FAQ

• Alle Flags haben das Format PAYONE{some_flag_c0nt3nt} und entsprechen dem Regex PAYONE{[\S]+}.
• Es werden während des CTF keine zusätzlichen Hinweise außer denjenigen bereitgestellt, die direkt an die jeweiligen Challenges angehängt sind.
• Das Teilen von Flags mit anderen führt zur Disqualifikation.
• Das Durchführen von Brute-Force-Angriffen auf unsere Infrastruktur ist nicht erforderlich und kann zu einer unbefristeten IP-Sperre führen.
• Bitte verzichtet auf den Einsatz automatisierter Vulnerability-Scanner – sie werden euch nicht helfen.
• Directory-Bruteforcing zur Erkundung der Angriffsfläche ist in Ordnung. Verwendet dabei angemessene Concurrency-Einstellungen und Wortlisten!

Einige Challenges könnten das Erlangen von Remote Code Execution (RCE) auf dem Zielsystem beinhalten.
Obwohl wir alle Challenge-Systeme problemlos neu aufsetzen können, bemüht euch bitte,
keine destruktiven Aktionen durchzuführen, die andere Teams beeinträchtigen (z. B. Löschen oder Verändern von Anwendungsdateien).

Ein Verstoß gegen diese Regeln führt zu einer temporären IP-Sperre.

Tools

Einige Challenges könnten die Nutzung bestimmter Tools erfordern. Wir geben keine Hinweise dazu, wie und wann sie zu verwenden sind – wisst einfach, dass sie zur Verfügung stehen.

Eine Auswahl hilfreicher Ressourcen:

• Burp Suite
• OWASP ZAP CyberChef (gchq)
• ffuf
• Webhook
• pipedream
• PayloadsAllTheThings
• HackTricks
• Ngrok