POSITIVE HACK DAYS



ОРГАНИЗАТОР

Конкурсы

Конкурсы на площадке

Конкурсы онлайн

2600
Большой ку$h
Наливайка
Leave ATM Alone
Choo Choo Pwn
Обход WAF

Конкурентная разведка
Hash Runner
Huck me

Большой ку$h

Конкурс призван проверить знания и навыки участников в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО). Конкурсные задания представлены реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем.

Правила проведения

Правила проведения

Конкурс проходит в два этапа. На первом этапе участникам конкурса будут предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО (аналог реальной системы интернет-банка). В течение заданного организаторами времени участникам предстоит обнаружить уязвимости в системе. На втором этапе конкурса участникам предстоит воспользоваться обнаруженными уязвимостями с целью несанкционированного вывода денежных средств.

Условия участия

Условия участия

Принять участие в конкурсе может любой гость форума. Регистрация проводится на стойке информации в фойе второго этажа. Количество мест ограничено.

Призы

Призы

По итогам соревнования участники конкурса получат денежные вознаграждения, эквивалентные деньгам, похищенным из игрового сервиса интернет-банка.

Технические детали

Технические детали

Для участия в конкурсе необходимо иметь ноутбук.

Победители

Победители

1 место d4d
2 место Helm
3 место Big Bear

Большой ку$h

Hash Runner

Конкурс Hash Runner подвергнет проверке знания участников в области криптографических алгоритмов хэширования, а также их навыки взлома хэш-функций паролей. Сайт конкурса - hashrunner.phdays.com.

Правила проведения

Правила проведения

Участникам будет предоставлен перечень хэш-функций, сгенерированных по различным алгоритмам (MD5, SHA-1, BlowFish, GOST3411 и др.). Очки за каждый дешифрованный пароль будут начисляться в зависимости от сложности алгоритма. Чтобы стать победителем, необходимо набрать как можно больше очков за ограниченное время, обогнав всех конкурентов.

Условия участия

Условия участия

К конкурсу допускается любой интернет-пользователь. Зарегистрироваться можно на сайте phdays.ru (регистрация открывается за неделю до начала форума). Конкурс будет длиться два дня, на протяжении всего мероприятия.

Призы

Призы

Участников конкурса ждут подарки от организаторов форума PHDays, компании Positive Technologies, и спонсоров мероприятия. Победитель получит специальный приз.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой. Потребуется подключение к Интернету.

Победители

Победители

1 место InsidePro
2 место hashcat
3 место «John-users»: Sergey V., Aleksey Cherepanov, Alexander Cherepanov, Micha Borrmann

Hash Runner

Конкурентная разведка

Конкурс позволит участникам форума выяснить, насколько быстро и качественно они умеют искать полезную информацию в сети Интернет.

Правила проведения

Правила проведения

На странице конкурса будут опубликованы вопросы, связанные с некой организацией, информацию о которой можно найти в Интернете. Задача участника конкурса — найти как можно больше правильных ответов на поставленные вопросы за минимальное время. Итоги будут подведены в конце второго дня форума. Результаты конкурса

Условия участия

Условия участия

К соревнованию допускается любой пользователь сети Интернет. Конкурс будет проходить за неделю до форума и продлится два дня — 15 и 16 мая.

Призы

Призы

Участников конкурса ждут памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, и спонсоров мероприятия.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники выбирают самостоятельно. Потребуется подключение к Интернету.

Победители

Победители

1 место Игорь Беляев (Ghost)
2 место Ярослав Бабин (yarbabin)
3 место Станислав Закрацкий (MooGeek)

Конкурентная разведка

2600

Конкурс позволит участникам проверить свои знания, умения и навыки в области аппаратного обеспечения линий связи. Участникам будет предложено воспользоваться старым советским таксофоном для осуществления звонка при помощи обычного жетона.

Правила проведения

Правила проведения

По условиям конкурса необходимо осуществить звонок с таксофона на заранее определенный номер — и при этом возвратить жетон организаторам. Итоги будут подведены во второй день форума. При выборе победителя судьи будут учитывать оригинальность методов, позволивших участникам выполнить задание.

Условия участия

Условия участия

Принять участие в конкурсе может любой участник форума. Соревнование будет проходить на протяжении всего форума.

Призы

Призы

Участников ожидают памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, а также от спонсоров мероприятия.

Технические детали

Технические детали

Участникам запрещается осуществлять любые действия, которые могут причинить ущерб конкурсному таксофону!

2600

Обход WAF

Задача участников конкурса Application Firewall Bypass — обойти веб-фаервол компании Positive Technologies, который будет защищать приложение со множеством уязвимостей. В рамках конкурса будет доступен отчет об уязвимостях в исходном коде приложения, полученный с помощью еще одного продукта компании — Application Inspector. Имея исходный код, участники смогут убедиться в наличии обнаруженных уязвимостей и попытаться найти другие.

Конкурс будет проходить в течение всего форума PHDays IV и принять в нем участие сможет любой желающий. Для получения приза победитель должен будет предоставить контактную информацию (имя, телефон, почтовый адрес) и лично присутствовать на мероприятии.

Правила проведения

Правила проведения

Участникам будет предложено провести успешную атаку (или продемонстрировать возможность ее проведения) с целью получения данных из СУБД и файловой системы. В конкурсе задействовано несколько уязвимых веб-приложений. К зачету принимаются любые атаки, эксплуатирующие любые векторы внедрения операторов СУБД, — включая получение доступа к файловой системе, выполнение команд ОС, атаки полного перебора, атаки методом бинарного поиска. К зачету не принимаются атаки, эксплуатирующие другие уязвимости (например, переполнение буфера на стороне веб-сервера или сервера СУБД). Победителем признается участник, первым получивший доступ ко всем специально подготовленным данным (флагам). Всего таких флагов три. В случае если несколько участников обнаружат разные способы эксплуатации одной и той же уязвимости, победителем будет признан тот из них, чья атака позволяет получить один и тот же набор данных из СУБД — с использованием меньшего количества запросов к серверу.

Условия участия

Условия участия

Побороться за призы может любой участник PHDays III. Соревнование проводится на протяжении всего мероприятия. Для получения приза победитель должен предоставить контактную информацию (имя, телефон, почтовый адрес) и лично присутствовать на вручении призов.

Призы

Призы

Победитель получит специальный приз от технологического партнера мероприятия, компании ICL. Участники, занявшие первые пять мест, получат памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, и компании ICL-КПО ВС.

Технические детали

Технические детали

Участникам будет предоставлен архив с исходным кодом веб-приложения, в котором заложены различные уязвимости, а также отчет о сканировании приложением Application Inspector. Обход WAF засчитывается при получении доступа к одному из флагов, жюри также будет оценивать вектор атаки. Победит участник, получивший больше всех флагов.

Победители

Победители

1 место Георгий Носеевич, Андрей Петухов, Александр Раздобаров
2 место Иван Новиков
3 место Tom Van Goethem

Обход WAF

Наливайка

Конкурс даст участникам возможность испытать свои навыки взлома веб-приложений, защищенных фильтром безопасности (Web Application Firewall, WAF), а также продемонстрировать способность трезво мыслить в любой ситуации.

Правила проведения

Правила проведения

Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности. Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды операционной системы.
Общая продолжительность конкурса ограничена 30 минутами. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.
Победителем становится тот участник, который сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Условия участия

Условия участия

К соревнованию допускаются участники форума, достигшие 18 лет. Регистрация будет проводиться на стойке информации в фойе второго этажа. Количество участников ограничено.

Призы

Призы

Участников конкурса ждут памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, и спонсоров мероприятия.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой. Предоставляется подключение по проводной сети к игровому сегменту.

Победители

Победители

1 место Kyprizel
2 место Plopz0r
3 место Balda

Наливайка

Leave ATM Alone

Участникам конкурса будет предоставлена возможность получить доступ к физическому уровню управления некоторыми модулями банкомата и, изучив протокол, получить над ним полный контроль.

Правила проведения

Правила проведения

Конкурс Leave ATM Alone позволит участникам испытать свои навыки эксплуатации уязвимостей в банкоматах.

Условия участия

Условия участия

Принять участие в на конкурсе может любой гость форума. Регистрация проводится в зоне конкурсов. Количество мест ограничено.

Призы

Призы

Победители конкурса получат призы от организаторов форума PHDays, компании Positive Technologies, — и от спонсоров мероприятия.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой.

Leave ATM Alone

Critical Infrastructure Attack (CIA)

Конкурс позволит участникам испытать свои силы в эксплуатации уязвимостей промышленного оборудования, отвечающего за управление и автоматизацию технологических процессов. Конкурсантам на выбор будет предложен доступ к системам коммуникаций промышленного оборудования и HMI-системам. Конкурсные задания будут заключаться в получении доступа к модели систем управления (АСУ ТП) железной дорогой и погрузкой контейнеров, в использовании уязвимостей промышленных протоколов и обходе аутентификации SCADA-систем или веб-интерфейсов промышленного оборудования. Кроме того, на игровой железной дороге будет установлена система видеонаблюдения, и конкурсантом будет предложено дополнительное задание — нарушить ее работоспособность.

Правила проведения

Правила проведения

Конкурс проходит в три этапа: два основных и один дополнительный. На первом этапе участникам нужно будет получить доступ к системе, отвечающей за погрузочные работы. На втором этапе конкурсантам будет предложено получить доступ к системе управления железной дорогой. На дополнительном этапе участники конкурса попробуют нарушить работу системы видеонаблюдения.
Конкурсантам будет предоставлен доступ к сети АСУ ТП, а также к ее HMI-компонентам. В течение заданного времени участникам предстоит либо нарушить работоспособность отдельных частей макета, либо получить контролируемый доступ.

Условия участия

Условия участия

Принять участие в конкурсе может любой участник форума. Регистрация проводится в конкурсной зоне. Количество участников ограничено.

Призы

Призы

По итогам конкурса участники получат приятные призы — в зависимости от степени получения контроля.

Технические детали

Технические детали

Для полноценного участия в конкурсе необходимо иметь ноутбук.

Победители

Победители

1 место Алиса Шевченко
2 место Никита Максимов
2 место Павел Марков
3 место Дмитрий Казаков

Critical Infrastructure Attack (CIA)

Huck me

Mail.Ru бросает тебе вызов! Найди уязвимости в проектах «Почта», «Календарь» или «Облако» и получи новенький MacBook Air!

Правила проведения

Правила проведения

Конкурс проводится с 21 по 22 Мая 2014 года одновременно с проведением конференции PHDays. Прием конкурсных отчетов заканчивается за 3 часа до официального закрытия конференции.

Условия участия

Условия участия

К участию в конкурсе допускаются слушатели и докладчики конференции PHDays 2014 или слушатели одной из удаленных площадок конференции, имеющие учетную запись на  ресурсе  https://hackerone.com/ и способные приехать за призом самостоятельно.
Участник конкурса должен найти уязвимость на одном из околопочтовых проектов Mail.Ru. После чего написать сообщение о найденной не публиковавшейся ранее уязвимости на ресурсе https://hackerone.com/
Список проектов на вкладке технических деталей.

Призы

Призы

По итогам конкурса первый участник, нашедший наиболее критичную уязвимость, получает Macbook Air. Все остальные участники получают поощрительные призы - фирменные футболки.

Технические детали

Технические детали

Для участия в конкурсе необходимо иметь ноутбук. Для участия в конкурсе необходимо быть зарегистрированным на https://hackerone.ru/
Список проектов

Почта Mail.Ru:
• e.mail.ru
• touch.mail.ru
• *.touch.mail.ru
• m.mail.ru
• *.m.mail.ru

Облако Mail.Ru:
• cloud.mail.ru
• *.cloud.mail.ru

Календарь Mail.Ru:
• calendar.mail.ru
• *.calendar.mail.ru

Mail.Ru для бизнеса:
• biz.mail.ru
• *.biz.mail.ru

Авторизационный центр Mail.Ru:
• auth.mail.ru
• *.auth.mail.ru
• swa.mail.ru
• *.swa.mail.ru

Мобильные приложения «Почта Mail.Ru» и «Облако Mail.Ru» для iOS и Android.

Huck me

HackQuiz
Победитель – Иван Юшкевич

Конкурс твиттер-репортеров
Победитель – Артем Аветян


Полная программа форума в формате PDF

Уровни сложности

Лабиринт

«Лабиринт» на Positive Hack Days — это настоящий хакерский аттракцион. Всего за один час участникам предстоит преодолеть лазерное поле и датчики движения, открыть секретные двери, очистить комнату от «жучков», сразиться в интеллектуальном поединке с искусственным разумом и обезвредить бомбу. В ходе прохождения Лабиринта вам пригодятся навыки копания в мусоре (dumpster diving), взлома замков, поиска уязвимостей в приложениях, социальной инженерии, а также смекалка и физподготовка.

Как попасть в Лабиринт?

Для прохождения Лабиринта необходимо собрать команду из трех человек и зарегистрироваться в зоне конкурсов. Вам будет предложено свободное время старта. Помните, что прохождение Лабиринта может занять больше часа: ничего не планируйте на это время!

Правила проведения

Правила проведения

«Судья всегда прав». Если в ходе прорыва через периметр судья требует вернуться к началу этапа, это требование следует выполнять неукоснительно. Даже если вы не слышите душераздирающего воя охранной сирены.

«Трезвость — норма жизни». Не смешивайте «Лабиринт» с «Наливайкой»: чтобы не заплутать — нужно сохранять ясность рассудка.

«Ломать? Не, строить!» Избегайте деструктивных воздействий на инфраструктуру Лабиринта. Если вам кажется, что без использования Болтореза™ прохождение комнаты невозможно, — посоветуйтесь с судьей.

«Время не ждет». Если вы прошли комнату с опережением графика (на каждый из этапов отводится по 9 минут), вы можете использовать оставшееся время для выполнения дополнительных заданий. Выполнили все? Такого не бывает!

Победители

Победители

1 место
Antichat


2 место
Shkolota


3 место
Extra Team

Лабиринт