Na przedostatnim streamie pojawiło się zadanie nazwane później "drone scan", w którym, "kontrolując" (trochę na zasadzie gry paragrafowej) skanującego drona, należało wykonać mapę bardzo dużych podziemi pod pewnym zamkiem. Rozwiązań pojawiło się zaskakująco dużo (podsumowanie rozwiązań przygotowane przez foxtrot charliego) i wspominałem już o nich na ostatnim streamie. Rzeczą nierozstrzygniętą pozostał ogłoszony podczas streamu konkurs na najlepszą animację (w postaci video) samego skanowania.
Na dole postu znajdują się wszystkie zgłoszone prace, ale zacznę od ogłoszenia zwycięzcy konkursy, do którego wędruje książka "Wprowadzenie do algorytmów" (czyli słynny "Cormen") ufundowana przez Wydawnictwo Naukowe PWN (podziękowania):
Autor zwycięskiej animacji: blamedrop - gratulacje!
Wszystkie można obejrzeć poniżej:
Autor: blamedrop
Autor: abc
Autor: KrzaQ
Autor: protonmm
Autor: Marcin Jakubowski
Autor: pajadam
Autor: Pe Zet
Autor: Łukasz Geras
I jeszcze kilka losowych rzeczy powiązanych z samym zadaniem i konkursem.
Jak wspomniałem na omówieniu misji (tj. na poprzednim livestreamie), zadanie nie polegało na ściągnięciu wszystkich możliwych pozycji drona (których było przeszło 180 tys.), niemniej jednak było to popularnym podejściem, zapewne zgodnie z założeniem, że łatwiej eksperymentować na plikach na dysku, niż ściągając pakiety po sieci. To z kolei sprowadziło się do momentami bardzo dużego obciążenia mojego serwera, który, o dziwo, wytrzymał i nawet przy ponad 300 QPS (queries per second) nadal poprawnie wyświetlał blog j00ru i mój (yay!). W każdym razie, trochę statystyk!
Max QPS: 626 zapytań w ciągu jednej sekundy
Średni QPS (w ciągu dwóch tygodni): 22 (podczas normalnej pracy serwera zdecydowanie 1 QPS nie jest przekraczany)
Całkowita liczba ściągniętych skanów drona: 7,872,509 pozycji
I jeszcze wykres maksymalnego lokalnego QPS oraz średniego QPS (w obu przypadkach dla próbki o długości minuty; click to zoom):
Co do samych prac, to jestem zaskoczony, że nikt nie pokusił się o 3D - raycasting sam się narzuca moim zdaniem (no i byłby to izi win ;). Inną sprawą były zgłoszone prace interaktywne - pojawiło się kilka bardzo bardzo fajnych (np. Krzysztofa Sternika, Argento czy blamedropa); same w sobie niestety nie mogły być rozważane w konkursie, ponieważ technicznie nie były video na yt czy gifem. Oczywistym obejściem, o którym zresztą pisałem tu i tam, i które zostało wykorzystane m.in. przez zwycięzce, było nagranie pulpitu/aplikacji i zgłoszenie tego do konkursu. Dodam, że część z nich bazowała na CORS, o który zostałem poproszony na samym początku konkursu.
Następny konkurs zapewne będzie na coś bardziej interaktywnego :)
I tyle!
Sections
Links / Blogs
- → dragonsector.pl
- → vexillium.org
- Security/Hacking:
- Reverse Eng./Low-Level:
- Programming/Code:
Posts
- HACK-A-SAT 4: Wywiad z Poland Can Into Space,
- Mamy to! Paged Out! #3,
- O rekompilacji i autorstwie z pociągami w tle,
- Seria szkoleń z plików binarnych (pierwsze jest darmowe),
- Wykład „Jak wygrywać CTFy” już jutro (wersja rozszerzona),
- Nasza nowa książka: Wprowadzenie do bezpieczeństwa IT,
- Live: Życie po Google, czyli co dalej,
- Rozwiązania MSHP CTF (październik 2022),
- Mega Sekurak Hacking Party 2021 i „CTF w pudełku?!”,
- lightning Sekurak Hacking Party,
- → see all posts on main page
// copyright © Gynvael Coldwind
// design & art by Xa
// logo font (birdman regular) by utopiafonts / Dale Harris
/* autor będący jednocześnie właścicielem bloga zezwala na próby (również skuteczne) przełamania zabezpieczeń bloga (na poziomie HTTP, server nie mój, zostawmy go w spokoju ;>) bez ponoszenia konsekwencji jakiegokolwiek rodzaju (nie dotyczy to ataków DoS) - czyli w skrócie, uznaje że wszystkie informacje w katalogu bloga są przeznaczone dla osób którym uda się je przeczytać, i wszystkie osoby uprawniam do zmiany ich treści/zawartości jeżeli uda się im ją zmienić) ... dodam że w pewnych miejscach umieściłem zabawne fotki z kotkami, jest ich obecnie 7, i zachęcam do ich poszukania ;> dajcie mi znać jak wszystkie znajdziecie to wrzuce jakieś gratulacje or sth ;> */
Vulns found in blog:
* XSS (pers, user-inter) by ged_
* XSS (non-pers) by Anno & Tracerout
* XSS (pers) by Anno & Tracerout
* Blind SQLI by Sławomir Błażek
* XSS (pers) by Sławomir Błażek
// design & art by Xa
// logo font (birdman regular) by utopiafonts / Dale Harris
/* autor będący jednocześnie właścicielem bloga zezwala na próby (również skuteczne) przełamania zabezpieczeń bloga (na poziomie HTTP, server nie mój, zostawmy go w spokoju ;>) bez ponoszenia konsekwencji jakiegokolwiek rodzaju (nie dotyczy to ataków DoS) - czyli w skrócie, uznaje że wszystkie informacje w katalogu bloga są przeznaczone dla osób którym uda się je przeczytać, i wszystkie osoby uprawniam do zmiany ich treści/zawartości jeżeli uda się im ją zmienić) ... dodam że w pewnych miejscach umieściłem zabawne fotki z kotkami, jest ich obecnie 7, i zachęcam do ich poszukania ;> dajcie mi znać jak wszystkie znajdziecie to wrzuce jakieś gratulacje or sth ;> */
Vulns found in blog:
* XSS (pers, user-inter) by ged_
* XSS (non-pers) by Anno & Tracerout
* XSS (pers) by Anno & Tracerout
* Blind SQLI by Sławomir Błażek
* XSS (pers) by Sławomir Błażek
Comments:
Add a comment: