Прошел ежегодный Pentest award — лучших этичных хакеров России снова наградили премией и призами

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на закрытой церемонии награждения Pentest award. 

Для участия специалисты оставляют заявки с обезличенным рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив. Главный приз — тяжеленная стеклянная именная статуэтка за первое место. А также макбуки, айфоны, смарт-часы. 

Еще благодаря партнерам премии, финалисты получили:

Умные колонки и подарки от партнеров проекта VK Bug Bounty

Билеты на конференцию OFFZONE 

Традиционные гранты на обучения любым курсам CyberED

Организаторы – компания Awillix, одна из лучших пентестерских компаний в РФ, которая специализируется на сложных и уникальных проектах по оценке рисков информационной безопасности, анализу защищенности информационных систем и ИТ-инфраструктуры. Создали этот проект, чтобы этичные хакеры смогли заявить о себе и получить признание отрасли, а также замотивироваться на развитие в атмосфере здоровой спортивной конкуренции. 

Номинация «Пробив WEB» 

Это номинация, в которой соревнуются за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений. Оценивается глубина анализа, сложность обнаруженных технических и логических уязвимостей. Особое внимание уделяется уникальным и ранее неизвестным уязвимостям.

В этом году номинацию курировал BI.ZONE Bug Bounty во главе с членом жюри Сергеем Кузминовым — руководителем направления тестирования на проникновение и RedTeam. Платформа BI.ZONE Bug Bounty известна более 6000 багхантеров, поэтому мы гордо презентуем вам такого мощного партнера проекта, который проследит за объективностью всех оценок работ этой категории.  

Победители 

1 место: автор с ником — shin0_by  и кейсом «Multiple Take Over»Bypass 2FA путем изменения GET параметра:переход страницу завершения регистрации, минуя ввод кода  из СМС, с установкой нового логина и пароля. Изменение логина и пароля через перебор значения cookie. Для cookie, для захвата учетных записей всех пользователей потребуется перебор всех значений одной из cookie (~1.05 млн).

2 место: автор с ником — Tr3harder и кейсом «Cache Engine Deser»

RCE через получение доступа в панель администратора и установку уязвимого модуля. RCE через десериализацию в движке кеша одного из модуля CMS.

3 место: автор с ником — Danr0 и кейсом «Cache Engine Deserialization»

Создание нового пользователя в системе без проверки сессии, обход средств защиты и выполнение команд ОС на целевой системе. Создание пользовательских функций для  MSSQL для выполнения команд ОС.

Рейтинг остальных финалистов 

arkiix — 317

cucurucuq — 312

larch1k — 291

w0ltage — 291

rakel_stan — 283

A32s51 — 281

sos1somba — 278

Russian_OSlNT — 274

maledictos — 274

graph_sotskiy — 265

kiriknik — 245

sypso — 234

jmaaax — 234

AndrewYalta — 226

elvisalarn — 210

Bisch — 207

lewaper — 195

Byte_Wizard — 195

Максимальное количество баллов — 420 

«Был очень сильный состав участников и мощные работы. Специалисты из множества компаний показали наиболее сложные, увлекательные и нетривиальные атаки. Было непросто выбрать лучшие работы: в каждом отчете можно было найти что-то новое. Премия доказывает, что сегодня у нас большое количество крутых специалистов, и с каждым годом эта цифра только растет» — Сергей Кузминов, руководитель направления тестирования на проникновение и RedTeam, BI.ZONE

Номинация «Пробив инфраструктуры» 

Отдельная номинация этого года, за выдающиеся достижения в тестировании на проникновение и эксплуатации уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами. В фокусе — сложность и оригинальность подходов к обнаружению уязвимостей, приводящих к компрометации сетевой инфраструктуры с незначительным взаимодействием веб-компонентов.

Курирует номинацию VK Bug Bounty! VK одна из первых компаний в России начала платить внешним исследователям безопасности за найденные уязвимости. В 2024 году VK переосмыслили общепринятый в индустрии подход к выплатам, отказавшись от фиксированных максимальных сумм и внедрив механизм Bounty Pass. Помимо техники Apple, финалисты номинации от VK Bug Bounty получили комплект фирменного мерча VK Bug Bounty и колонку «Марусю». 

Победители

1 место: автор с ником — Im10n и кейсом «FreeIPA»

Анализ инфраструктуры на базе FreeIPA. Извлечение соли для пользователя и перебор паролей с расшифровкой TGS. Это позволило восстановить пароль администратора домена и скомпрометировать инфраструктуру. Уязвимость была сообщена вендору и получила CVE-2024-3183.

2 место: автор с ником — Snovvcrash и кейсом «Pivot Point»

 Petit Potam для получения NTLM хеша, DCSync атака и создание Golden Ticket. Получение доступа к серверу Kaspersky, с установкой Reverse Shell, Pivoting с помощью Chisel, извлечение мастер-пароля KeePass и получение доступа к панели Check Point для изменения правил Firewall

3 место: автор с ником — Secm3_n и кейсом «.NET Init»

Обнаруженное.NET-приложение позволило расшифровать учетные данные, получить доступ к БД и выполнить команды ОС. Последовательность атак привела к эскалации привилегий, извлечению учетных данных, выполнению атак Pass-the-Ticket и Shadow Credentials, и в конечном итоге к полной компрометации контроллера домена.

Рейтинг остальных финалистов

Tcr0ss — 281

aiWeevi — 267

dmitt22 — 266

AY_Serkov — 250

s0i37 — 248

ratel_xx — 246

r00t_owl — 245

killgoree — 244

exe_cute — 232

snovvcrash — 230

s0i37 — 226

Wdanya — 204

r00r_owl — 200

ka1_ne — 169

VlaDriev — 168

Максимальное количество баллов 420 

«Для нас участие в премии Pentest Award – это еще одна возможность поддержать сообщество этичных хакеров, поощряя их стремление искать баги, делиться опытом и достижениями. Подобные мероприятия приносят дополнительную мотивацию и азарт. А пока мы ждем объявления о старте приема заявок на следующую премию, приглашаю всех попробовать свои силы в VK Bug Bounty – у нас много программ и уникальная механика Bounty pass, в которой нет лимита на максимальные вознаграждения». — Петр Уваров, руководитель направления VK Bug Bounty.

Номинация «Девайс» 

За выдающиеся достижения в области анализа уязвимостей и исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении. Основное внимание уделяется устройствам, которые активно задействованы в ИТ-процессах организаций, включая, но не ограничиваясь, контроллерами, мобильными устройствами, банкоматами, камерами, МФУ и так далее.

Победители 

1 место: автор с ником — N0um3n0n и кейсом «SMS Heap Overflow»

Исследователи выявили уязвимость переполнения кучи в модеме, позволяющую выполнить произвольный код путем отправки специально сформированных SMS. Воспользовавшись этой уязвимостью, они получили возможность чтения и записи памяти модема, исполнили произвольный код и установили приложение, обеспечивающее полный контроль над устройством.

2 место: автор с ником —VlaDriev и кейсом «Davinci»

Автор обнаружил уязвимую камеру Hikvision, установив точку доступа с ESSID «davinci» для подключения через CVE-2017-14953. Используя CVE-2021-36260, он получил SSH доступ с привилегиями. Проксируя трафик через камеру, злоумышленник просканировал сеть и получил доступ к контроллеру домена Active Directory.

3 место: автор с ником — Ka1_ne и кейсом «Printer»

Анонимный доступ к сетевому хранилищу с RCE (CVE-2019-16057). Настройка прокси-сервера с помощью GOST для дальнейшего анализа сети. Хеш доменной учетной записи перехвачен через принтер и взломан, что позволило собрать информацию о домене. Воспользовавшись уязвимостями в шаблонах сертификатов, автор получил сертификат и извлек NTLM хеш, что дало ему права администратора домена.

Рейтинг остальных финалистов

r00t_owl — 220

doe546052 — 212

drKeksik — 201

Byte_Wizard — 105

Byte_Wizard — 71

Максимальное количество баллов 420 

Номинация «Hack the logic» 

За находку самых топовых логических баг.

Победители 

1 место: автор с ником — only4u2day и кейсом «From Bot to Admin»

Автор использовал возможность создания ботов в ПО на без Mattermost, манипулируя параметром bot-roles-fiel для повышения привилегий до уровня администратора. 

Затем бот был преобразован в пользователя с админскими правами, что обеспечило полный доступ к административной панели.

2 место: автор с ником —  Arkiix и кейсом «Take Over»

Автор использовал уязвимость с чувствительностью к регистру в email, чтобы обойти проверку и выполнить захват учетных записей через подмену JWT токенов. После устранения уязвимости, была найдена новая уязвимость с использованием управляющего символа Unicode и механизма обновления токенов, что позволило снова выполнить захват учетных записей.

3 место: автор с ником — Guleroman и кейсом «RCE bot» 

Исследователь обнаружил уязвимость в Telegram-боте сервиса онлайн-образования, позволяющую внедрить команду через некорректную обработку ссылок в сообщении. Потенциальная SSRF? — Нет, это RCE!

Рейтинг остальных финалистов

m2ch3t3 — 275

r0binak — 265

WILD_41 — 262

elvisalarn — 241

telegadlyasvyazi2 — 238

dmarushkin — 235

AndrewYalta — 222

curiv — 218

damnwaree — 214

shdwpwn — 211

sos1somba — 208

Engineer586898 — 207

curiv — 201

lewaper — 198

AndrewYalta — 197

w00t1 — 196

graph_sotskiy — 186

jmaaax — 182

brotherok — 178

Byte_Wizard — 61

Максимальное количество баллов 420 

Номинация «Раз bypass, два bypass» 

За самый красивый обход средств защиты информации.

Победители 

1 место: автор с ником — snovvcrash и кейсом «SafetyNDump» 

Автор использовал TokenDuplicator для получения привилегий SYSTEM, затем применил NanoDump и обход AV для создания дампа процесса LSASS с повышенными привилегиями. Дамп был проанализирован с помощью MiniDump для извлечения секретных данных, таких как учетные данные и ключи, из памяти процесса.

2 место: автор с ником — Maledictos и кейсом «Hollowing»

Использовал уязвимость в веб-приложении для выполнения команд ОС, а для обхода AV — shell-код с применением техники process hollowing. Затем установил соединение Meterpreter, повысил привилегии и мог спокойно реализовывать атаки на внутренние ресурсы.

3 место: автор с ником — Human1231 и кейсом «BYOVD»

Автор использовал уязвимый драйвер PDFWKRNL.sys для выполнения чтения и записи памяти через IOCTL запросы, обходя защиту Driver Signature Enforcement (DSE) ядра Windows 11. Это позволило загрузить и установить Banshee в ядро операционной системы, предоставляя полный контроль над системой. 

Рейтинг остальных финалистов

vanja_b — 297

s0i37 — 282

X0red — 279

Danr0 — 247

shin0_by — 221

curiv — 202

Максимальное количество баллов — 420

Номинация «Ловись рыбка» 

За самый оригинальный фишинг или попытку засоциалить сотрудников. Оценивается всё: нагрузка, текст фишинга, использование нестандартных инструментов.

Победители

1 место: автор с ником — X0red и кейсом «Advanced Rogue RDP» 

Автор использовал технику Rogue RDP, отправив фишинговое письмо с RDP-файлом, который автоматически подключался к внешнему серверу и создавал прокси-туннель.Это позволило провести сканирование внутренней сети, выявить уязвимые сервисы, получить учетные данные и скомпрометировать инфраструктуру.

2 место: автор с ником — Szybnev и кейсом «Real SEngineering»

Команда участников квеста по социальной инженерии использовала поддельные бейджи, чтобы получить доступ к различным зонам фестиваля, включая склад, штаб организаторов и магазин мерча. Они успешно выполнили большинство заданий, но при попытке получить доступ к дикторской рубке были задержаны, что вызвало вмешательство охраны и сотрудников органов.

3 место: автор с ником — S3n_q  и кейсом «VISHING»

Автор собрал открытую информацию о сотрудниках компании и отправил фишинговое письмо с неоткрывающимся файлом. Затем, позвонив от имени системного администратора, убедил рекрутера, что компьютер заражен, и узнал пароль, предложив сменить его с добавлением символа в конце. 

Рейтинг остальных финалистов

post_gatto — 297

fromkhabar — 256

P1N_C0DE — 186

Максимальное количество баллов — 420

Резюме 

Победители во всех номинациях показали по-настоящему уникальные примеры незаурядных и профессиональных решений. Жюри отмечает, что в этом году конкуренция ужесточилась, так как качество работ значительно выросло. Всем финалистам выражается почет и уважение!

Организаторы Awillix счастливы, что Pentest award выполняет свое предназначение — развитие сообщества пентестеров в России и с нетерпением ждут новой встречи в следующем году <3

P.S. 

Подробную информацию о жюри проекта, критериях оценки работ, партнерах проекта, требованиях к заявке на участие и архиву прошлогодних победителей можно получить на официальном сайте — https://award.awillix.ru/awards

Увидеть кейсы победителей в подробностях можно будет в осеннем спецвыпуске журнала Хакер.

Запись трансляции церемонииПрошлогодние кейсы победителей

Источник: habr.com

0 0 голоса
Рейтинг новости
9816
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии