На выходных состоялся CTF под айти-брендом Тинькофф. В течение 36 часов мы втроём с друганами ковыряли 30 тасков разной степени сложности и упоротости. Думаю, это был один из лучших российских цтфов за последнее время: за разработку заданий отвечали ребята из SpbCTF, а Тинькофф провёл жоский маркетинг и привлёк на игру около 5 тысяч человек 🤯

Оцениваю как хороший результат для дедов которые стфят дай бог 2 раза в год

Оцениваю как хороший результат для дедов которые стфят дай бог 2 раза в год

Содержание

NAMCAP (Android + недостаточная проверка прав на сервере)

Старый добрый Android. Я буду использовать готовое окружение для анализа приложений, про то как его настроить можно почитать например тут.

Тыкаем приложение

Перед нами самый обычный пакман, в котором нужно зарегистрироваться и соревноваться в количестве очков с другими юзерами.

Untitled

Доступны следующие действия (не считая самой игры):

  1. Зарегистрироваться
  2. Залогиниться
  3. Включить двухфакторную аутентификацию
  4. Флипнуть игру (что бы это не значило) — простым смертным недоступно
  5. Отображается также инфа: логин, рекорд в игре, гейм-мастер с подозрительным логином admin_***

Очевидно, что имя админа нам показывают не просто так, нужно каким-то образом войти в него, не зная пароль, при этом скорее всего у него включена 2FA, которую так же нужно обойти. Далее нам нужно попробовать флипнуть от его имени игру, и, возможно, каким-то образом мы получим флаг (либо какую-то новую инфу, куда нам двигаться).

Untitled

Смотрим трафик

/api/8343a52f49092996144452efc8ca502e/get_public_token