De tempos em tempos, lançaremos algum desafio para a comunidade, e quem der First Blood, figurará nessa página!
Para ver o Hall of Fame de Times (Batalha BR), CTFTime Hall e área dedicada aos vencedores do CTF-BR Battle Royale, veja o menu!
CHALLENGE DA VIRADA (2023 -> 2024)
Resolvido por: Itachi_cracker do time Márcio Herobrine
Nome: Oldschool Brushing
Descrição:
Pra quem curte um reversing oldschool 🙂 Envie a flag para @gnxbr no Telegram. Além do First Blood, vamos dar desconto no TecLand para outros que resolverem
Categoria(s): Reversing
Link do arquivo: aqui
Lançamento: 31 de dezembro de 2023
Resolução: no dia do lançamento
THE ETHERNET FROM ABOVE
Resolvido por: Maple Bacon
Nome: The ethernet from above
Criador: thotypous
Descrição: GitHub Pwn2Win
Categoria(s): Hardware Hacking + Rev
Link do arquivo: GitHub Pwn2Win
Write-up do vencedor: https://maplebacon.org/2021/06/pwn2win-ethernetfromabove/
Lançamento: 28 de maio de 2021
Dia limite para resolução: 06 de junho de 2021
Resolução: Maple Bacon
CHALLENGE DA VIRADA (2020 -> 2021)
Resolvido por: tempo esgotado
Nome: Private Backdoor
Criador(es): gnx ft. pauloklaus
Descrição:
Obs: Essa descrição é baseada na história criada para o evento, que é temático. Se quiser ler toda, acesse aqui.
Conseguimos encontrar o módulo principal de uma versão limitada de um Backdoor Privado, utilizado por um dos governos que implantou os rbs. Descobrimos que esse backdoor está rodando em um Servidor NAS na capital do maior país da América Latina, em uma das empresas que esse governo comanda com braço de aço. Os clientes desse backdoor precisam utilizar um gerador de tokens legado para gerar suas senhas de acesso. Felizmente, conseguimos acesso a esse gerador também, e sabemos que o serial utilizado na geração é 7221. Nos ajude a pwnar esse server e encontrar algum arquivo confidencial que possa conter alguma informação interessante.
Server: nc privbd.1337.cx 4321
Categoria(s): Misc/Reversing
Link do arquivo: aqui
Write-up do vencedor: tempo esgotado
Lançamento: 31 de dezembro de 2020
Resolução: tempo esgotado
HARDWARE TROJAN v.20
Resolvido por: tempo esgotado
Nome: Hardware Trojan v2.0
Criador: thotypous
Descrição: ver no dashboard
Categoria(s): Hardware Hacking + (Pwn e Rev)
Link do arquivo: ver no dashboard
Write-up do vencedor: tempo esgotado
Write-up oficial: link
Lançamento: 31 de maio de 2020
Dia limite para resolução: 07 de junho de 2020
Resolução: tempo esgotado
CHALLENGE DA VIRADA (2019 -> 2020)
Resolvido por: tempo esgotado
Nome: Persistent Threat
Criador: dayrell
Descrição: Um dos servidores mais importantes da nossa empresa foi comprometido, e achamos que o atacante instalou um rootkit nele. Você consegue analisar o dump da máquina e chegar no core do problema?
Categoria(s): Forensics/Reversing
Link do arquivo: aqui
Write-up do vencedor: tempo esgotado
Lançamento: 31 de dezembro de 2019
Resolução: tempo esgotado
RANKING INTERNO SPOTS 2019
Para participar, leia as instruções aqui.
Dois First Bloods: ninguém alcançou esse objetivo.
Primeiro a fechar todos os challs: ninguém alcançou esse objetivo.
Semana #4 (18/março):
Nome: Super Secure Sandbox (SSS)
Descrição: You Shall not pass!!… or may you!?
Criador: Marcio Almeida (@pimpz)
Categoria: Web
Link: http://sss.xpl.sh
Lançamento: 18/03/2019
Dia limite para resolução: 25/03/2019
Resolução (First Blood): 21/03/2019
Write-up(s): aqui
Número de solves: 1
Semana #3 (11/março):
Nome: Strange Broadcast
Descrição:
Dois e-mails foram interceptados com o assunto “Broadcast” com a mesma data de envio e remetente. Era uma mensagem em branco com um anexo. Mas havia uma coisa estranha com ele: geralmente um broadcast é composto de várias mensagens iguais encaminhadas para diferentes destinatários, mas nesse caso cada anexo tinha um conteúdo distinto. Suspeitando de que na verdade esses arquivos guardassem a mesma informação, chamaram você, um hacker experiente, para ajudar a obter a informação oculta. Os dois arquivos estão abaixo:
Dica: essa flag é beeem grande!!!
Criador: André Smaira
Categoria: PPC (Professional Programming and Coding)
Lançamento: 11/03/2019
Dia limite para resolução: 18/03/2019
Resolução (First Blood): sem solves
Número de solves: 0
Write-up(s): aqui
Semana #2 (04/março):
Nome: Easy Crypto
Descrição: O challenge mais simples de todas as epochs. Há um serviço TCP servindo uma flag encriptada em 67.205.131.109 9998. É só se conectar -> pegar a flag -> decryptar a flag -> profit. Como ninguém aqui é adivinho, o código fonte está em https://github.com/Supitto/vuln_crypto.
Criador: Henrique Marcomini
Categoria: Crypto
Lançamento: 04/03/2019
Data limite para resolução: 11/03/2019
Resolução (First Blood): 04/03/2019
Número de solves: 8
Write-up(s): aqui
Semana #1 (25/fevereiro):
Nome: firstflask
Descrição: Meu primeiro desafio de web, tentem achar a flag. Obs: IPs que fizerem bruteforce serão banidos.
Criador: Jeremias Moreira Gomes
Categoria: Web
Link: http://142.93.73.149:1337
Lançamento: 25/02/2019
Data limite para resolução: 04/03/2019
Resolução (First Blood): 27/02/2019
Número de solves: 2
Write-up(s): aqui
HackingFevChall 2019
Desafio onde o objetivo era finalizar 28 máquinas do VulnHub em 28 dias.
Finalizado por: Luis Nakazone
CHALLENGE DA VIRDA (2018 -> 2019)
Resolvido por: Rafael “RTFM[ChOkO]” Trassi
Nome: Rootkit
Criador: gnx
Descrição: Suspeitamos que um de nossos servidores foi ownado pela Inteligência da Bloodsuckers. Tudo indica para o fato de terem instalado um binary rootkit em nosso sistema, visando conseguir nossas credenciais para tentarem usar em outros servidores. Faça uma análise forense no dump do sistema, e ao identificar o comprometimento, faça um reversing para identificar a senha que dá acesso ao dump (sniffer) das senhas. Após isso, entendendo o funcionamento do rk, obtenha a última senha legítima utilizada pelo root na máquina, pois achamos que ela foi mudada pelo pessoal da Inteligência por uma default deles, e também pode nos ser útil em outros dos seus sistemas, como a de dump! (o feitiço virou contra o feiticeiro!). Submeta no formato CTF-BR{SenhaUsadaParaDump,UltimaSenhaRootLegitima}. Não temos as credenciais, isso faz parte do desafio.
Categoria: Forensics
Link do arquivo: aqui
Write-up do vencedor: aqui
Lançamento: 31 de dezembro de 2018
Resolução: 03 de janeiro de 2019
CHALLENGES SEM SOLVES DO PWN2WIN 2018
Tempo encerrado, desafios ficaram sem solves!
1) Inherit the Stars:
Resolvido por: tempo esgotado
Descrição: The binary yields the flag as an HTTP answer (port 8000) to a specific hidden endpoint when executed in the correct set of nodes belonging to a 10.0.0.0/8 network. Not every node the binary tries to contact should be online: we expect some of the nodes to be offline. If you run the binary in more or less nodes than the exact set of nodes expected, it will answer with random garbage. The user must request the flag only from the main node.
Categoria: Reversing
Link do arquivo: link
Write-up do vencedor: tempo esgotado
Lançamento: 03 de dezembro de 2018
Resolução: tempo esgotado
Premiação bônus: 1 XMR
2) Recovery of the Master Key:
Resolvido por: tempo esgotado
Descrição: We know that The Bavarian is creating a cryptosystem which contains a backdoor. Their plan is to force the users to use this system in their “end-to-end secure instant message applications”.
Categoria: Criptografia
Link do arquivo: aqui
Write-up do vencedor: tempo esgotado
Lançamento: 03 de dezembro de 2018
Resolução: tempo esgotado
Premiação bônus: 1 XMR
EXECUTIVE ORDER
Resolvido por: Rafael Schleuss
Nome: Executive Order
Criador: thotypous
Descrição: Conseguimos grampear alguns mandachuvas da Butcher Corp e descobrimos que sim, eles ainda usam linhas de telefonia fixa! Obtivemos esse áudio de uma ligação telefônica que parece ser importante. Você consegue decodificar os dados que eles estão transferindo?
Categoria: Forensics
Link do arquivo: aqui
Write-up do vencedor: aqui
Lançamento: 16 de fevereiro de 2018
Resolução: 25 de agosto de 2018
CHALLENGE DA VIRADA (2017 -> 2018)
Resolvido por: Fernando “feroso” Dantas
Nome: Baby RISC-V
Criador: thotypous
Descrição: 2018 é o ano do RISC-V, você já tem familiaridade com ele? Boa sorte!
Categoria: Reversing
Link do binário: aqui
Write-up do vencedor: aqui
Lançamento: 31 de dezembro de 2017
Resolução: 04 de janeiro de 2018
Premiação bônus: 0.2 XMR