National CTF
This page is related to the National CTF of Ukraine and explains the level of difficulty for participants.
CTF Difficulty Levels (Ukrainian version)
Рівень 1: Криптографія, OSINT та Логіка
Мета: Перевірити базові навички аналізу, дешифрування, збору відкритої інформації та логічного мислення.
Криптографія
Caesar (зсув) — розшифрувати повідомлення з невідомим зсувом.
Ланцюжок Base-кодувань — повідомлення закодоване кількома шарами (наприклад Base32 → Base58 → Base64). Розпізнати та розкодувати кожен шар.
XOR-зашифрування — дешифрувати текст, XOR-ований одно-байтовим ключем.
RSA з спільними простими множниками — відновитиприватний ключ при наявності двох публічних ключів з одним спільним простим множником.
Підстановочна шифра (monoalphabetic) — аналіз частот для відновлення таблиці замін.
OSINT
Знайти місцезнаходження автора — аналіз EXIF у зображенні.
Знайти корпоративний email — пошук через LinkedIn/WHOIS/Crunchbase.
Виявити endpoint для скидання пароля — аналіз відкритихдиректорій, robots.txt та sitemap.
Відстежити користувача за нікнеймом — знайти пов’язаніакаунти в соцмережах.
Логіка
Логічні задачі на розпізнавання паттернів — завершитипослідовність символів/чисел.
Шифри-головоломки — поєднання підказок у тексті, щовказують на порядок операцій.
Код-серії — знайти правило перетворення рядка (перестановки, заміни, групування).
Задачі на дедукцію — кілька підказок, які ведуть до єдиногоправильного висновку (наприклад 'хто злодій' за набором фактів).
Рівень 2: Середній — веб-пентестинг
Мета: Виявлення та експлуатація середнього рівня вразливостей у веб-застосунках.
Path Traversal — доступ до захищених файлів через directory traversal.
Reflected XSS — ін’єкція JS для викрадення cookie або виконання дій від імені користувача.
CSRF — примусити жертву виконати небажану дію (наприклад, змінити пароль).
.env leak — витік ключів API або даних БД через неправильнуконфігурацію.
.git exposure — відновлення коду з відкритої .git директорії.
Слабкі паролі — брутфорс форми логіну за словником.
Відкритий FTP/SSH з дефолтними паролями — підключення до сервісів.
Небезпечний API endpoint — доступ без автентифікації абоавторизації.
Сканування сервісів (Nmap) — виявлення відкритих портів та сервісів.
Рівень 3: Високий — просунутий веб-пентестинг
Мета: Багатоступеневі експлойти, підвищення привілеїв та латеральний рух.
Експлуатація відомого CVE для обходу автентифікації.
Remote Code Execution (RCE) — виконати довільні команди та отримати reverse shell.
Обхід перевірки при завантаженні файлів — завантажити та виконати вебшелл.
Blind SQL Injection — ексфільтрація даних через time/boolean-based техніки.
Витік через ViteJS dev server / source maps — читання локальнихфайлів.
Зловживання віддаленими debugger endpoint’ами — отриматиконтроль через консоль devtools.
Підвищення привілеїв через IDOR / неправильні ACL — отримати доступ до ресурсів інших користувачів.
Комбінований експлойт / pivoting — ланцюжок уразливостейдля доступу до внутрішніх систем.
Last updated