Новости с цтфных полей 👨🏻‍💻

Вчера завершилось соревнование VolgaCTF 2019 Final. Наши участники, наставники и Ыж представляли команды Kappa и LC↯BC.

В результате атак-дефенсного боя среди 19 команд из России, Германии, Венгрии, Австрии и Вьетнама победила команда LC↯BC 🏆 А самая кековая команда Kappa заняла 7 место! Поздравляем ❤️

Если хотите стать такими же скилловыми и ездить на соревнования в разные города и страны, приходите к нам на сходки :) Регистрация до 1 октября — forms.gle/qvdNNVeZhUg62Bt78 Сейчас у нас онлайн идёт цтфка для начинающих hack you 2019 — hackyou.ctf.su, где можно получить инвайт на конференцию по практической безопасности ZeroNights. Ещё успеете что-нибудь нарешать 💪🏻

— vk.com/wall-114366489_1571 —

13:37, hack you 19 закончился! Поздравляем yor, exp101t и shagrath — они заняли верхние три строчки и получают инвайты на ZeroNights 2019. Три инвайта для новичков мы распределим потом — когда проверим, кто действительно новичок.

А сегодня вечером мы разберём все таски. Подключайтесь к стриму👇

💻 Трансляция, а потом и запись, тут: youtu.be/lNJLrCi6kPw
🕗 Начало: 22 сентября в 18:00

— vk.com/wall-114366489_1573

🙈 Начнём в 18:15, прощайте за задержку. Подключайтесь: youtu.be/lNJLrCi6kPw

💾 Онлайн-разбор прошёл, запись осталась на ютюбе: youtu.be/lNJLrCi6kPw
Пересматривайте и дорешивайте, что вызвало сложности. Никита заботливо собрал для вас таймкоды всех тасков :)

🚀 Сейчас мы начинаем первый подсезон — посвящённый вебу! Первые две тренировки будут онлайн. Вы смотрите видяшку с прошлых сезонов, а потом решаете таски на форкбомбе, набиваете руку.

👀 Базовые приёмы веба: youtu.be/BAzqg4Oocd4
💪 Лёгкие таски на юзерские инпуты: forkbomb.ru/tasks
Если будут вопросы, пишите в чатик: tele.gg/spbctf

— vk.com/wall-114366489_1582

⌛️Сегодня в 23:59 закрывается регистрация на сезон для начинающих: forms.gle/qvdNNVeZhUg62Bt78
Если вы решали таски, но не отправили заявку, самое время это сделать. Также не забывайте дорешивать таски на forkbomb.ru — мы будем учитывать результаты микро-цтфки из реги, хакъю и форкбомбы для приглашения вас в сезон.

До пятницы обработаем ваши регистрации и на почту вышлем приглашения. Первая очная тренировка в это воскресенье (6 октября), анонс будет в группе.

🎧 Подробнее о сезоне: youtu.be/4jfEJremvnY

— vk.com/wall-114366489_1587 —

⚠️ В это воскресенье сходки не будет.

⚡️ К нам поступило 615 регистраций, а в самую большую аудиторию влезает полторы сотни. Вдобавок, у нас возникли сложности с площадкой: в это воскресенье в ИТМО день открытых дверей всех факультетов, и посетителей приглашают как раз в большие аудитории. Поэтому мы перед всеми сильно-сильно извиняемся, просим простить, и переносим первую очную тренировку на 13 октября. За это время мы неторопливо определим, кого пригласить, и постепенно отправим всем письма — и тем кого не приглашаем тоже.

📝 Не переживайте, если вам не пришло письмо — придёт до следующего четверга включительно (не забывайте смотреть папку спам).
🌚 Если хакъю вы решали с одной почты, а регистрировались с другой — пишите обе в личку группы или @ksvark. Так мы сможем сопоставить ваши аккаунты, а вы не потеряете баллы.
❌ Если вы не сможете приходить на тренировки, напишите @ksvark как можно раньше, чтобы не занимать место. А если у вас сейчас не хватает времени на хакъю и форкбомбу, нет большого смысла приходить и слушать только теорию — что-то научитесь делать только применяя услышанное на практике.

✅ Дорешивайте таски с хакъю и на форкбомбе. Для тех, кто всё сделал, мы выложим ещё что-нибудь на неделе. Пост о месте и времени семинара будет в четверг ❤️

Бонус для тех, кто писал, что не успел подать заявку — до субботы включительно форма снова открыта: forms.gle/qvdNNVeZhUg62Bt78

— vk.com/wall-114366489_1591 —

Все приглашения отправлены, проверяйте почту и спам 📩

🥁 Всех прошедших ждём в воскресенье 13 октября на первую очную тренировку. После вводной и фановой части дадим вам несколько тасков на проверку базовых приёмов веба (освежите в памяти видяшку youtu.be/BAzqg4Oocd4 и добейте таки форкбомбу 💪🏻). После перерыва мы расскажем вам про инъекции и как устроены приложения на бэкенде. Потыкаем инъекции в HTML (XSS), шелл-команды и запросы SQL. Тренировка будет около 4 часов. С собой паспорт, ноут и еду.

Когда: воскресенье 13 октября с 13:37 до 18:00
Место: Университет ИТМО, Кронверкский пр. 49

Путь до места от м. Горьковская: https://yandex.ru/maps/-/CGwJnOMs (вход с Сытнинской улицы)
⚠️ Приезжайте заранее, с 12:30 до 13:15. В холле вас будут встречать наши волонтёры и я, к нам нужно будет подойти, отметиться и потом группой пройти до аудитории. Очень прошу не опаздывать — на первую тренировку придут много человек. Придя вовремя, успеете занять удобное место и в целом будете чувствовать себя спокойнее :)

P.S.: Тем, кто не прошёл, на почту отправлено письмо с большим количеством полезных материалов. Если у вас есть вопросы или вы считаете, что вас несправедливо не пригласили, напишите в личку.

— vk.com/wall-114366489_1599 —

📺 Через час Илья разберёт базовые таски по вебу с forkbomb.ru, которые вы решали для прохода на сезон. Готовьте вопросы и присоединяйтесь!

Стрим, а потом и запись: youtu.be/vMYbZ_jZJfk
Начало 12 октября в 19:00 мск

— vk.com/wall-114366489_1609 —

💥 Сегодня мы открыли восьмой сезон тренировок. Он рассчитан на начинающих, первые 6 недель изучаем веб.

После вводной части вы поиграли в викторину, а затем Максим рассказал про инъекции и как устроены приложения. Потренировались на простых инъекциях, шелл-командах и SQL-запросах. Дорешивайте таски на форкбомбе — forkbomb.ru/tasks и готовьте вопросы. Разберём на стриме в субботу.

После каждой сходки будем собирать ваши отзывы, чтобы вовремя отследить, на что обратить внимание и что изменить к следующему разу. Расскажите, как вам? 👉🏻 forms.gle/VCF2CxY4nykg7LnR7

— vk.com/wall-114366489_1614 —

💉 Послезавтра приходите на вторую очную тренировку. Продолжим изучать инъекции: поговорим про SQL, разберём конструкции этого языка запросов к базе, повытаскиваем данные в разных ситуациях.

Когда: воскресенье 20 октября в 13:37 — приходите с 12:45. В холле вас будут встречать волонтёры, к ним нужно будет подойти и отметиться.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 466 ⚠️
С собой паспорт, ноут и еда.

P.S.: Завтра в 19:00 разбираем таски с форкбомбы. Также Илья ответит на вопросы, если пришлёте их сюда: forms.gle/wHjfvFXdoiFufbze8

— vk.com/wall-114366489_1620 —

🔔 Сегодня в 19:00 разбор тасков с воскресной тренировки от Ильи. Если у вас есть вопросы, пишите их заранее в формочку: forms.gle/wHjfvFXdoiFufbze8 Так мы сможем к ним подготовить материалы, если нужно и с большей вероятностью помочь вам.

Подключайтесь по ссылке: youtu.be/u0fA4IS4oK4
После стрима запись останется по той же ссылке.
Когда — 19 октября в 19:00 (мск)

— vk.com/wall-114366489_1625

Сейчас закончилась вторая тренировка по вебу, на которой вы совершенствовали SQL-инъекции. Примечательно, что эту сходку полностью организовали и провели наставники Kids 2.0 (без нас с Ыжом). Шлите отдельные лучи благодарности ребятам! ❤️

Отзывы, вопросы и пожелания собираем в формочке. Поделитесь, как всё прошло? 👉🏻 forms.gle/P4B7pZos44EmgNLG8 👈🏻

Дорешивайте таски на неделе → forkbomb.ru/tasks К следующей сходке будет полезно всё дорешать и разобраться, не копите :)
Не разобранные сегодня таски разберём в субботу на ютубе, ответы на вопросы из формы тоже озвучим в субботу.

— vk.com/wall-114366489_1628 —

🐞 В воскресенье всю сходку будем работать с тулзой для анализа безопасности веб-приложений Burp Suite: что умеет, из чего состоит, как с ним работать, какие есть инструменты, фичи и плагины. Всё будем пробовать на практике. Приглашённый спикер — Денис ttffdd Рыбин из Digital Security.

📚 К тренировке нужно подготовиться:
1. Установить НЕ отсюда Burp Suite Pro – t.me/burpsuite
2. Разобраться, как установить сертификат бёрпа в систему и начать проксировать трафик из браузера,
3. Потыкаться по вкладочкам (особенно полезно тем, кто с бёрпом не работал — сможете лучше понять, что происходит в воскресенье).

Когда: 27 октября в 13:37 — приходите с 12:45. В холле вас будут встречать волонтёры, к ним нужно будет подойти и отметиться.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 466
С собой паспорт, ноут и еда.

— vk.com/wall-114366489_1633 —

⌛️ Через 3 часа Илья сделает разбор воскресных тасков на SQL-инъекции. Если все таски не успеем разобрать, будем учитывать пожелания тех, кто смотрит стрим.

🎤 Стрим и запись будут по ссылке: youtu.be/_sL1ZeSnywU
Когда: 26 октября в 19:00 (мск)

— vk.com/wall-114366489_1643 —

Закончилась третья тренировка по вебу. Денис рассказал кучу полезного про Burp Suite Pro. Отзывы, вопросы и пожелания оставьте, пожалуйста, в форме 👉🏻 forms.gle/8yT3EqFEFTGK88zv6 👈🏻

Отметьте в конце формы то, что недопоняли — постараемся сделать дополнительный стрим или дать полезные материалы. На неделе добавим тасков, дорешивайте → forkbomb.ru/tasks

P.S.: Ссылка на видео про плагины для бёрпа: youtu.be/O0Jqd11GHok

— vk.com/wall-114366489_1650 —

🥑 В воскресенье Илья расскажет как работают веб-страницы в браузерах, какие механизмы защиты есть в браузере и от чего браузеры пока не могут защитить. Будем учиться эксплуатировать XSS, CSRF, посмотрим как выглядит Clickjacking.

Перед сходкой прочтите:
web.dev/browser-sandbox/ — про изоляцию сайтов друг от друга
web.dev/same-origin-policy/ — про то, куда разрешается слать запросы
web.dev/cross-origin-resource-sharing/ — про то, откуда можно на страницу встраивать элементы

Когда: 3 ноября в 13:37 — приходите с 12:45. В холле вас будут встречать волонтёры, к ним нужно будет подойти и отметиться.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 302 ⚠️
С собой паспорт, ноут, пилот и еда.

— vk.com/wall-114366489_1652 —

⏰ С Ильёй вы встретитесь завтра, а сегодняшний стрим проведёт Максим: разберёт воскресные таски, покажет как ставить бёрп на разные системы, чтобы всё работало, и немного расскажет про полезные плагины. Ещё поотвечает на вопросы с прошлой сходки.

Подключайтесь сегодня в 19:00 (мск) 👉🏻 youtu.be/-SbBD7RRSEM 👈🏻

— vk.com/wall-114366489_1654 —

👾 Сегодня Илья рассказал про клиент-сайд атаки в браузере, а затем вы практиковались в XSS. Поделитесь впечатлениями? forms.gle/nozR7GScgBSzBU5P6

Читшит по обходу XSS-фильтров: www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
Презентация → t.me/spbctf/122857

На неделе дорешивайте xss.school.sibears.ru, позже появятся ещё таски на forkbomb.ru — в субботу всё разберём.

— vk.com/wall-114366489_1656 —

🤖 На воскресной тренировке разберёмся с сервер-сайд багами: Сергей расскажет про чтение файлов через XML-инъекции (XXE), Рома покажет, что можно сделать, имея возможность инклудить файлы как php-скрипты (file inclusion), а Миша — загружать новые скрипты на сервер (unsafe upload). Ещё должны успеть рассказать про некоторые CVEхи (heartbleed, imagetragick, gifoeb, phuip-fpizdam).

🍕Перед сходкой полезно прочесть:
habr.com/ru/post/325270/ — про XXE
habr.com/ru/company/vds/blog/454614/ — тоже XXE
itsecwiki.org/index.php/Lfi — про file inclusion
www.owasp.org/index.php/Unrestricted_File_Upload

Когда: 10 ноября в 13:37
Подходите в холл с 12:45, чтобы отметиться у волонтёров.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 302
С собой паспорт, ноут, пилот и еда.

— http://vk.com/wall-114366489_1659 —

🧰 Сегодня в 19:00 смотрите илюхин разбор заданий на XSS. Разберём все 17 заданий от команды SiBears на проведение атаки в разных ситуациях и местах инъекции.

▶️ Когда: 9 ноября в 19:00 по мск
Стрим и запись: youtu.be/IQTJOxzhOWk

— vk.com/wall-114366489_1661