🕦 👝 🍾 NeoQUEST-2020在线阶段的结果：尽可能地生存 🎋 🤒 ↔️

NeoQUEST-2020已经结束，现在是时候谈论这两个星期了：我们将揭示任务的实质（但不是全部，有些将作为单独的总结出现），显示其进度的统计信息并宣布获胜者！

注意！本文包含了一些尚未完成任务但仍会诚实的人（有这样的机会- 在线舞台站点继续工作！）。

我们不会冗长介绍。今年，他们成为钢铁行业的赢家：

hellow0rld666，1221点
卡拉西克，1221点
ch1sh1rsk1，1085点

向这些家伙三度“加油”！争夺第一名的斗争从头开始-领导者几乎每天都在变化。还值得注意的是hellow0rld666和KARASIQUE成为完成我们所有任务的参与者！我们不相信自己的眼睛，但是它确实发生了。

有趣的事实：所有在比赛第一天引起极大兴趣的任务都是由女孩开发的：)

解释作业！

在两个星期的过程中，我们的support@neoquest.ru邮箱没有停止发送信号以接收传入的消息！但这令我们感到高兴-这意味着我们正在执行任务，并使参与者感兴趣！

因此，我们在作业中拥有什么。

作业1-“不允许黑客入侵。”为

参与者提供了一个链接，随后他们进入页面，并带有唯一的题词“ Hello world！”。在这种情况下，我们从一开始就应该做什么？当然，我们正在爬入页面的源代码：

要解决此案例，请使用GIT的全部功能-就像GIT是一个众所周知的名称。但是，为什么还要突出显示另一封信呢？如果我们连接它们？.. CGIT？..确实，我听到了类似的声音！

CGIT-存储库Web界面。

因此，我们弄清楚了。跟随链接213.170.100.213/cgit，我们在所有文件夹中四处摸索，尝试找到密钥，但是经过一定~~小时的~~时间后，我们了解到这一点有所不同。

现在，人们分为两类：听说过cgit漏洞的人，以及听不到的人。

无论如何，您必须谷歌并找到CVE-2018-14912。此外，还可以

轻松处理，也不会欺诈：213.170.100.213/cgit/cgit.cgi/my_repo.git/objects/？path = .. / .. / .. / .. / .. / .. / .. / etc / passwd
我们使用密码获取文件，然后从中获取密钥的第一部分：
NQ2020Gka2rFseNPexB4JsnP9k9RKulFVQDCcXwYy1aPKI +查看更多...

剩下的就是找到第二部分了。这很容易：存储库中没有那么多文件，通过枚举，我们知道其中没有任何文件。但是我们在Git存储库中，这意味着您可以看到其中的所有更改！在那里，信息显然将更加完整...

通过“查看更多”指针转到diff，或手动找到“查看更多= e9a3c19a544e6589825fd643f4e6d5c1c4e9”，与第一部分连接并获取我们的密钥！

任务2-“拆卸机器人，或者您有l_apk_and？”

参与者将获得一个apk应用程序，它是一个文件客户端。它与服务器通信并接收具有指定名称的加密文件。您需要处理证书和访问令牌才能获取密钥。

作业的详细分析将作为单独的文章发布！

作业3-“最酷的左派”

在作业中，建议下载一个包含1 GB二进制文件的存档，其存档文件的名称为memdump.bin，据此我们可以假定这是RAM转储...

您是否感兴趣？很快，我们将把这篇摘要发表为另一篇文章，因为在整个NeoQUEST中，我们的参与者都对这项任务感兴趣！

第4号作业-“写作困难”

NeoQUEST-2020的亮点，该作业收集了创纪录的好评如潮的支持评论！最重要的是，wav文件中的声音只不过是按键上的键入声音。有必要对此声音进行采样并进行频率分析！
不久将发布有关作业的更详细说明。

目标№5 - «癫痫曲线”

工作条件：

A = 119008536160574978629781290147818127606791827844670246888266509216288777541932
B = 125173392763487646441684374997817715298134647755542804722568603162177610612799
char_field = 137503105969312982065490544697816890680820287577287920391172791053955276754533
P =（24588378651043317545653993517686345205594551142728198236546389666483449174897，64035697994960793657311999090254655816706285115803662919872675661618460099464）
Q =（70440277554855197417972068200756767916691677649413431083023577625869629031919，72025841911476301630338043296901014469577623652063349003687337089744015808109）

坦率地暗示需要解决椭圆曲线上的离散对数问题。在查看了椭圆曲线的参数并研究了其特性之后，我们认为该曲线是反常的：这种曲线的点组的顺序与给出该曲线的场的特性一致。对于此类曲线，有一种智能攻击，可让您足够快地计算所需的离散对数。

此外，这是技术问题：我们编写攻击代码，替换任务中的数据，找到离散对数并享受获得的密钥！

任务编号6-“隐藏的电报”

我们的另一块瑰宝，因为我们对电报中的地猫有所了解。作业的详细分析也将作为另一篇文章的一部分发布-这里有许多有趣的细微差别。

任务编号7-“如果可以，请与我对齐”

给定图片：

任务的诀窍是带有三个变量的Diophantine方程没有正整数解，这意味着任务的本质不在该方程的简单解中，您需要挖掘更深层！

元数据的图像

char_field = 2733425503484079885916437054066624513727898092580736050087
base_point =（2003799601518383430823233516441563713038362096795740845531,2732921640345227083457754907818649009295467132857674744044）
open_key =（1259834880846103046383661778550941435260068858903099332507,1686622613601304663126341188899964094370838010363453830341）
秘密<4351098091135498422 ---> Y 1 2 =的x ^ 3 +斧^ 2 + Bx的

再次提示椭圆曲线，但它们与该方程有什么关系？原来有连接！找到曲线的系数A和B后，我们面临一个新的难题：图片元数据中的点不属于该曲线。该怎么办？为了寻找线索，我们重新阅读了传说，并提到了“扭曲的姐妹”。尤里卡！如果这些点属于扭曲曲线怎么办？现在由您来查找包含元数据中的点的曲线。移至正确的扭曲曲线后，我们进行了Polyg-Hellman攻击并享受我们的见识！

任务编号8-“我可以给你签名吗？”

根据NeoQUEST-2020的统计数据，此任务最为困难，因此我们决定另外撰写一篇文章。简而言之，您需要了解如何将未签名的pdf文档上载到站点。为此，参与者将需要利用一个有趣的漏洞：）

任务编号9 –“致力于编程”

“不要相信自己的眼睛” –这是我们对这项任务的座右铭。当下载带有C源代码的文件时，似乎里面只有根据AES算法进行加密/解密的代码，但“不存在”-我们告诉您。您应注意代码中是否存在错误以及可疑的空格和缩进。我们承诺过神秘主义吗？接收并签名！

事实是，在这个文件中，除了C代码之外，还有深奥的编程语言的代码-Whitespace和Spoon！ Whitespace语言中的代码将为我们提供密钥，Spoon语言中的代码将为我们提供密文。现在，我们将纠正代码中的错误，并使用接收到的数据运行它并获取密钥！

任务号10-“成为人类”

OSINT今年正努力不让自己脱离现代趋势！我们创建了一个想要成为一个人并因此研究人类习惯的机器人的形象，并允许该机器人出现的所有社交网络上的参与者。

因此，给参与者以下文本：

cHVibGljMTAxMTAxMTAwMTAxMDExMDAxMDAwMDAxMDAwMeKArA ==。两个“ =”字面意义上大喊：“是，是，我是base64，请完全解码！”。我们收听此呼叫并获得public101101100101011001000000010001。接下来，将二进制转换为十进制，得到public191194129。非常让人联想到某些东西，对吧？

我们找到了一个VKontakte 组，其中机器人收集了统计数据和人们的答案。墙上的问题很有趣，但是我们对ASK.FM的链接感兴趣。对于问题的解答也很有趣，但我们对YouTube频道的链接感兴趣。在这里，我们发现我们的机器人不仅试图成为一个人，而且要成为一个博客作者！仍然只有一点点：按照视频上的提示进行操作。

我们在日记中查看密码的类型：

桌面屏幕保护程序-Paris清楚了梦city 以求的城市。宠物的名字也不会被忽视-玫瑰。我们会在浏览器的一个标签中看到您喜欢的歌曲，并且标识符被写在一杯咖啡上。

答案是Paris.Rose.Starlight.S3574mT

迷你任务1

在此任务中，您只需要查看页面的源代码，其中的短语“人们在开世界末日的笑话，就像没有明天。”谁说的？ ”。这个问题的答案可以在Google-“ Ellie”中找到。

迷你任务编号2

下载包含机器人说的文本条目的存档。是的，只有机器人不仅阅读斯蒂芬·金的书《荒地》，而且还会阅读错误。写了丢失的字母后，我们得到的短语是“有关病毒传播的书”。但是，这不是答案！我们需要找到一些有关病毒传播的书。但是任务已经有了线索，作者仍然是著名的S. King先生！正确的答案是立场。

迷你任务编号3

给出了一个可执行文件。有必要至少从他那里得到一些东西，当然最好是钥匙。如果运行它，则不会显示任何内容。开发事件有很多选择，但是正确的选择是从给定文件中提取行，这些行将被折叠成可读的文本。这项任务的答案是从中提取片段的那本书的名称-旅行者的银河指南。

迷你任务№4

该任务是现代黑客对爱因斯坦逻辑任务的解释。它的解决方案没有什么复杂的，最简单的方法是建立表并了解如何满足条件。正确答案是RREKPA。＃AC + P.EDWKU.LKPGM.MASLHAC-根据条件进行编码。

迷你任务编号5

Schrödinger的工作既简单又复杂。这里的简单之处在于获得答案-您所要做的就是将带有flag参数的POST请求发送到服务器，这将给出正确的答案。困难在于您需要考虑以下事实：)但是，我们的许多参与者都勇敢地处理了它，加油！

统计分钟

今年的统计数据如下：

注册参与者为1266人。
已完成任务数-10/10
至少完成一项任务的参与者人数为110人。

找到至少一个关键点的参与者的分布：

这是比赛当日我们参与者活动的图表：

我们使用传统的GIF完成统计部分：

谈论未来的日子

目前，我们计划于6月底在圣彼得堡举行“对抗” NeoQUEST-2020，但根据该国目前的情况，有可能建造城堡。最主要的-不用担心，我们今年一定会与您见面的！

我们将留下最酷和最喜欢的内容：攻击的报告，研讨会和演示，并添加一个新的！与去年一样，NeoQUEST将与科学技术会议“确保信息安全的方法和技术手段”一起举行！NeoQUEST-2020的来宾将学习有关科学与网络安全实践之间的关系，科学研究对信息安全专家的重要性以及科学的现代信息保护机制如何工作的很多知识！

有兴趣的人不仅可以参加NeoQUEST，还可以参加会议的科学部分！要了解有关参加NeoQUEST的报告或研讨会的更多信息，请写信至support@neoquest.ru，有关“确保信息安全的方法和技术手段”会议的更多信息，请访问联合站点，有关所有问题，请联系mitsobi@neobit.ru。

提前-编写多项任务，并积极准备“面对面”！顺便说一下，参加者至少完成了一项任务-检查您的邮件，我们将很快开始邮寄！

NeoQUEST-2020在线阶段的结果：尽可能地生存

解释作业！

统计分钟

谈论未来的日子

More articles: