National CTF

This page is related to the National CTF of Ukraine and explains the level of difficulty for participants.

CTF Difficulty Levels (Ukrainian version)

Рівень 1: Криптографія, OSINT та Логіка

Мета: Перевірити базові навички аналізу, дешифрування, збору відкритої інформації та логічного мислення.

Криптографія

  • Caesar (зсув) — розшифрувати повідомлення з невідомим зсувом.

  • Ланцюжок Base-кодувань — повідомлення закодоване кількома шарами (наприклад Base32 → Base58 → Base64). Розпізнати та розкодувати кожен шар.

  • XOR-зашифрування — дешифрувати текст, XOR-ований одно-байтовим ключем.

  • RSA з спільними простими множниками — відновитиприватний ключ при наявності двох публічних ключів з одним спільним простим множником.

  • Підстановочна шифра (monoalphabetic) — аналіз частот для відновлення таблиці замін.

OSINT

  • Знайти місцезнаходження автора — аналіз EXIF у зображенні.

  • Знайти корпоративний email — пошук через LinkedIn/WHOIS/Crunchbase.

  • Виявити endpoint для скидання пароля — аналіз відкритихдиректорій, robots.txt та sitemap.

  • Відстежити користувача за нікнеймом — знайти пов’язаніакаунти в соцмережах.

Логіка

  • Логічні задачі на розпізнавання паттернів — завершитипослідовність символів/чисел.

  • Шифри-головоломки — поєднання підказок у тексті, щовказують на порядок операцій.

  • Код-серії — знайти правило перетворення рядка (перестановки, заміни, групування).

  • Задачі на дедукцію — кілька підказок, які ведуть до єдиногоправильного висновку (наприклад 'хто злодій' за набором фактів).

Рівень 2: Середній — веб-пентестинг

Мета: Виявлення та експлуатація середнього рівня вразливостей у веб-застосунках.

  • Path Traversal — доступ до захищених файлів через directory traversal.

  • Reflected XSS — ін’єкція JS для викрадення cookie або виконання дій від імені користувача.

  • CSRF — примусити жертву виконати небажану дію (наприклад, змінити пароль).

  • .env leak — витік ключів API або даних БД через неправильнуконфігурацію.

  • .git exposure — відновлення коду з відкритої .git директорії.

  • Слабкі паролі — брутфорс форми логіну за словником.

  • Відкритий FTP/SSH з дефолтними паролями — підключення до сервісів.

  • Небезпечний API endpoint — доступ без автентифікації абоавторизації.

  • Сканування сервісів (Nmap) — виявлення відкритих портів та сервісів.

Рівень 3: Високий — просунутий веб-пентестинг

Мета: Багатоступеневі експлойти, підвищення привілеїв та латеральний рух.

  • Експлуатація відомого CVE для обходу автентифікації.

  • Remote Code Execution (RCE) — виконати довільні команди та отримати reverse shell.

  • Обхід перевірки при завантаженні файлів — завантажити та виконати вебшелл.

  • Blind SQL Injection — ексфільтрація даних через time/boolean-based техніки.

  • Витік через ViteJS dev server / source maps — читання локальнихфайлів.

  • Зловживання віддаленими debugger endpoint’ами — отриматиконтроль через консоль devtools.

  • Підвищення привілеїв через IDOR / неправильні ACL — отримати доступ до ресурсів інших користувачів.

  • Комбінований експлойт / pivoting — ланцюжок уразливостейдля доступу до внутрішніх систем.

Last updated