Новости SPbCTF

2021-05-10 22:00:53 Объявляем CFP на новогоднюю сходку!

Как так? — В конце каждого сезона мы организуем встречу, на которую приглашаем всех желающих рассказать про любые интересные темы. Прошлая была в декабре: получили больше заявок, чем мы смогли уместить в один митап, поэтому пришло время сделать ещё один!

Летний митап 30 мая. Если хотите поделиться с сообществом чем-то интересным-полезным из любой области кибербезопасности, ждём ваши заявки до 22 мая 23:59 → forms.gle/8uZCtC3eSAmq12Kf6

Если есть только идея доклада, можете тоже оставить заявку — мы поможем докрутить. Доклады могут быть как короткие на 5–15 минут, так и хардкорные воркшопы на 1,5 часа. До 23 мая мы свяжемся с вами для согласования подробностей.

Кстати, если хотите кого-то особенного послушать, напишите @ksvark — попробуем организовать встречу.

Что: летний митап aka Новогодняя сходка SPbCTF
Когда: 30 мая днём-вечером
Где: Университет ИТМО, Песочная набережная 14
Регистрацию для слушателей откроем позже.

— vk.com/wall-114366489_2068 — Открыть/Комментировать

2021-04-23 16:37:53 В воскресенье завершим фаззинг: Артур расскажет про хитрый фаззинг с помощью AFL-smart, когда данные должны иметь определённую структуру, а также про генерацию фаззеров инструментом fuzzgen. Дополнительные вопросы по пывну принимаем до конца сегодняшнего дня forms.gle/Fd4DrCDR5VscUvgE7

Ждём вас в воскресенье 25 апреля 13:37 на Песочной набережной 14, аудитория 308. С собой возьмите паспорт/пропуск, ноут и еду.

— vk.com/wall-114366489_2066 — Открыть/Комментировать

2021-04-16 22:37:32 Третья часть фаззинга будет 25 апреля. Все возникающие вопросы по пывну мы собираем в формочке → forms.gle/Fd4DrCDR5VscUvgE7 Впишите, если нужно помочь с чем-то разобраться, также можете писать в чатик t.me/spbctf и наставникам напрямую. Больше вопросов — круче скилл.

В эти выходные будут две разноплановые цтфки:
6-часовой атак-дефенс для начинающих — bambi.enoflag.de
Рекомендуем поучаствовать тем, кто хочется размяться в A/D. Орги команда ENOFLAG, старейшая и круто играющая в атак-дефенс.
Видяшки с нашего атак-дефенсного сезона помогут: j.mp/3mVzEz7

48-часовой jeopardy PlaidCTF с рейтингом почти 100 на цтфтайме начинается через полтора часа — plaidctf.com Особенно полезно будет участникам сезона пывна: сможете оценить, насколько прокачались за сезон и понять международный уровень крутых команд, к чему стремиться Орги команда PPP, топ-1 цтфтайма 2011, 2013, 2015

— vk.com/wall-114366489_2061 — Открыть/Комментировать

2021-04-10 17:25:47 Завтра будем продолжать фаззить. На прошлой неделе мы фаззили проги, которые принимают ввод с консоли и из файла. Но как же быть, если прога, например, сетевая?
Рассмотрим обёртки: как перехватить функции типа recv — через LD_PRELOAD и кастомную .so, а также дополнительные санитайзеры и способы фаззинга бинарников без сорцов.

Если появились вопросы, впишите их сюда → forms.gle/Fd4DrCDR5VscUvgE7
Ответим в чате или перед сходкой.

Когда: воскресенье 11 апреля 13:37
Место: Университет ИТМО, Песочная набережная 14, аудитория 308
С собой паспорт/пропуск, ноут и еда.

— vk.com/wall-114366489_2057 — Открыть/Комментировать

2021-04-02 17:55:57 Четвёртого апреля продолжаем пывн. В первый час проведём воркшоп (готовьте вопросы!), затем Артур расскажет про фаззинг: виды фаззеров, AFL, обнаружение багов разных классов, санитайзеры памяти для детектирования переполнений на куче и т. д.

К сходке вам нужно будет поднять у себя AFL с поддержкой QEMU и поставить clang. Установите всё, чтобы не тратить время на сходке — для нашего образа kali-виртуалки мы выложим файл в чатик сегодня вечером.

Когда: воскресенье 4 апреля 13:37
Место: Университет ИТМО, Песочная набережная 14, аудитория 308
С собой паспорт/пропуск, ноут и еда.

P.S.: Завтра стартует ångstromCTF, классная цтфка для начинающих. Зарегайтесь командами → 2021.angstromctf.com, решать можно пять дней.

— vk.com/wall-114366489_2053 — Открыть/Комментировать

2021-03-27 15:00:41 Сегодня у SPbCTF замечательная дата — ровно 5 лет назад мы провели первую сходку!

Весь 2015 год я проучилась на безопасности и старалась участвовать во всевозможных соревнованиях и конференциях. Быстро поняла, что стоит учиться именно практической безопасности. Вспомнила про CTF, но оказалось, что в Питере из студенческих команд лишь 5 изредка играющих, и нет какой-то движухи, чтоб любой мог прийти, узнать о цтфе, попробовать собрать команду и прокачиваться вместе.

Три месяца погружалась в цтф, общалась с игроками, и в новый год на 1 января 2016 года решила, что хватит готовиться и пора действовать. Начала приглашать спикеров в команду, по крупицам из разных вузов находила единомышленников, договаривалась с площадкой, рассылала приглашения, подписывала бумажки, и вот, долгожданная тренировка! Пришло чуть больше 100 человек, мы не поместились в заброненную аудиторию и быстро искали другую.

Надо начинать, открывать проект, трясутся колени, горло пересыхает, голос дрожит, ладошки мокрые. Начали! Забывая слова и сбиваясь с мысли, рассказываю участникам, что мы затеяли... замечаю, что люди слушают спикеров и проникаются. И через час митапа я поняла — мы на правильном пути! Я до сих пор помню один из отзывов после сходки: «— Получил полезной информации больше, чем за 3 года обучения в вузе»

Больше 1330 человек за десять сезонов пришли к нам на тренировки. Мы видели, как спбцтфные навыки помогают устроиться в компании и заниматься практической ИБ. Благодаря вам, многие нашли близких по духу тиммэйтов и обзавелись друзьями. Когда я узнаю истории, что люди специально поступают в Питер или ездят на ночном поезде из другого города, чтобы приходить на наши сходки каждое воскресенье, у меня внутри всё сжимается от счастья и благодарности.

Спасибо за доверие!

— vk.com/wall-114366489_2048 — Открыть/Комментировать

2021-03-23 21:51:58 С субботы на воскресенье вместо недели по пывну будет отборочный тур VolgaCTF — это международная цтфка от организаторов из Самары. Квалы будут онлайн в формате Jeopardy, длительность 24 часа. Зарегистрируйтесь, если планируете участвовать — топ-10 российских команд приглашают осенью на финал в Самаре.

У нас есть возможность сделать площадку для команд на всё время игры. Если хотите воспользоваться, впишитесь в гугл-форму до четверга 25 марта 23:59: forms.gle/dATjiz2nohrT8Wth8

отборочный тур VolgaCTF
с 27 марта 17:00 до 28 марта 17:00
онлайн, можно прийти на площадку Песочной

— vk.com/wall-114366489_2040 — Открыть/Комментировать

2021-03-19 17:37:31 Послезавтра будем разбирать ещё несколько распространённых атак на аллокатор!

Будет эксплуатация двух техник: house of spirit — когда можем с помощью free() на наши данные вставить в tcache любой указатель, и unsafe unlink — технику пывна для больших бинов.

Когда: воскресенье 21 марта 13:37
Место: Университет ИТМО, Песочная набережная 14, аудитория 308
С собой паспорт/пропуск, ноут и еда.

— vk.com/wall-114366489_2038 — Открыть/Комментировать

2021-03-15 18:56:17 Тройное уведомление

Кто вчера был на воркшопе, расскажите как вам? Делать ли подобные сходки дальше? → forms.gle/UMEpFDF7HQB37SWZ7
Обновлённая презентация Егора с рисунками Влада

Завтра стартует быстрый форенсик-челлендж от компании Belkasoft. Зарегистрируйтесь и присоединяйтесь в 15:00.

А ещё завтра начинается двухнедельная PicoCTF для студентов от американской команды с легендарными PPP-шными корнями → play.picoctf.org/events/34
Прям очень рекомендуем поучаствовать тем, кто только начал цтфить. Традиционно для PicoCTF разработчики делают качественные задания с неуцуцужной логикой и плавно возрастающей сложностью.

— vk.com/wall-114366489_2036 — Открыть/Комментировать

2021-03-12 17:08:14 Воскресным днём будет сходка не по следующей теме на кучу, а в виде воркшопа. Сядем вместе разберём задачи этой недели, попрактикуем эти же атаки на кучу на новых заданиях и хорошенько разберёмся с непонятными моментами.

Новые атаки, которые будут требовать ещё более филигранного понимания работы аллокатора, рассмотрим в следующий раз.

Когда: воскресенье 14 марта 13:37
Место: Университет ИТМО, Песочная набережная 14, аудитория 308
С собой паспорт/пропуск, ноут и еда.

— vk.com/wall-114366489_2034 — Открыть/Комментировать