Kyzylorda Tech использует S3-совместимое объектное хранилище для внутренних документов. Один из бакетов по ошибке настроен на публичный доступ для чтения.
Найди бакет. Внутри есть файл со списком вендоров. Один из перечисленных вендоров — основной платёжный процессор компании. Имя этой компании — флаг.
Формат флага: flag{<имя_вендора>} — в точности как в документе (с сохранением регистра и спецсимволов).
Подсказка: стандартные приёмы поиска бакетов и предположения по корпоративной нейминг-конвенции работают здесь. Начни с очевидного.
Kyzylorda Tech-тің ішкі құжаттары S3-үлгідегі объектілер қоймасында сақталады. Бір ковш қате баптауларға байланысты жалпыға ашық оқу режимінде тұр.
Сол ковшты тап. Ішінде вендорлар тізімі бар файл бар. Тізімдегі бір компания — қаражат өткізетін негізгі серіктестік. Сол компанияның атауы — жалауша.
Жалаушаның форматы: flag{<вендор_атауы>} — құжаттағыдай, әріптердің регистрімен және арнайы белгілерімен.
Кеңес: бакеттерді табудың стандартты әдістері мен корпоративтік нейминг үлгілеріне жорамал жасап көру жұмыс істейді. Көзге көрінетіннен баста.
flag{...}Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Не извлечение через CDN, не подделка подписи, не side-channel. Класс — public-by-default доступ к ресурсам, которые предполагалось делать приватными.
KK: CDN арқылы шығару емес, қолтаңбаны бұрмалау емес, side-channel емес. Класс — public-by-default қол жеткізу жабық болуы керек ресурстарға.