И еще writeup по итогам VolgaCTF Qualifier 2023

​​Мой первый решенный исполняемый PWN на Go. VolgaCTF 2023 Qualifie, ponGO PWN

Ку, киберрекруты. На днях прошел квалификацию на финал от VolgaCTF. Мне очень понравилось задание из категории PWN под названием panGO.  Из описания очевидно, что исполняемый файл написан на языке Go. Первым делом проведем разведку бинаря. Начнём

📌 Читать далее

#reverse #asm #pwn

Перед выходными - в самый раз почитать... еще один writeup!


Таск SPlin


https://ctftime.org/writeup/37342
Инжой.

Астрологи объявили неделю call for papers. Или это были мы.

Поэтому напоминаем, что у вас есть возможность вписаться с темой своего доклада и ярко стартануть осень на VolgaCTF 2023. Выступать предстоит 12-13 сентября.

❗Заявки принимаем до 10 августа.

Чтобы стать звездой конфы нужно просто написать @andmvar

#volgactf2023 #final #cfp

Регистрация для слушателей на конференцию VolgaCTF 2023

Послушать доклады крутых специалистов из ведущих ИБ-компаний страны, а также независимых экспертов может любой желающий. Мероприятие открытое и бесплатное.

Когда: конференция состоится 12-13 сентября.

Регистрация: единственное ограничение - количество свободных мест. Поэтому надо зарегистрироваться по ссылке, чтобы мы знали о вашем участии.

Где: HolidayHall Самара (бывшая гостиница Holiday Inn Самара)
г. Самара, ул. Алексея Толстого, д. 99

До встречи!
#VolgaCTF2023 #Final

Программа VolgaCTF 2023 уже доступна

Посмотреть расписание можно на официальном сайте.

Напоминаем, что конференция будет проходить два дня - 12 и 13 сентября. Специалисты ведущих компаний в области информационной безопасности и независимые эксперты будут делиться своим опытом, практикой и знаниями. Темы: от багбаунти, пентеста и опыта Standoff до крипты и ChatGPT с точки зрения безопасности. Будет интересно!

Если вы хотите прийти на конференцию очно, то нужно зарегистрироваться тут. Так мы будем знать, сколько гостей ждать.

Посмотреть онлайн тоже можно! Мы запустим онлайн-трансляцию с синхронным переводом. Однако в нее не попадут некоторые доклады спикеров - по желанию самих спикеров.

Поэтому приходите! Будем рады встрече! Всем #VolgaCTF #final

Суббота - время почитать немного новостей про программу VolgaCTF и почиллить.

Поэтому новость раз.«Лаборатория Касперского» едет на VolgaCTF втроем! Подробности докладов будут совсем скоро.

Новость номер два. Ребята приглашают сыграть в крутую игрушку, «Миссию Мидори White Hat» на знание offensive и defensive. На пути вам будут встречаться герои, которые нуждаются в помощи. Задача — постараться решить их проблемы, применив свои ИБ-скилы: например, запентестить умное такси или провалидировать отчет о защищенности завода.

Поиграть можно по этой ссылке фор фри

Пока вы пакуете чемоданы, мы рассказываем еще про одну команду, которая уже не первый год поддержвает VolgaCTF. А в этот раз ребята едут прямо-таки большим составом.

Партнеры соревнований — команда BI.ZONE:

🔹Андрей Левкин от команды BI.ZONE Bug Bounty разберет уязвимости, которые описывались в отчетах;
🔹Свои доклады представит не только Андрей, а много (правда много) спикеров от BI.ZONE по разным темам;
🔹Участники и гости VolgaCTF доберутся до уже традиционной активности Похек за 10(15) минут и проверят себя на скорость и трезвость ума в баре;
🔹 А информационную поддержку оказывает дружное комьюнити OFFZONE.

Про подробности всех активностей — совсем скоро.
#VolgaCTF2023 #Final

Мы назначили ответственного по всем вопросам: @volonter_ctf_bot и про расписание докладов напомнит, и поможет кофе-брейк не пропустить, и со спикерами, если надо, свяжет.

Подключайтесь в бот, оставляйте комментарии, задавайте вопросы. Потому что в конечном итоге читать их будем все равно мы.

Всегда на связи,
команда #VolgaCTF2023

Последние приготовления на площадке к завтрашнему открытию уже всё, но как следуют выспаться перед началом Волги не для нас.

Если тебе (как и нам) не терпится приблизить мгновения куража и ламповости #VolgaCTF2023, а еще ты уже в Самаре (или всегда здесь), приходи знакомиться и общаться в Другой Z Бар (улица Фрунзе 111).

Ждем!

Мы стартовали!

#VolgaCTF2023

А теперь рассказываем про доклады конференции.

Открывает программу Иван Костомаха.

Standoff - взгляд глазами тренера на обучение

Доклад Ивана про образовательные инициативы в области информационной безопасности в РФ на примере Standoff.

Как при помощи команд "красных" учат команды защитников инфраструктуры и почему по итогу получается win-win.

#VolgaCTF2023 #speakers

Онлайн-трансляция, конечно, не передает нашей неповторимой атмосферы. Зато очень даже передает содержание докладов от спикеров.

Так что если вы не смогли найти время приехать на финал. #VolgaCTF2023 очно, ловите ссылку на трансляцию.
Доступен синхронный перевод.

Разбираем уязвимости вместе с BI.ZONE Bug Bounty

Андрей Левкин расскажет, что такое багбаунти и какие преимущества есть у багхантера, а также разберет несколько отчетов.

#VolgaCTF2023 #speakers

Следующий в программе

Введение в анализ и фаззинг современных веб-браузеров на примере Google Chrome

Козлов Андрей, W0lFreaK, Лаборатория Касперского:

"Современные браузеры являются ключевыми компонентами цифровой инфраструктуры, обеспечивающими доступ к интернету и обработку веб-содержимого. Однако, с ростом сложности и появлением новой функциональности возникает повышенный риск появления уязвимостей, которые могут быть проэксплуатированы злоумышленником для реализации атак на обычных пользователей. В рамках доклада мы рассмотрим структуру современного веб-браузера на примере Chrome V8 и внутреннее устройство JavaScript, а также типовые уязвимости и методы их обнаружения с помощью фаззинга."

#VolgaCTF2023 #speakers

Не расходимся. Следующий в программе

Николаев Кирилл, Senior Penetration Tester at Kaspersky Lab

с темой

Взлом mskHost или почему опасно быть scriptkiddies

Кирилл будет проводить разбор детских ошибок scriptkiddies на примере взлома провайдера mskHost.
#VolgaCTF2023 #speakers

После перерыва сразу два спикера!

Ильдар Садыков. Руководитель отдела экспертного обучения ESC. Ментор синих команд Standoff

Игорь Литвин. Специалист отдела экспертного обучения ESC. Ментор синих команд Standoff.

Утилиты и приемы используемые красными командами на площадке Standoff. Взгляд со стороны защитников

Цитата от ребят:

"Расскажем о том, что используют красные команды при взломе инфраструктуры Standoff, как это выглядит в интерфейсе СЗИ со стороны синих команд. А также немножко поразбираемся, как работают некоторые из них".

#VolgaCTF2023 #speakers

Продолжаем серию дуэтов. Следующие свой доклад представят

Лямкин Алексей Андреевич, Уваров Петр Александрович, VK.

Доклад: Путь багхантера - The way of the BugHunter"

Описание доклада настолько подробное, что можно даже не конспектировать:

1) Bug Bounty – важный элемент в системе многоуровневой защиты сервисов VK.
2) Как в VK происходит валидация и оценка уязвимости. Кейсы и примеры нашего самостоятельного докручивания присланных баг до высокого импакта.
3) Багхантеры бывают разными, и каждый специализируется на чем-то своем (практические примеры на реальных отчетах без конкретных деталей)
4) Путь багхантера – как VK определяет рост багхантера и критичность находимых уязвимостей. Примеры отчетов у разных хакеров, с частичным раскрытием информации.
5) Как происходит раскрытие отчетов на площадках.
6) Топ-5 интересных багов найденные на российских площадках за год.

#VolgaCTF2023 #speakers

Тем временем мы уже разговариваем о client side уявимостях, Bi.Zone вместе с
Елизаром Батиным.

Речь идёт об особенностях в web-стандартах, client-side уязвимостях, и методах их эксплуатации на примере интересных задач из крупных международных ctf.

#volgactf2023 #speakers