As inscrições para o Pwn2Win CTF 2017 estão oficialmente abertas. Toda ajuda na divulgação é muito bem-vinda, e essencial para um bom engajamento de players brazucas.

Esse ano será utilizada nossa nova plataforma, que já foi testada no Pwn2Win PTE, em fevereiro. O registro é um pouco diferente, e todas instruções podem ser vistas em https://github.com/pwn2winctf/2017. O paper sobre ela já está no arXiv e pode ser acessado aqui.

O funcionamento da competição também será diferente em relação ao ano passado, sendo o CTF dividido em duas etapas. Alguns challenges só poderão ser acessados pelos times que resolverem um montante X antes. Esses desafios da segunda etapa são os que precisam de isolamento, e serão acessados dentro da rede da VPN, onde será feito o deploy de máquinas exclusivas para as equipes.

Todas as regras e demais informações podem ser encontradas em https://pwn2win.party/regras.

Let’s pwn!

Com o objetivo de continuar o trabalho realizado pelo CTF-BR University, que disseminou gratuitamente e em grande estilo as competições pelo Brasil por cerca de um ano e meio, vamos assumir a continuidade da ideia, realizando competições sob demanda. Com challenges realmente inteligentes e que possibilitam um real aprendizado aos players, fazendo-os pensar “fora da caixa”, vamos ofertar:

  • Para Empresas – Competições sob demanda para Empresas, visando:
    • Treinamento dos colaboradores, impulsionando-os a evoluir tecnicamente e exercitar o raciocínio lógico, possibilitando-os resolver problemas do cotidiano mais rapidamente;
    • Recrutamento de candidatos, com o objetivo de testar os conhecimentos de candidatos a vagas de TI de forma prática e ter uma noção real do que eles sabem.
  • Para Eventos e Universidades – Competições sob demanda para alunos de Universidades e participantes de Eventos de Tecnologia, visando engajá-los no maravilhoso mundo dos CTFs. Uma atividade que pode inclusive servir para horas complementares.

As categorias de challenges que podemos aplicar nas competições são as seguintes:

  • Categorias de desafios: Redes (Networking), Análise Forense (Forensics), Engenharia Reversa (Reversing), Web Hacking, Binary Exploitation, Criptografia (Cryptography), Etapa de Ataque (Attack Step que engloba diversas categorias e conhecimentos em Pentest), PPC (Professional Programming and Coding), Eletrônica (Eletronics), Física (Physics), Outros (Miscellaneous).
  • É importante ressaltar que a maioria dos desafios, além de testar o conhecimento técnico dos competidoresenvolvem muito raciocínio lógico. Alguns, dentro da categoria Misc, testam apenas o raciocínio lógico, não envolvendo conhecimentos específicos em computação.

Entre em contato para saber mais, e não perca a oportunidade ímpar de ter uma competição realizada pelo time mais antigo do Brasil, organizadores do CTF híbrido internacional Pwn2Win e mantenedores do Projeto CTF-BR!

Para saber mais sobre a equipe, baixe nossa apresentação resumida aqui.

We are glad to announce Dragon Sector was the Pwn2Win CTF 2016 Attack Step Winner. Congratulations for keeping working on the challenge even after the main event was finished! This was a difficulty and multi-step challenge involving:

  1. Network traffic forensics Identifying a port knock to an IPv6 address in a pcap dump.
  2. Web exploitation Exploiting an upload script which allowed to insert a webshell into the server.
  3. Cryptography — Analyzing a crypto-related Python script to recover the private key which allowed to access the server via SSH as the clube user.
  4. Linux system administration skills — Once connected via SSH using the previously identified port knock, the competitor needed to analyze the /etc/lshell.conf file to find a way to run arbitrary executable files as the clube user.
  5. Kernel exploitation — Exploiting a stack overflow bug in a LKM implementing an I2C device driver in ARM architecture. The /dev/dieitalic0 device exposed by the LKM was only accessible to the clube user. The bound check failed when the I2C device was not physically connected to the server because of a wrong signed/unsigned conversion, requiring attention to the ARM instruction condition code suffixes. The kernel did not implement any ret2usr protection, but the bug was tricky to exploit because running the LKM inside a debugger was almost infeasible.

After gaining root in the server and recovering a Bitcoin private key contained inside the /root directory, the Dragon Sector team was able to transfer the special prize of 116.110 mBTC to their own Bitcoin address.

Attack Step BTC transaction

Below we have the cryptographic proof that Dragon Sector was the Attack Step Winner.

-----BEGIN BITCOIN SIGNED MESSAGE-----
Dragon Sector
-----BEGIN BITCOIN SIGNATURE-----
Version: Bitcoin-qt (1.0)
Address: 1F5Rkf6bg2XG7zKZ3cdNpQivkyLfcm3H3p
IHibYzkteTuu5PdbJO0gij2uajarNtY9tF8jIzXLW6GQeULmzIqAIvF1eOop1Q4QYNg82YXYYLcwcEkC8P2z9FE=
-----END BITCOIN SIGNATURE-----

 

As inscrições do Pwn2Win CTF 2016 estão oficialmente abertas! Toda ajuda para divulgação é muito bem-vinda e essencial para o sucesso da competição. Queremos engajar não só os CTF players brasileiros (e gringos), mas também a galera das maratonas de programação, e o pessoal que curte física, matemática, eletrônica, etc.

Como já falamos anteriormente, será um CTF Temático Híbrido internacional, com duração de 48 horas consecutivas e premiação em bitcoins!

Todas informações do evento, bem como alguns cartazes para quem quiser ajudar na divulgação online e offline podem ser vistas em https://pwn2win.party.

A4-Pwn2Win-Divulgacao-Online

dino

 

Após uma reunião do ELT com o TecLand Group na última sexta-feira, definimos a premiação e data da edição 2016 do Pwn2Win CTF. Ocorrerá no dia 25 de março, iniciando na sexta-feira, 13h37, com duração de 48 horas consecutivas. Como percebemos na última edição, premiação física (eletrônicos, etc) acaba favorecendo apenas um dos membros do time, então desta vez o prêmio será em bitcoins, e cada equipe poderá decidir como dividir ou o que comprar. Estamos trabalhando para que seja uma experiência ímpar em CTFs no Brasil, uma competição que ficará, como a primeira edição, marcada na história do hacking desse país. Os challenges serão realmente complexos, e terão uma temática muito interessante. Para dar mais emoção, decidimos que esse será o primeiro CTF brasileiro internacional, pois todos os challenges terão versão em inglês e irá figurar no CTFTime (\o/).

Aos que pretendem participar, é bom começar a estudar! 🙂

Todas as infos podem ser encontradas em https://pwn2win.party.

Contariando a ideia que tínhamos quando organizamos o Pwn2Win 2014, que era de fazer apenas uma edição pra descobrir quem realmente é leet no Brasil, com nossa nova line-up decidimos fazer um novo evento, desta vez um CTF temático, estilo Hacking n’ Roll, e bem mais hardcore do que o primeiro.

Os fracos sucumbirão, os fortes perecerão e somente os leets vencerão!

Interesse em patrocinar? Contate-nos!

Fiquem ligados nas novidades! 😉

Após batermos na trave diversas vezes, quase gabaritando outros CTFs, como o Hacking n’ Roll 4 (faltaram 3 challenges), Pragyan CTF (faltou 1) e CTCTF.io (faltou 1), normalmente faltando sempre challenges que envolviam math/crypto, finalmente conseguimos emplacar no AusCERT, e sim, resolvendo o challenge “remanescente” de criptografia! \o/ O CTF ocorreu de 1º a 5 de junho, enquanto rolava a conferência AusCERT – Australia’s premier CERT, na Austrália. Começamos a jogar nos dias finais, just 4 fun, mas como o andamento das resoluções estava fluindo bem, nos empolgamos e conseguimos matar todos. Ficamos em 9º, mas poderíamos ter tirado Top 5 se não fossem as bônus, que apareciam esporadicamente e davam 30 segundos para o time que estivesse antenado resolvê-las. Naturalmente, quem começou a jogar antes, conseguiu pegar mais bônus! 🙂 O CTF continha 4 níveis de challenges, sendo o 4º apenas para quem estivesse in loco.

Parabéns aos guerreiros do ELT que jogaram!!! \o/ o/ o\

Segue o ranking final:

ranking final