Раз в году у пентестеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на закрытой церемонии награждения Pentest award.
Для участия специалисты оставляют заявки с обезличенным рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив. Главный приз — тяжеленная стеклянная именная статуэтка за первое место. А также макбуки, айфоны, смарт-часы.
Еще благодаря партнерам премии, финалисты получили:
Умные колонки и подарки от партнеров проекта VK Bug Bounty
Билеты на конференцию OFFZONE
Традиционные гранты на обучения любым курсам CyberED
Организаторы – компания Awillix, одна из лучших пентестерских компаний в РФ, которая специализируется на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры. Создали этот проект, чтобы этичные хакеры смогли заявить о себе и получить признание отрасли, а также замотивироваться на развитие в атмосфере здоровой спортивной конкуренции.
Номинация «Пробив WEB»
Это номинация, в которой соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее неизвестным уязвимостям.
В этом году номинацию курировал BI.ZONE Bug Bounty во главе с членом жюри Сергеем Кузминовым — руководителем направления тестирования на проникновение и RedTeam. Платформа BI.ZONE Bug Bounty известна более 6000 багхантеров, поэтому мы гордо презентуем вам такого мощного партнера проекта, который проследит за объективностью всех оценок работ этой категории.
Победители
1 место: автор с ником — shin0_by и кейсом «Multiple Take Over»Bypass 2FA путем изменения GET параметра:переход страницу завершения регистрации, минуя ввод кода из СМС, с установкой нового логина и пароля. Изменение логина и пароля через перебор значения cookie. Для cookie, для захвата учетных записей всех пользователей потребуется перебор всех значений одной из cookie (~1.05 млн).
2 место: автор с ником — Tr3harder и кейсом «Cache Engine Deser»
RCE через получение доступа в панель администратора и установку уязвимого модуля. RCE через десериализацию в движке кеша одного из модуля CMS.
3 место: автор с ником — Danr0 и кейсом «Cache Engine Deserialization»
Создание нового пользователя в системе без проверки сессии, обход средств защиты и выполнение команд ОС на целевой системе. Создание пользовательских функций для MSSQL для выполнения команд ОС.
Рейтинг остальных финалистов
arkiix — 317
cucurucuq — 312
larch1k — 291
w0ltage — 291
rakel_stan — 283
A32s51 — 281
sos1somba — 278
Russian_OSlNT — 274
maledictos — 274
graph_sotskiy — 265
kiriknik — 245
sypso — 234
jmaaax — 234
AndrewYalta — 226
elvisalarn — 210
Bisch — 207
lewaper — 195
Byte_Wizard — 195
Максимальное количество баллов — 420
«Был очень сильный состав участников и мощные работы. Специалисты из множества компаний показали наиболее сложные, увлекательные и нетривиальные атаки. Было непросто выбрать лучшие работы: в каждом отчете можно было найти что-то новое. Премия доказывает, что сегодня у нас большое количество крутых специалистов, и с каждым годом эта цифра только растет» — Сергей Кузминов, руководитель направления тестирования на проникновение и RedTeam, BI.ZONE
Номинация «Пробив инфраструктуры»
Отдельная номинация этого года, за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.
Курирует номинацию VK Bug Bounty! VK одна из первых компаний в России начала платить внешним исследователям безопасности за найденные уязвимости. В 2024 году VK переосмыслили общепринятый в индустрии подход к выплатам, отказавшись от фиксированных максимальных сумм и внедрив механизм Bounty Pass. Помимо техники Apple, финалисты номинации от VK Bug Bounty получили комплект фирменного мерча VK Bug Bounty и колонку «Марусю».
Победители
1 место: автор с ником — Im10n и кейсом «FreeIPA»
Анализ инфраструктуры на базе FreeIPA. Извлечение соли для пользователя и перебор паролей с расшифровкой TGS. Это позволило восстановить пароль администратора домена и скомпрометировать инфраструктуру. Уязвимость была сообщена вендору и получила CVE-2024-3183.
2 место: автор с ником — Snovvcrash и кейсом «Pivot Point»
Petit Potam для получения NTLM хеша, DCSync атака и создание Golden Ticket. Получение доступа к серверу Kaspersky, с установкой Reverse Shell, Pivoting с помощью Chisel, извлечение мастер-пароля KeePass и получение доступа к панели Check Point для изменения правил Firewall
3 место: автор с ником — Secm3_n и кейсом «.NET Init»
Обнаруженное.NET-приложение позволило расшифровать учетные данные, получить доступ к БД и выполнить команды ОС. Последовательность атак привела к эскалации привилегий, извлечению учетных данных, выполнению атак Pass-the-Ticket и Shadow Credentials, и в конечном итоге к полной компрометации контроллера домена.
Рейтинг остальных финалистов
Tcr0ss — 281
aiWeevi — 267
dmitt22 — 266
AY_Serkov — 250
s0i37 — 248
ratel_xx — 246
r00t_owl — 245
killgoree — 244
exe_cute — 232
snovvcrash — 230
s0i37 — 226
Wdanya — 204
r00r_owl — 200
ka1_ne — 169
VlaDriev — 168
Максимальное количество баллов 420
«Для нас участие в премии Pentest Award – это еще одна возможность поддержать сообщество этичных хакеров, поощряя их стремление искать баги, делиться опытом и достижениями. Подобные мероприятия приносят дополнительную мотивацию и азарт. А пока мы ждем объявления о старте приема заявок на следующую премию, приглашаю всех попробовать свои силы в VK Bug Bounty – у нас много программ и уникальная механика Bounty pass, в которой нет лимита на максимальные вознаграждения». — Петр Уваров, руководитель направления VK Bug Bounty.
Номинация «Девайс»
За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая, но не ограничиваясь, контроллерами, мобильными устройствами, банкоматами, камерами, МФУ и так далее.
Победители
1 место: автор с ником — N0um3n0n и кейсом «SMS Heap Overflow»
Исследователи выявили уязвимость переполнения кучи в модеме, позволяющую выполнить произвольный код путем отправки специально сформированных SMS. Воспользовавшись этой уязвимостью, они получили возможность чтения и записи памяти модема, исполнили произвольный код и установили приложение, обеспечивающее полный контроль над устройством.
2 место: автор с ником —VlaDriev и кейсом «Davinci»
Автор обнаружил уязвимую камеру Hikvision, установив точку доступа с ESSID «davinci» для подключения через CVE-2017-14953. Используя CVE-2021-36260, он получил SSH доступ с привилегиями. Проксируя трафик через камеру, злоумышленник просканировал сеть и получил доступ к контроллеру домена Active Directory.
3 место: автор с ником — Ka1_ne и кейсом «Printer»
Анонимный доступ к сетевому хранилищу с RCE (CVE-2019-16057). Настройка прокси-сервера с помощью GOST для дальнейшего анализа сети. Хеш доменной учетной записи перехвачен через принтер и взломан, что позволило собрать информацию о домене. Воспользовавшись уязвимостями в шаблонах сертификатов, автор получил сертификат и извлек NTLM хеш, что дало ему права администратора домена.
Рейтинг остальных финалистов
r00t_owl — 220
doe546052 — 212
drKeksik — 201
Byte_Wizard — 105
Byte_Wizard — 71
Максимальное количество баллов 420
Номинация «Hack the logic»
За находку самых топовых логических баг.
Победители
1 место: автор с ником — only4u2day и кейсом «From Bot to Admin»
Автор использовал возможность создания ботов в ПО на без Mattermost, манипулируя параметром bot-roles-fiel для повышения привилегий до уровня администратора.
Затем бот был преобразован в пользователя с админскими правами, что обеспечило полный доступ к административной панели.
2 место: автор с ником — Arkiix и кейсом «Take Over»
Автор использовал уязвимость с чувствительностью к регистру в email, чтобы обойти проверку и выполнить захват учетных записей через подмену JWT токенов. После устранения уязвимости, была найдена новая уязвимость с использованием управляющего символа Unicode и механизма обновления токенов, что позволило снова выполнить захват учетных записей.
3 место: автор с ником — Guleroman и кейсом «RCE bot»
Исследователь обнаружил уязвимость в Telegram-боте сервиса онлайн-образования, позволяющую внедрить команду через некорректную обработку ссылок в сообщении. Потенциальная SSRF? — Нет, это RCE!
Рейтинг остальных финалистов
m2ch3t3 — 275
r0binak — 265
WILD_41 — 262
elvisalarn — 241
telegadlyasvyazi2 — 238
dmarushkin — 235
AndrewYalta — 222
curiv — 218
damnwaree — 214
shdwpwn — 211
sos1somba — 208
Engineer586898 — 207
curiv — 201
lewaper — 198
AndrewYalta — 197
w00t1 — 196
graph_sotskiy — 186
jmaaax — 182
brotherok — 178
Byte_Wizard — 61
Максимальное количество баллов 420
Номинация «Раз bypass, два bypass»
За самый красивый обход средств защиты информации.
Победители
1 место: автор с ником — snovvcrash и кейсом «SafetyNDump»
Автор использовал TokenDuplicator для получения привилегий SYSTEM, затем применил NanoDump и обход AV для создания дампа процесса LSASS с повышенными привилегиями. Дамп был проанализирован с помощью MiniDump для извлечения секретных данных, таких как учетные данные и ключи, из памяти процесса.
2 место: автор с ником — Maledictos и кейсом «Hollowing»
Использовал уязвимость в веб-приложении для выполнения команд ОС, а для обхода AV — shell-код с применением техники process hollowing. Затем установил соединение Meterpreter, повысил привилегии и мог спокойно реализовывать атаки на внутренние ресурсы.
3 место: автор с ником — Human1231 и кейсом «BYOVD»
Автор использовал уязвимый драйвер PDFWKRNL.sys для выполнения чтения и записи памяти через IOCTL запросы, обходя защиту Driver Signature Enforcement (DSE) ядра Windows 11. Это позволило загрузить и установить Banshee в ядро операционной системы, предоставляя полный контроль над системой.
Рейтинг остальных финалистов
vanja_b — 297
s0i37 — 282
X0red — 279
Danr0 — 247
shin0_by — 221
curiv — 202
Максимальное количество баллов — 420
Номинация «Ловись рыбка»
За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.
Победители
1 место: автор с ником — X0red и кейсом «Advanced Rogue RDP»
Автор использовал технику Rogue RDP, отправив фишинговое письмо с RDP-файлом, который автоматически подключался к внешнему серверу и создавал прокси-туннель.Это позволило провести сканирование внутренней сети, выявить уязвимые сервисы, получить учетные данные и скомпрометировать инфраструктуру.
2 место: автор с ником — Szybnev и кейсом «Real SEngineering»
Команда участников квеста по социальной инженерии использовала поддельные бейджи, чтобы получить доступ к различным зонам фестиваля, включая склад, штаб организаторов и магазин мерча. Они успешно выполнили большинство заданий, но при попытке получить доступ к дикторской рубке были задержаны, что вызвало вмешательство охраны и сотрудников органов.
3 место: автор с ником — S3n_q и кейсом «VISHING»
Автор собрал открытую информацию о сотрудниках компании и отправил фишинговое письмо с неоткрывающимся файлом. Затем, позвонив от имени системного администратора, убедил рекрутера, что компьютер заражен, и узнал пароль, предложив сменить его с добавлением символа в конце.
Рейтинг остальных финалистов
post_gatto — 297
fromkhabar — 256
P1N_C0DE — 186
Максимальное количество баллов — 420
Резюме
Победители во всех номинациях показали по-настоящему уникальные примеры незаурядных и профессиональных решений. Жюри отмечает, что в этом году конкуренция ужесточилась, так как качество работ значительно выросло. Всем финалистам выражается почет и уважение!
Организаторы Awillix счастливы, что Pentest award выполняет свое предназначение — развитие сообщества пентестеров в России и с нетерпением ждут новой встречи в следующем году <3
P.S.
Подробную информацию о жюри проекта, критериях оценки работ, партнерах проекта, требованиях к заявке на участие и архиву прошлогодних победителей можно получить на официальном сайте — https://award.awillix.ru/awards
Увидеть кейсы победителей в подробностях можно будет в осеннем спецвыпуске журнала Хакер.
Запись трансляции церемонииПрошлогодние кейсы победителей
Источник: habr.com
Похожие новости:
Определены первые финалисты конкурса «Импортонезависимость в телекоммуникациях»
Ежегодная премия для этичных хакеров — Pentest award возвращается
Innostage на Positive Hack Days-2: ключевые моменты и итоги киберфестиваля
«Группа Астра» запускает на BI.ZONE Bug Bounty программу по поиску уязвимостей в платформе VMmanager