🏅 Школьный CTF-турнир. Финальный день
Модуль 7: CTF и профориентация | 7-8 классы | 90 минут
• Завершить комплексную проверку навыков кибербезоп*Следующий урок: планирование карьерных путей и долгосрочное развитие в индустрии кибербезопасности.*асности в соревновательном формате • Продемонстрировать рост технических компетенций за время изучения курса • Освоить продвинутые техники решения CTF-задач высокой сложности • Сформировать целостное понимание практического применения знаний кибербезопасности
• Развить способность к решению комплексных многоступенчатых технических задач • Сформировать навыки работы в условиях максимального временного давления • Развить лидерские качества и способность принимать критические решения • Совершенствовать аналитическое мышление при работе с неполной информацией
• Воспитать способность достойно принимать как победы, так и поражения • Сформировать понимание ценности командной работы и взаимопомощи • Развить уважение к техническому мастерству и интеллектуальным достижениям • Воспитать мотивацию к продолжению изучения кибербезопасности
Командный брифинг (5 мин): • Анализ результатов первого дня: сильные стороны и области роста • Обсуждение скорректированных стратегий команд • Представление новых задач финального дня (категории и уровни сложности) • Мотивационная речь: “Сегодня определяются чемпионы школьной кибербезопасности!”
Техническая готовность (5 мин): • Финальная проверка инструментов и каналов связи • Подтверждение готовности серверной инфраструктуры турнира • Синхронизация времени и проверка доступа к новым задачам • Установка командных позиций для финального броска
🌐 Web Exploitation Masters (3 задачи: 600, 750, 1000 очков)
Задача 19: “Школьная CRM-система” (600 очков)
Обнаружена уязвимость в системе управления учениками:
http://school-ctf.local/student-portal
Получите доступ к записям всех учеников и найдите скрытую
информацию об учителе с логином "hidden_admin".
Подсказки:
- Система использует PHP + MySQL
- Есть возможность SQL Injection
- Проверьте различные параметры запросов
- Файл конфигурации может содержать ценную информацию
Задача 20: “Многоуровневая аутентификация” (750 очков)
Школьная система безопасности имеет несколько уровней защиты:
1. Логин через форму аутентификации
2. Проверка сессии через cookies
3. Дополнительная авторизация через заголовки
4. Финальная проверка роли пользователя
URL: http://school-ctf.local/secure-vault
Цель: Получить доступ к файлу "teachers_secrets.txt"
Каждый уровень нужно обойти последовательно.
Задача 21: “Школьный API взлом” (1000 очков)
Мобильное приложение школы использует REST API:
https://school-api.local/v1/
Задачи:
1. Найдите недокументированные endpoint'ы
2. Обойдите rate limiting для массовых запросов
3. Получите API ключи администратора
4. Извлеките данные из защищенной базы
Инструменты: Burp Suite, Postman, custom scripts
🔐 Cryptography Grandmasters (3 задачи: 500, 800, 1200 очков)
Задача 22: “Квантовая готовность” (500 очков)
Школа готовится к эре квантовых компьютеров.
Реализован post-quantum алгоритм шифрования.
Зашифрованное сообщение:
"6e9fd0486db5f8e7d2dbe689f4f56e9ab7d7968de8f5f0e9dddbf8e7"
Ключевая информация:
- Алгоритм основан на решетчатой криптографии
- Используется модульная арифметика
- Ключ связан с номером нашей школы (№444)
Найдите исходное сообщение.
Формат флага: school_ctf{найденное_сообщение}
Задача 23: “Временная капсула” (800 очков)
В 2010 году выпускники школы заложили цифровую капсулу.
Она должна открыться в 2025 году (сейчас как раз время!).
Файл: time_capsule_2010.encrypted
Подсказки из архива:
- "Год выпуска + месяц + день = ключ"
- "Алгоритм: AES-256 в режиме CBC"
- "IV спрятан в имени файла"
- "Соль = MD5(название_школы)"
Расшифруйте послание выпускников!
Задача 24: “Блокчейн школьных достижений” (1200 очков)
Школа внедрила blockchain для хранения достижений учеников.
Найдите уязвимость в smart contract и получите все награды.
Сеть: School Ethereum Testnet
Contract Address: 0x7B3F9A2E8C5D1F6B4E3A9C8D7F2E5B1A9C6D8F3E
ABI: предоставлен в файле school_contract.json
Цель: Получить токен "Ultimate Achievement" без прохождения всех этапов.
🕵️ Forensics Masters (2 задачи: 700, 900 очков)
Задача 25: “Инцидент в школьной сети” (700 очков)
Произошел серьезный инцидент безопасности:
- Время: 6 июня 2025, 10:30-11:15
- Пострадала: База данных оценок
- Подозрение: Внутренний злоумышленник
Файлы для анализа:
├── network_dump_incident.pcap (85 MB)
├── security_logs.zip
├── system_memory_dump.raw
└── suspicious_emails.mbox
Определите:
1. IP-адрес атакующего
2. Метод атаки
3. Какие данные были скомпрометированы
4. Время начала и окончания атаки
5. Возможного внутреннего сообщника
Задача 26: “Цифровая археология” (900 очков)
Найден старый компьютер из кабинета директора (2020 год).
На нем могут быть важные документы, но диск поврежден.
Образ диска: director_pc_2020.dd (4.2 GB)
Состояние: Частичное повреждение файловой системы
Восстановите:
1. Удаленные документы с планами развития школы
2. Зашифрованную переписку с департаментом образования
3. Файлы проекта "Школа будущего"
4. Пароли от важных аккаунтов
Инструменты: Autopsy, PhotoRec, Volatility, TestDisk
🏰 Центральный сервер школы (динамические очки)
Концепция:
🎯 ЦЕЛЬ: Получить и удержать ROOT доступ к серверу school-central.local
📊 СИСТЕМА ОЧКОВ:
├── За захват сервера: +500 очков
├── За каждую минуту удержания: +50 очков
├── За восстановление после атаки: +200 очков
└── За защиту от атак других команд: +100 очков
⚔️ ПРАВИЛА БОЕВЫХ ДЕЙСТВИЙ:
├── Разрешены любые техники (в рамках стенда)
├── Можно атаковать команды, контролирующие сервер
├── Нельзя повреждать инфраструктуру
└── Обязательно документировать свои действия
Сценарий сервера: • Начальное состояние: Сервер с веб-приложением, SSH, базой данных • Уязвимости: Multiple entry points разной сложности • Защита: Firewall, IDS, автоматическое восстановление • Мониторинг: Real-time статус контроля каждой командой
Тактики команд: • Атакующие: Поиск новых уязвимостей, эксплуатация найденных дыр • Защищающиеся: Закрытие дыр, мониторинг попыток вторжения • Разведка: Анализ действий других команд, поиск слабых мест
🏃♂️ Speed Challenge (10 задач по 100 очков, время ограничено)
Формат: первая команда, отправившая правильный ответ, получает очки
27. Декодируйте: 01001000 01100101 01101100 01110000
28. ROT47: E96 BF:4< 3@FC? 7@I ;F>AD @G6C E96 =2KJ 5@8
29. Найдите флаг в исходном коде: view-source:http://school-ctf.local/hidden
30. Взломайте пароль: MD5: 5d41402abc4b2a76b9719d911017c592
31. Определите тип файла: FF D8 FF E0 00 10 4A 46 49 46
32. Reverse string: "galf_eht_si_siht"
33. Найдите простое число: наибольшее простое < 100
34. SQL injection: bypass login with username "admin"
35. Конвертируйте: 0x48656C6C6F в ASCII
36. Последовательность: 1, 1, 2, 3, 5, 8, 13, ?
Подведение итогов турнира (5 мин): • Объявление финальных результатов и распределения мест • Вручение дипломов, грамот и призов победителям • Специальные номинации: “Лучший новичок”, “Самое креативное решение”, “Командный дух” • Фотографирование команд-победителей с кубками и призами
Экспресс-разбор ключевых решений (5 мин): • Демонстрация наиболее интересных техник, использованных командами • Разбор типичных ошибок и способов их избежания в будущем • Обсуждение альтернативных подходов к сложным задачам • Анонс возможностей для дальнейшего участия в CTF-соревнованиях
• Cross-domain задачи: требующие знаний из нескольких областей одновременно • Real-world scenarios: максимально приближенные к реальным инцидентам безопасности • Time pressure adaptation: обучение работе в условиях жесткого дедлайна • Strategic decision making: выбор между задачами разной сложности и ценности
• Scaffolded competition: постепенное увеличение сложности для поддержания мотивации • Peer learning amplification: обучение через наблюдение за стратегиями других команд • Real-time feedback: мгновенная обратная связь через систему очков • Reflection integration: встроенные моменты для анализа собственного прогресса
Техническое мастерство (40%): • Количество решенных задач и их сложность • Качество технических решений и использованных методов • Способность решать задачи разных категорий • Инновационность и креативность подходов
Командная эффективность (30%): • Качество координации и распределения ролей • Эффективность коммуникации под давлением • Взаимопомощь и поддержка членов команды • Адаптивность стратегии в процессе турнира
Спортивное поведение (20%): • Соблюдение этических принципов соревнования • Уважение к соперникам и организаторам • Помощь другим командам (вне периодов активного соревнования) • Конструктивное отношение к неудачам
Обучение и рост (10%): • Демонстрация прогресса по сравнению с первым днем • Готовность пробовать новые техники и инструменты • Качество рефлексии и анализа собственных действий • Планы дальнейшего развития в кибербезопасности
• Командный дебриф: 30-минутное обсуждение опыта турнира в команде • Личный анализ: письменная рефлексия о личных достижениях и областях роста • Peer feedback: обратная связь товарищам по команде о их вкладе • Tournament diary: создание краткого дневника турнира с ключевыми моментами
• Solution writeups: документирование решений сложных задач для других • Tool evaluation: анализ эффективности использованных инструментов • Failure analysis: разбор нерешенных задач и планирование изучения недостающих навыков • Strategy optimization: предложения по улучшению командной стратегии
• Skill gap analysis: определение областей для дальнейшего изучения • Resource planning: составление списка ресурсов для продолжения обучения • Community engagement: планирование участия в внешних CTF и сообществах • Mentorship goals: определение возможностей помощи младшим ученикам
🏆 ИТОГОВАЯ ТАБЛИЦА ДОСТИЖЕНИЙ:
1. 🥇 CyberWarriors - 3,450 очков
├── Решено задач: 28/36
├── Время удержания сервера: 12 минут
├── Специализация: Web + Crypto
└── Девиз: "Code hard, hack harder!"
2. 🥈 Digital Defenders - 3,200 очков
├── Решено задач: 25/36
├── Время удержания сервера: 8 минут
├── Специализация: Forensics + Programming
└── Девиз: "Защищаем цифровое будущее!"
3. 🥉 Code Breakers - 2,850 очков
├── Решено задач: 23/36
├── Время удержания сервера: 5 минут
├── Специализация: Crypto + Reverse
└── Девиз: "Ломаем коды, создаем решения!"
🎖️ СПЕЦИАЛЬНЫЕ НОМИНАЦИИ:
├── 🌟 "Лучший новичок": Анна Смирнова (Code Breakers)
├── 🧠 "Самое креативное решение": Digital Defenders (Task #24)
├── 🤝 "Командный дух": CyberWarriors
└── 🚀 "Прорыв турнира": Команда "Crypto Kids" (+15 позиций)
• 100% участников завершили турнир с чувством accomplishment
• 95% продемонстрировали значительный рост навыков за два дня
• 90% выразили желание продолжить изучение кибербезопасности
• 85% планируют участие во внешних CTF-соревнованиях
• 80% укрепили дружеские связи через техническое сотрудничество
• 75% определились с предпочтительным направлением специализации
• Летние CTF: участие в каникулярных онлайн-соревнованиях • Профильные смены: технические лагеря и школы кибербезопасности • Олимпиады: подготовка к региональным и всероссийским соревнованиям • Проектная деятельность: развитие проектов из модуля программирования
• Образовательная траектория: выбор профильных классов и дополнительного образования • Профессиональная ориентация: понимание карьерных возможностей в кибербезопасности • Сообщество практиков: интеграция в российское CTF-сообщество • Международное участие: подготовка к международным соревнованиям
Финальные результаты урока:
- 🏆 100% участников получили незабываемый опыт технического соревнования высокого уровня
- 🧠 98% продемонстрировали интеграцию знаний из всех модулей курса
- 🤝 95% показали эффективную командную работу в стрессовых условиях
- 🚀 90% проявили лидерские качества или активную поддержку команды
- 💡 85% открыли для себя новые техники и инструменты кибербезопасности
- 🎯 80% определились с направлением дальнейшего развития в IT
- 🌟 75% получили мотивацию для продолжения изучения кибербезопасности на профессиональном уровне
Миссия выполнена! Новое поколение специалистов по кибербезопасности готово к вызовам цифрового будущего! 🛡️🚀