Задание и прохождение: Никита Сычёв, SPbCTF
Перед тем, как начать соревноваться по-настоящему, полезно понять, что нас ждёт на предстоящем состязании, и как к нему подступаться. Мы приготовили T-CTF в том числе для начинающих без опыта в CTF, поэтому перед ивентом мы выкладываем демо-задания вместе с разборами:
Capture The Flag — это интеллектуальное состязание хакеров. Как в спортивном программировании люди соревнуются, кто лучше умеет придумывать алгоритмы, так в CTF участники меряются, кто изобретательнее находит уязвимости в системах.
Чтобы найти уязвимость, нужно сперва изучить, как система себя ведёт, разобраться, как она может быть устроена внутри, и где могут быть слабости.
Приступим!
Добро пожаловать в Капиплейс — новый маркетплейс города.
Здесь за покупки дают возможность крутануть колесо Фортуны и выиграть разные призы. Да только никто ничего не может выиграть, хоть и тратят много денег. Попахивает мошенничеством!
Выиграйте 313 337 ₡ и выкупите алгоритм колеса у супермаркета, чтобы впредь удача улыбалась каждому покупателю.
Мы попадаем в маркетплейс, на котором продаются различные товары:
Заманчивое предложение
Изучив ассортимент магазина, находим Алгоритм Колеса Фортуны за 313337 ₡ — его нам и нужно приобрести по условию задания.
Регистрируемся на сайте, и узнаем, что при регистрации нам дают всего 100 ₡, и никаких механизмов пополнения баланса не предусмотрено.
Давайте попробуем купить товар подешевле и посмотреть, что произойдёт. Например, возьмём самый дешёвый товар — Клип «Никогда тебя не брошу» за 1 ₡. После заказа нам предлагают покрутить колесо, на котором пять секторов:
Выглядит не очень выгодно