Burgerhalva
Script Kiddie
- 12.10.2019
- 1
- 2
Поехали мы с командой HackerLab на финал AITU CTF 2026 
Это международные соревнования по кибербезопасности от FR13NDS TEAM и Astana IT University, финал которых проходил 24-25 апреля в Астане в офлайн-формате.
Про формат
Еще отборочные давали понять, что основной упор будет на веб, и, как оказалось, это было не просто так. Финал проходил в формате кибербитвы: был полигон, виртуальный город с несколькими сегментами, где нужно было ломать внешние сервисы, закрепляться внутри и постепенно продвигаться дальше.
Лично мне такой формат нравится больше, чем классический attack-defense. Attack-defense часто больше похож на задрачивание именно формата: нужно иметь свои фермы, постоянно подстраивать их под формат флагов, держать эксплойты запущенными у себя на машине до конца соревнований. Это прикольно, но имеет мало общего с реальностью.
Киберполигон ощущается намного ближе к настоящей работе.
Тут есть первичное пробитие, фишинг, постэксплуатация, перемещение по внутренней сети. Ты не просто нашел багу, зарепортил и пошел дальше. Ты пытаешься понять, какой у нее реальный импакт и как выжать из нее максимум.
Что понравилось
Что касается самого соревнования, мне оно зашло. Было крайне мало CVE с готовыми payload-ами. Даже если они и встречались, обычно нужно было найти что-то руками, докрутить идею и понять, как это применить именно в текущей инфраструктуре.
Еще важный момент: тут каждая бага несла смысл
Если ты находил XXE или SSRF, это не было просто отдельной находкой ради баллов. Например, через XXE можно было почитать файлы, но если копнуть конфиги nginx, можно было найти новые хосты. Если это SSRF, то дальше уже ищем redis и думаем, что с этим можно сделать.
Вроде очевидные вещи, но по факту это совсем другое ощущение, чем классический CTF или даже багбаунти. Мы действуем ближе к реальным хакерам: нашли вход, поняли импакт, развиваем атаку дальше, а не просто фиксируем уязвимость и идем за следующей.
Когда получаешь доступ внутрь, открываются новые возможности и новые сервисы. Также были таски на логические уязвимости, что особенно порадовало. И, что интересно, их решило не так много команд. Конечно же, мы забрали FB
Нужно было разобраться с сервисом, понять его бизнес-логику и придумать, как ее абузить. Это было достаточно весело и реально напоминало баги, которые встречаются в дикой природе.
Как шла игра
Соревнования шли два дня, и это тоже добавляло динамики.
В первый день мы шли примерно в середине таблицы: где-то что-то находили, где-то упирались, параллельно пытались понять логику полигона и то, как вообще лучше к нему подходить.
Но ко второму дню мы уже немного адаптировались. Нормально распределили задачи внутри команды, перестали распыляться и сфокусировались на рисках, за которые давали много баллов. Начали целенаправленно разбирать именно их, докручивать найденные баги до реального импакта и продвигаться глубже.
В итоге такой подход оказался мегаэффективным: мы резко ускорились и начали хорошо подниматься по таблице.
Немного необычного
Из необычного запомнился участник, который приехал один из Южной Кореи. Он обвесился ИИ-агентами, которые делали за него всю работу
Конечно, выиграть он не смог, но при этом занял далеко не последнее место. Подход интересный. Думаю, если бы у него был хороший опыт именно в полигонах, он вполне мог бы показать результат на уровне топ-команд.
На afterparty организаторы рассказали много интересного. Например, что около 90% трафика генерировали ИИ-агенты. Это тоже довольно показательно, выводы делайте сами
Итог
В общем и целом, это было круто. У офлайн-ивентов есть своя особая атмосфера, а киберполигон - это реально полезный и интересный формат.
В итоге мы заняли второе место
, чему, конечно, очень рады. Надеюсь, все больше команд и организаторов будут брать пример с AITU и делать такие же качественные мероприятия.
Это международные соревнования по кибербезопасности от FR13NDS TEAM и Astana IT University, финал которых проходил 24-25 апреля в Астане в офлайн-формате.
Про формат
Еще отборочные давали понять, что основной упор будет на веб, и, как оказалось, это было не просто так. Финал проходил в формате кибербитвы: был полигон, виртуальный город с несколькими сегментами, где нужно было ломать внешние сервисы, закрепляться внутри и постепенно продвигаться дальше.
Лично мне такой формат нравится больше, чем классический attack-defense. Attack-defense часто больше похож на задрачивание именно формата: нужно иметь свои фермы, постоянно подстраивать их под формат флагов, держать эксплойты запущенными у себя на машине до конца соревнований. Это прикольно, но имеет мало общего с реальностью.
Киберполигон ощущается намного ближе к настоящей работе.
Тут есть первичное пробитие, фишинг, постэксплуатация, перемещение по внутренней сети. Ты не просто нашел багу, зарепортил и пошел дальше. Ты пытаешься понять, какой у нее реальный импакт и как выжать из нее максимум.
Что понравилось
Что касается самого соревнования, мне оно зашло. Было крайне мало CVE с готовыми payload-ами. Даже если они и встречались, обычно нужно было найти что-то руками, докрутить идею и понять, как это применить именно в текущей инфраструктуре.
Еще важный момент: тут каждая бага несла смысл
Если ты находил XXE или SSRF, это не было просто отдельной находкой ради баллов. Например, через XXE можно было почитать файлы, но если копнуть конфиги nginx, можно было найти новые хосты. Если это SSRF, то дальше уже ищем redis и думаем, что с этим можно сделать.
Вроде очевидные вещи, но по факту это совсем другое ощущение, чем классический CTF или даже багбаунти. Мы действуем ближе к реальным хакерам: нашли вход, поняли импакт, развиваем атаку дальше, а не просто фиксируем уязвимость и идем за следующей.
Когда получаешь доступ внутрь, открываются новые возможности и новые сервисы. Также были таски на логические уязвимости, что особенно порадовало. И, что интересно, их решило не так много команд. Конечно же, мы забрали FB
Нужно было разобраться с сервисом, понять его бизнес-логику и придумать, как ее абузить. Это было достаточно весело и реально напоминало баги, которые встречаются в дикой природе.Как шла игра
Соревнования шли два дня, и это тоже добавляло динамики.
В первый день мы шли примерно в середине таблицы: где-то что-то находили, где-то упирались, параллельно пытались понять логику полигона и то, как вообще лучше к нему подходить.
Но ко второму дню мы уже немного адаптировались. Нормально распределили задачи внутри команды, перестали распыляться и сфокусировались на рисках, за которые давали много баллов. Начали целенаправленно разбирать именно их, докручивать найденные баги до реального импакта и продвигаться глубже.
В итоге такой подход оказался мегаэффективным: мы резко ускорились и начали хорошо подниматься по таблице.
Немного необычного
Из необычного запомнился участник, который приехал один из Южной Кореи. Он обвесился ИИ-агентами, которые делали за него всю работу
Конечно, выиграть он не смог, но при этом занял далеко не последнее место. Подход интересный. Думаю, если бы у него был хороший опыт именно в полигонах, он вполне мог бы показать результат на уровне топ-команд.
На afterparty организаторы рассказали много интересного. Например, что около 90% трафика генерировали ИИ-агенты. Это тоже довольно показательно, выводы делайте сами
Итог
В общем и целом, это было круто. У офлайн-ивентов есть своя особая атмосфера, а киберполигон - это реально полезный и интересный формат.
В итоге мы заняли второе место
, чему, конечно, очень рады. Надеюсь, все больше команд и организаторов будут брать пример с AITU и делать такие же качественные мероприятия.
