2017-10-15:

Wyniki Security PWNing Code Golf 2017

security pwning
Zdecydowaną zaletą konkursów typu code golf / sizecoding jest łatwość testowania i oceny prac, dzięki czemu wyniki mogę ogłosić od razu po zakończeniu konkursu. Tak więc, nie przedłużając, chciałbym pogratulować następującym osobom (każda z nich otrzyma po wejściówce na konferencję Security PWNing 2017):

1. Marcin Probola (169 bajtów, zgłoszone 13.10.2017 23:17)
2. Robert Sebastian Gerus (169 bajtów, zgłoszone 14.10.2017 1:15)

Konkurs był niesamowicie zacięty - przyszły aż 22 rozwiązania z przedziału 170-179 bajtów, a w sumie zgłoszone zostały 84 potencjalne rozwiązania (w tym kilka nieprawidłowych).

Listę zgłoszeń można zobaczyć tutaj, a same zgłoszenia tutaj.

Chciałbym podziękować wszystkim za udział - good game, well played :)

P.S. Jako, że jest to blog również o hackingu, to nie sposób nie wspomnieć o bardzo kreatywnych metodach na nagięcie zasad.

Zacznę od tego, że liczyłem na skorzystanie z pewnych sztuczek - dlatego zresztą w miarę dokładnie opisałem jak będę testował nadesłane zgłoszenia. I większość z Was faktycznie z przewidzianych tricków skorzystała (w tym zwycięzcy). Istotne jest jednak to, iż "w miarę dokładnie" w tym wypadku oznaczało jednak pominięcie dokładnego opisu kilku rzeczy, a konkretniej:

1. Tego jak będę umieszczał zgłoszenia w środowisku testowym - do tego służył mi zestaw skryptów, który ściągał pliki po FTP i nadawał im odpowiednią nazwę (MD5); dodam, że archiwa rozpakowywałem oczywiście na hoście.
2. Oraz tego co się będzie działo pomiędzy kolejnymi testami - czyli kasowania poprzednio ściągniętych zgłoszeń.

Więc de facto na maszynie w momencie testu były dwie rzeczy ponad domyślną instalację systemu: skrypt ściągający oraz jedno zgłoszenie.

Powyższe jest istotne, ponieważ kilka ciekawszych zgłoszeń implementowało następujące triki:

• Pewien skrypt przeszukiwał zawartości dysku w poszukiwaniu ASCII artu do wyświetlenia (rozpoznanego po MD5) - niestety, w środowisku testowym nie było tego ciągu.
• Pewne zgłoszenie zostało podesłane w pliku TAR i miało zadeklarowane rozszerzone atrybuty (xattr), w których był ASCII art do wyświetlenia - niestety, rozszerzone atrybuty nie działają zbyt dobrze na Windowsie, a zresztą i tak nie przetrwałyby FTP.
• Pewne zgłoszenie zostało podesłane w pliku ZIP, który w komentarzu zawierał ASCII art do wyświetlenia - niestety, plik ten nie był nigdy wysyłany do środowiska testowego.
• Pewien skrypt poszukiwał innych zgłoszeń i starał się je odpalić - niestety, w środowisku testowym owy skrypt był jedynym zgłoszeniem.

Tym razem nie wyszło, ale wyimaginowane punkty za kreatywność :)

Comments:

2017-10-16 08:23:52 = QrA
{
Super konkurs i fajne zgloszenia. Wiecej takich pls :)
}
2017-10-16 12:12:59 = redeemer
{
GG!
}
2017-10-16 12:51:48 = ar
{
Może następnym razem licznik na stronie z aktualnie najmniejszym zgłoszeniem?
Mogło by zmotywować więcej osób do wyciskania bajtów ;)
}
2017-10-16 20:02:38 = sXf
{
Lepiej bez licznika, bo mógłby niepotrzebnie też demotywować, a jak widać po konkursie, najmniejsze nie oznaczały działajce.
}
2017-12-16 08:33:58 = VLN
{
BTW. Mówił Ci już ktoś, że jesteś podobny do Snowdena? (:

Pozdrawiam, VLN.
}

Add a comment:

Nick:
URL (optional):
Math captcha: 3 ∗ 8 + 3 =