Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.
Najdziwniejsze zadanie, z jakim przyszło wam się zmierzyć?
Wasz najtrudniejszy/najgroźniejszy/najbardziej wymagający rywal?
Czym zajmujecie się na codzień?
@AlfaMenel: Osobiście gram w CTFy dlatego, że właśnie mam okazję spotkać dziwne zadania. Tutaj jest parę takich które naprawdę zapadły mi w pamięc jako... kreatywne:
- Ghost in the Shellcode 2014 - cały CTF był grą MMORPG napisaną w Unity, specjalnie na konkurs. Część zadań polegała na modyfikowaniu klienta gry w celu zdobycia przewagi nad resztą przeciwników. Były tam skarby w stylu modyfikowanie przedmiotu wina, żeby zostać praktycznie niezwyciężalnym na pewien okres czasu, modyfikowanieu skoku żeby znaleźć się na księżycu...
- Escape from Minecraft (PHDays 4 Quals). Zreversuj logikę zaimplementowaną w Redstone: http://blog.dragonsector.pl/2014/02/ph4quals-escape-from-minecraft.html .
- Holy Challenge (30C3 CTF) - prosty buffer overflow zaimplementowany w Losethos/TempleOS (https://www.youtube.com/watch?v=KkI9LMcxpIE)
- Badger (DEFCON22 CTF w Las Vegas) - każdy team dostawał customowy kawałek hardware'u z FPGA na którym był m. in. zaimplementowany MSP430 z firmwarem napisanym przez orgów. Celem było przejęcie kontorli nad urządzeniami innych teamów - bug był w algorytmie dekompresującym pewien typ odebranej wiadomości (writeup jedynego teamu któremu się udało 5 pminut przed końcem wykrać komuś flagi: http://www.routards.org/2014/08/defcon-22-ctf-badger.html )
- Nokia 1337 / Nokia 31337 / Merkelfone (31C3 CTF) - trylogia zadań polegających odpowiednio na włamaniu się (de facto zjailbreakowaniu), zdobyciu roota i podsłuchaniu wiadomości innych ludzi na pewnym „telefonie”. Ten „telefon” był kawałkiem softu odpalanego pod wirtualną maszyną ARMową, i wyglądał trochę jak stara nokia. Bugiem był buffer overflow przy wstawianiu template'ów, ukryty backdoor „dla NSA” oraz buffer overflow w basebandzie (koprocesorze komunikacyjnym który miał wjazd na pamięć jądra). Writeup pierwszej części: http://blog.dragonsector.pl/2014/12/31c3-ctf-nokia-1337-pwn-30.html ; wideo zdobywania roota: https://www.youtube.com/watch?v=HSqKuHswrhk .
Czy ktos z Was padl kiedys ofiara cyber ataku? Czy przez to, ze jestescie znani w swiecie security zdarza sie, ze ktos probuje atakowac Wasze komputery/strony? Jesli tak to z jakim skutkiem?
@msgreen: Kiedyś podmieniono mi stronkę na pehapowym frejmłorku, którą postawiło jedno z kół naukowych na PW (WO@PW) - to musiał być 2002/03, ale osobiście nic bardziej dotkliwego.
Część z nas pracuje w firmach "internetowych" które są ciągłym obiektem ataku, a nasze zadanie to albo do tego nie dopuścić, albo to powstrzymać (albo już tylko posprzątać:P).
@kamdz:
1. Niestety na CTFach póki co nie da się zarobić ;)
Owszem, wygrane czasem się zdarzają (czasem nawet całkiem miłe), ale po podliczeniu kosztów (bilety lotnicze, hotele, etc.) wychodzi, że więcej się w to hobby włożyło.
2. Bardzo różnie. Osoby które zakładały DS (tj. ja, j00ru i adam) znają się z IRCa oraz udziału w podobnych konkursach sporo lat temu (np. w Security Days, który był organizowany w Polsce w okolicach lat 2005-2008 jeśli mnie pamięć nie myli).
Podobnie jest w kilku innych przypadkach. Jedna czy dwie osoby dały nam znać, że chcą z nami pograć, do kilku innych osób napisaliśmy widząc, że mają dobre wyniki w podobnych konkursach lub po prostu je kojarzyliśmy.
Jest też kilka osób z Warszawskiego Hackerspace (https://hackerspace.pl/).
Generalnie... team rósł dość organicznie i trudno mi powiedzieć do końca skąd kto się w nim wziął :)
3. Hmm, mogę się mylić, ale generalnie do około 20 do około 35.
Jak na tego typu grupę przystało, wykształcenie ma pełen przekrój (od średniego do wyższego).
4. Nie ;)
5. Nie. CTFy są wystarczająco ciekawe by nam głupie myśli po głowach nie chodziły ;)
@LostHighway: osobiście, eksploitacja baardzo dziwnych architektur CPU (np. s390x albo sh4), gdzie 99% roboty to poznanie podstaw architektury, a 1% to wykesplojtowanie bardzo banalnego błędu (najczęściej przepełnienie bufora na stosie)
// jagger
"Centrum" rozgrywek CTF
dodał: dragonsector
z ctftime.org
+9
pokaż komentarz
Cześć!
Najdziwniejsze zadanie, z jakim przyszło wam się zmierzyć?
Wasz najtrudniejszy/najgroźniejszy/najbardziej wymagający rywal?
Czym zajmujecie się na codzień?
+47
pokaż komentarz
@AlfaMenel: Osobiście gram w CTFy dlatego, że właśnie mam okazję spotkać dziwne zadania. Tutaj jest parę takich które naprawdę zapadły mi w pamięc jako... kreatywne:
- Ghost in the Shellcode 2014 - cały CTF był grą MMORPG napisaną w Unity, specjalnie na konkurs. Część zadań polegała na modyfikowaniu klienta gry w celu zdobycia przewagi nad resztą przeciwników. Były tam skarby w stylu modyfikowanie przedmiotu wina, żeby zostać praktycznie niezwyciężalnym na pewien okres czasu, modyfikowanieu skoku żeby znaleźć się na księżycu...
- Escape from Minecraft (PHDays 4 Quals). Zreversuj logikę zaimplementowaną w Redstone: http://blog.dragonsector.pl/2014/02/ph4quals-escape-from-minecraft.html .
- Holy Challenge (30C3 CTF) - prosty buffer overflow zaimplementowany w Losethos/TempleOS (https://www.youtube.com/watch?v=KkI9LMcxpIE)
- Badger (DEFCON22 CTF w Las Vegas) - każdy team dostawał customowy kawałek hardware'u z FPGA na którym był m. in. zaimplementowany MSP430 z firmwarem napisanym przez orgów. Celem było przejęcie kontorli nad urządzeniami innych teamów - bug był w algorytmie dekompresującym pewien typ odebranej wiadomości (writeup jedynego teamu któremu się udało 5 pminut przed końcem wykrać komuś flagi: http://www.routards.org/2014/08/defcon-22-ctf-badger.html )
- Nokia 1337 / Nokia 31337 / Merkelfone (31C3 CTF) - trylogia zadań polegających odpowiednio na włamaniu się (de facto zjailbreakowaniu), zdobyciu roota i podsłuchaniu wiadomości innych ludzi na pewnym „telefonie”. Ten „telefon” był kawałkiem softu odpalanego pod wirtualną maszyną ARMową, i wyglądał trochę jak stara nokia. Bugiem był buffer overflow przy wstawianiu template'ów, ukryty backdoor „dla NSA” oraz buffer overflow w basebandzie (koprocesorze komunikacyjnym który miał wjazd na pamięć jądra). Writeup pierwszej części: http://blog.dragonsector.pl/2014/12/31c3-ctf-nokia-1337-pwn-30.html ; wideo zdobywania roota: https://www.youtube.com/watch?v=HSqKuHswrhk .
//q3k
+6
pokaż komentarz
Czy ktos z Was padl kiedys ofiara cyber ataku? Czy przez to, ze jestescie znani w swiecie security zdarza sie, ze ktos probuje atakowac Wasze komputery/strony? Jesli tak to z jakim skutkiem?
+15
pokaż komentarz
@msgreen: Kiedyś podmieniono mi stronkę na pehapowym frejmłorku, którą postawiło jedno z kół naukowych na PW (WO@PW) - to musiał być 2002/03, ale osobiście nic bardziej dotkliwego.
Część z nas pracuje w firmach "internetowych" które są ciągłym obiektem ataku, a nasze zadanie to albo do tego nie dopuścić, albo to powstrzymać (albo już tylko posprzątać:P).
// jagger
+20
pokaż komentarz
@kamdz:
1. Niestety na CTFach póki co nie da się zarobić ;)
Owszem, wygrane czasem się zdarzają (czasem nawet całkiem miłe), ale po podliczeniu kosztów (bilety lotnicze, hotele, etc.) wychodzi, że więcej się w to hobby włożyło.
2. Bardzo różnie. Osoby które zakładały DS (tj. ja, j00ru i adam) znają się z IRCa oraz udziału w podobnych konkursach sporo lat temu (np. w Security Days, który był organizowany w Polsce w okolicach lat 2005-2008 jeśli mnie pamięć nie myli).
Podobnie jest w kilku innych przypadkach. Jedna czy dwie osoby dały nam znać, że chcą z nami pograć, do kilku innych osób napisaliśmy widząc, że mają dobre wyniki w podobnych konkursach lub po prostu je kojarzyliśmy.
Jest też kilka osób z Warszawskiego Hackerspace (https://hackerspace.pl/).
Generalnie... team rósł dość organicznie i trudno mi powiedzieć do końca skąd kto się w nim wziął :)
3. Hmm, mogę się mylić, ale generalnie do około 20 do około 35.
Jak na tego typu grupę przystało, wykształcenie ma pełen przekrój (od średniego do wyższego).
4. Nie ;)
5. Nie. CTFy są wystarczająco ciekawe by nam głupie myśli po głowach nie chodziły ;)
0
pokaż komentarz
@Gynvael: to się nazywa "ciężkie naruszenie obowiązków pracowniczych" w Polsce (tzn ujawnianie zarobków)
+3
pokaż komentarz
jakie było największe wyzwanie które okazało się bajecznie proste w rozwiązaniu?
+14
pokaż komentarz
@LostHighway: osobiście, eksploitacja baardzo dziwnych architektur CPU (np. s390x albo sh4), gdzie 99% roboty to poznanie podstaw architektury, a 1% to wykesplojtowanie bardzo banalnego błędu (najczęściej przepełnienie bufora na stosie)
// jagger
+2
pokaż komentarz
Jak duży macie botnet?
;-)
+14
pokaż komentarz
@michalind: c64 z atari xl w tandemie przez FiberNet, chcemy poszerzyć o amigę 500+ - bo myślimy przyszłościowo :)