MEPhI CTF

Новый день, новые познания о нашем любимом языке программирования C; Во время написания токенизатора для своего компилятора, я наткнулся на очень полезный ресурс, где описана грамматика и токены для C (https://www.lysator.liu.se/c/ANSI-C-grammar-l.html); Оказывается, для стандарта C две данные программы абсолютно идентичны:

int main(){
    int a[3] = {0, 1, 2};
    return a[1];
}

int main() <%
  int a<:3:> = <%0, 1, 2%>;
  return a<:1:>;
%>

Для токенизатора, например, <: идентично [. Даже если вы напишете неправильную программу, например:

<%

И попытаетесь её скомпилировать, вы увидите, что ошибка указывает на то, что ожидается что-то перед токеном '{'

> echo -e "<%\n" > a.c
> gcc a.c
a.c:1:1: error: expected identifier or ‘(’ before ‘{’ token
    1 | <%
      | ^~
>

Такие дела

Друзья! Регистрация на BI.ZONE x MEPhI CTF Meetup #4 официально закрыта. Всем, кому пришло подтверждение, ожидаем 17 февраля в 18-00 по адресу московского офиса BI.ZONE (ул. Ольховская, д. 4, корп. 1, 1-й этаж). До встречи!

🚀 Открыта регистрация на Learning Bear 2026! 🚀 📅 Можно и нужно подавать заявку прямо сейчас. 🕛 Старт соревнований — 28 февраля в 12:00 (МСК). 💡 Важно: ☑️ Участвовать может любой желающий из любой точки России, 18+. ☑️ Формат — CTF с индивидуальным зачётом. ☑️ Длительность соревнований — 24 часа. ☑️ В анкете нужно указать ВУЗ, город и курс — это важно для организации. ☑️ Лучшие участники получат приглашение в финал Learning Bear — очный обучающий лекторий. 👉 Регистрируйтесь по ссылке: 🔗 ссылка на регистрацию

Наконец делимся программой BI.ZONE x MEPhI CTF Meetup #4 Вот наши спикеры: 🔵«Теория мертвого ctf'а» Анохин Артемий, капитан команды Pudge Fun Club 🔵«Атакуем Guardrails в AI-системах» Воронков Андрей, старший инженер по информационной безопасности, Яндекс Гусев Максим, старший инженер по информационной безопасности, Яндекс 🔵«Как собрать покрытие с любой виртуалки и не обанкорититься на процессоре» Рудаков Даниил, реверс-инженер, "Код безопасности" 🔵«SAST Taint Analysis with LLM verification» Соловьев Михаил, независимый исследователь, участник команды LCD 🔵«Мисконфиги инфраструктуры: что можно эксплуатировать сегодня» Ромашов Сергей, специалист по тестированию, BI.ZONE До митапа осталась всего неделя. И у нас высвободились места для зарегистрироваться. Ждем вас 17 февраля в 18-00 по адресу московского офиса BI.ZONE (ул. Ольховская, д. 4, корп. 1, 1-й этаж)! P. S. Количество оставшихся мест ограничено.

Думаю, многие ощущали сильную усталость после дня просмотра аишного кода и переписывания промптов, хотя в индустрии обычно это не считается тяжелой работой. Сегодня в подборке Hacker News попалась очень хорошая статья на тему. https://siddhantkhare.com/writing/ai-fatigue-is-real

Какой же всё-таки гениальный канал @infosecmemes

Письмо в редмондскую компанию Microsoft: "Я 11 лет считаю оффсеты до поля Token у вас в EPROCESS — он то 744, то 736, иногда 1088, а вчера вообще 464 был. Вы что там, сумасшедшие что ли все???"

🚀 MEPhI CTF x BI.ZONE Meetup #4 | 17 февраля 2026, 18:00 Открываем регистрацию на уже четвёртый CTF-митап! С нас — уютная атмосфера, угощения и доклады, с вас — интересные вопросы спикерам и неформальное общение. Ждем всех причастных к CTF, особенно начинающих игроков.  Программа проходит последние этапы согласования, и скоро мы её выложим. Когда: 17 февраля, вторник, 18:00. Где: московский офис BI.ZONE (ул. Ольховская, д. 4, корп. 1, 1-й этаж).  Чтобы попасть на митап, зарегистрируйтесь и дождитесь подтверждения. Количество мест ограничено.

MEPhI CTF x BI.ZONE Meetup #4 Всем привет! По техническим причинам чуть-чуть передвигаем митап вперед: на 17 февраля. Кстати CFP всё ещё открыт вот тут (очень ждём ваши заявки).

На новой работе много приходится читать про inference LLM-ок Кажется лучшее что есть об этом в интернете https://jax-ml.github.io/scaling-book/

🚩 Господа из DUCKERZ анонсируют одноименный CTF 🐥Формат task-based 🐥Команды до 5 человек 🐥С 12:00 7 февраля по 12:00 8 февраля (МСК) Участвовать могут все желающие независимо от уровня подготовки, а призы получат топ-3 команды. Зарегистрироваться можно вот тут. Все анонсы и апдейты будут публиковаться в канале организаторов.

mediatek? more like media-rekt, amirite. Article by hypr covering an assortment of bugs the author found in the MediaTek MT76xx and MT7915 Wi-Fi drivers. The article also describes the nonsensical responses MediaTek gave to the bug reports, seemingly trying to weasel out of assigning a High impact rating to the reported bugs.

Работа, которую должны обсуждать, кажется, все Господа из Vrije Universiteit Amsterdam и University of Birmingham показали, что transient/speculative execution атаки на процессоры возможны в двух крупнейших современных клаудах: Amazon Cloud и Google Compute Engine. С помощью модификации одной из первых атак на spec execution 2018 года L1TF (исследователи назвали свой вариант L1TF Reloaded) и использования гаджетов Half-Spectre господа получили guest-to-host physical arbitrary read, затем прошлись по списку task_struct в хостовом ядре, нашли другую виртуалку и вычитали оттуда TLS ключ nginx :) Исследователи получили баунти от Google в размере 150к$. А вам мы предлагаем задуматься: насколько хорошо всё с защитой от атак на CPU в других облаках, менее крупных и популярных чем Amazon и GCE? PoC видосик Ссылка на научную работу Ссылка на райтап от Google

Не всё же вам технический контент кидать! Вот вам классный альбом от широко известной в узких кругах группы ЖЩ. Многие подписчики MEPhI CTF достаточно молоды, чтобы пропустить этот шедевр :) Кстати, напоминаем, что у нас продолжается CFP на митап в феврале.

New blog post about Pointer Authentication (PAC) on Windows ARM64. This post takes a look at the Windows implementation of PAC in both user-mode and kernel-mode. https://www.originhq.com/blog/windows-arm64-internals-deconstructing-pointer-authentication

Работа от господ из University of Tokyo о фаззинге nested виртуализации, вышедшая неделю назад Исследователи написали новый фаззер NecoFuzz и нашли 6 новых уязвимостей: в KVM, VirtualBox и Xen. Что круто, господа не использовали готовый фаззинг-бэкэнд для гипервизоров (Morphuzz, HyperPill, Truman, kAFL/hAFL и т.д.), а реализовали NecoFuzz на основного базированного AFL++. Во время подготовки доклада на OFFZONE 2025 я задумывался что бы ещё такого интересного можно придумать в фаззинге гипервизоров (казалось, что EPFL и KAIST уже придумали всё, что можно). Оказывается придумать можно и это радует :) https://arxiv.org/pdf/2512.08858v1