедневных тасках, участвуют в розыгрыше мерча — мы напишем в личку всем на скорборде, чтобы рассказать механику и собрать нужные данные.

А во вторник 16 августа в 20:00 вас ждёт онлайн-разбор тасков на нашем ютюбе → youtube.com/spbctf

Спасибо всем, что поучаствовали! Приходите ещё :) Открыть/Комментировать

2022-08-13 13:37:01 #Таск 2022-08-13: On-site OSINT++ (авторы: @AetherEternity, @V1ru55, @rozetkinrobot, @juwilie)

Иногда Ыж ездит на своём грузовике. Так было и в этот раз: Ыж ехал, никого не трогал, и вдруг внезапно из ниоткуда вылетает машина, и подрезает Ыжа на переезде!

Увернувшись от столкновения, Ыж узнаёт в ней самоуправляемый автомобиль, который его то и дело преследует. Пришло время положить этому конец.

Ыж вышел в даркнет с таким вопросом. Воспользовавшись услугами пробива, Ыж заполучил фото с текущим местоположением машины: tasks.blzh.fr/files/t455la.jpg

Он также заметил, что когда появляется эта доставучая машина, тут же появляется и защищённая Wi-Fi сеть t455la. Помогите Ыжу избавиться от этой машины, но помните, что физически трогать её нельзя: настоящий ниндзя не оставляет следов.

Сдавать на борде: tasks.blzh.fr/tasks/saturday
Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2185 Открыть/Комментировать

2022-08-12 13:37:01 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot)

Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF.

Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы.

Помогите Ыжу получить заветный доступ к приложению.

Сдавать на борде: tasks.blzh.fr/tasks/friday
Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2183 Открыть/Комментировать

2022-08-11 13:37:02 #Таск 2022-08-11: Coding (автор: @returnint)

Ыж вызвался помочь мониторить состояние борды SPbCTF. Делает он это с помощью системы HTTP-мониторинга:

https://watchdog.blzh.fr/

В админке системы лежит флаг, но пустит куда, конечно же, только самого Ыжа.

Сдавать на борде: tasks.blzh.fr/tasks/thursday
Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2179 Открыть/Комментировать

2022-08-10 13:37:01 #Таск 2022-08-10: Windows Pwn (автор: @mrvos)

Ыж решил изобрести велосипед. Он разработал собственный текстовый процессор с поддержкой плагинов.

Зацените творение: word_processor_installer.exe

Багбаунти-программа текстового процессора Ыжа включает в себя выплату 1 проходки на Оффзон и футболки Спбцтфа за первый сабмит бага, и очки на скорборде за последующие.

Скоуп багбаунти: nc editor.blzh.fr 11555
Чтобы доказать успех в багбаунти, запустите этот файл:
---s--x--x 1 root root 14528 Aug 9 23:02 /opt/readflag

Сдавать на борде: tasks.blzh.fr/tasks/wednesday
Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2177 Открыть/Комментировать

2022-08-09 13:37:01 #Таск 2022-08-09: Crypto (автор: @nsychev)

В этом году Ыж решил провести отпуск в Мексике — на родине майя. В местном археологическом музее выставляли античное шифрованое послание. Хранитель музея сообщил Ыжу, что в коллекции хранится и машина для расшифровки — однако из-за ветхости её механизм заклинило.

Узнав, что Ыж интересуется криптографией, хранитель показал ему свиток, где, по заверениям палеографов, рассказан алгоритм шифрования текста. Ыж не поверил своим глазам!

Он сразу же сфотографировал всё, что увидел:
flag.enc
crypto.py

По возвращению Ыж решил расшифровать послание, но без музейной машины у него ничего не вышло. Может быть, получится у вас?

Сдавать на борде: tasks.blzh.fr/tasks/tuesday
Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2175 Открыть/Комментировать

2022-08-08 13:37:00 #Таск 2022-08-08: Forensics (автор: @mrvos)

Ыж попал в поле зрения спецслужб 5 лет назад.
В 2019 его видели с подельником в Тайване.

Охота на объект «ПУШИСТ» продолжается до сих пор.

В этот раз нам стало известно, что Ыж хранит базу контактов своих соратников у себя на криптоконтейнере. Предположительно, в ней номера телефонов и секретные фразы для идентификации свой—чужой.

Нашему агенту улыбнулась удача: Ыж хотел воспользоваться криптоконтейнером, и уже ввёл пароль в поле ввода, но отвлёкся и куда-то отошёл. Агент подошёл к компу — на экране увидел только звёздочки, — но молниеносно сообразил воспользоваться ситуацией и скопировал себе файл контейнера, а также снял дамп памяти машины.

blzh_dump.7z

Добудьте нам секретную фразу для идентификации!
Разведка сообщает, что вы узнаете её по формату: blzh{...}

Пароль к контейнеру перебирать не нужно, попробуйте придумать, как его достать из дампа памяти

Сдавать на борде: tasks.blzh.fr/tasks/monday
Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2173 Открыть/Комментировать

2022-08-07 14:00:00 #Таск 2022-08-07: Web (автор: @augustovich)

Ыж много путешествует и ведёт свой личный трэвел-блог: https://travel.blzh.fr/

Однажды он зашёл в комменты и поник: какой-то тролль оставил издевательские комменты буквально под каждым постом. Ыж был так ошарашен, что даже забыл пароль от админки собственного блога.

Помогите Ыжу избавиться от ыжпрессии, удалив все комменты злобного хейтера!

Сдавать на борде: tasks.blzh.fr/tasks/sunday
Не забывайте, что чем быстрее, тем больше очков!

— vk.com/wall-114366489_2171 Открыть/Комментировать

2022-08-06 13:37:01 Первый ыжедневный таск через 24 часа

1. Регнуться нужно на tasks.blzh.fr/ (уже есть 100 человек)
2. Первый таск открывается в 13:37 завтра
3. Первая категория — Web
4. Решивший раньше всех получает проходку на OFFZONE 2022 и памятную футболку
5. Все решившие получают поинты, за которые после недели тасков можно будет выиграть мерча
6. Мерч, который можно будет выиграть: img.vos.uz/ib0td8pa.png

— vk.com/wall-114366489_2169 Открыть/Комментировать