На прошлой неделе состоялось NetAcad CTF — соревнование от Сетевой академии Cisco и Ярославского государственного технического университета. Призы для участников и призёров, три трека, включая гостевой — что же могло пойти не так? Ну, например, всё.
Ниже — анонимный рассказ одного из участников официального трека.
Недавно мне удалось поучаствовать в данном CTF и хочется поделиться своими впечатлениями. А впечатления — огонь.
Началась все с анонса данного чуда:
Цтф для студентов, проходящих курсы от Cisco, еще и с призами!
Так как я вхожу в число таковых, было решено поучаствовать (да чего уж там, я и в вузе соревнование прорекламировал). Однако, с самой регистрации меня не оставляло чувство, что в чем-то тут подвох.
И вот почему:
Соревнование от Сетевой академии Cisco (а сайт Академии — самое худшее, что я видел в своей жизни)
Разработчик тасков не внушает доверия (вы когда-нибудь слышали о цтфах от Ярославского университета и технологической школы?)
3. Регламент. Полную версию почитайте сами, а я просто покажу это:
«Интересно, какие технические приспособления нельзя использовать во время цтфа...» За три дня до соревнований на почту приходит напоминалка с эпическим содержимым:
Про отсутствие https и 8000 порт вместо 80 я вообще молчу. Напоминалка за один день:
То есть, они ничего не поменяли, но просто пригрозили закрыть доступ к заданиям тем, кто залогинится на сайте раньше срока...
Окей, день соревнований, логинимся на сайте, сразу меняем пароль (или ник) и видим таски...
Вы когда нибудь решали CTF, на котором все таски позаимствованы с других CTF? Все. Абсолютно все. Причем, вместе с форматом флага. Мои эмоции просто не передать словами, как и скорборд соревнований:
Более того, организаторы пошли дальше в своих инновациях (или постиронии, кому что ближе) и установили 3 попытки на сдачу каждого задания. А ещё — любезно указали формат флага в подсказках:
Как это мило
Не трудно догадаться, что данный CTF превратился в соревнование по спидгуглингу райтапов. Если посмотреть с альтернативных точек зрения, это довольно интересный формат соревнований по осинту (учитывая, что организаторы заботливо вырезали описание заданий в некоторых задачах, а ещё перевели имена тасков в переводчике, поиск райтапов приобрел некоторый шарм). Жалко, это не они...
Формат всё-таки довольно интересный, а вот по содержанию CTF действительно ничем не отличался от других CTF. (Ба дум тсс)
Но это еще не всё! Как можно ещё больше зафакапить соревнование, спросите вы? Легко! — отвечу я! Достаточно взять задания, в которых есть веб-сервис или описание, где указано, как получить флаг вторым шагом и... просто убрать их! Оцените: Оригинальное описание таска:
36 человек решили таск, не зная формата флага! Ну, вы поняли)) 🤡
Более того, тупое копирование тасков оказалось сложным, поэтому в некоторых ещё и не сдавались флаги 👌.
Ещё смешные моменты:
Окей, лови ссылку на гугл
Кто-то наконец-то понял прикол с логинами и паролями.
Я опустил некоторые моменты, которые могут подвергнуть честь или достоинство других людей риску. Просто знайте, что вы увидели далеко не все эпические моменты.
В целом как-то так. Я бы номинировал этот цтф на провал года, но он не заслуживает таких почестей.
Глобальный вывод: играйте в хорошие цтфы и не играйте в цтфы от Cisco.
