Track 2a — Red · OSINT chain · 275 pts
Айжан и Виктор работали в одной экосистеме. На этой странице — рекреация цепочки от блога Айжан до staging-API Виктора через его GitHub. Пройдите по цепочке и найдите утечку.
Формат флага: flag{<discovered_secret>} — secret напрямую упоминается в одном из артефактов ниже.
«…работаем командой над пет-проектом — фреймворком для команд CTF, который Виктор (@viktor_petrov) запустил год назад. Его репозиторий — публичный: github.com/viktor-petrov/steppe-ops. Он там ведёт всё: и сами тулзы, и собственный staging-инструмент. Я в основном помогаю с инфраструктурой и code review…»
# SteppeOps — distributed CTF tooling for KZ teams
## Development
Locally: `make dev`. Tests need a running staging dashboard, see below.
## Staging dashboard
A small internal dashboard at https://steppe-ops-staging.example.com
that exposes /tools/list and /tools/run. Auth is via header:
X-Staging-Key: <see internal docs>
NOTE: the dashboard is dev-only — do NOT expose to public networks.
## Internal docs
See `INTERNAL.md` for current staging-key (rotated weekly).# Internal Reference (DO NOT COMMIT TO MAIN PUBLIC TREE)
## Current staging key
Active 2024-07-23 .. 2024-07-30:
X-Staging-Key: steppe_ops_internal_v2_7c3a91d
Use only against staging-dashboard. Rotated weekly. Do not paste
in chat, screenshots, or external trackers.
## Endpoints
POST /tools/run — execute a tool by name
GET /tools/list — list tools
GET /admin/whoami — debug header info (returns active key)Виктор по ошибке закоммитил INTERNAL.md в публичную ветку. На рекреации виден активный staging-ключ. Извлеките его и отправьте как флаг.
Формат флага: flag{<leaked_staging_key>} — ключ напрямую упоминается выше.
RU: Решите задачу выше. Найденный флаг (формат flag{) отправьте напрямую в irange.
KK: Жоғарыдағы тапсырманы шешіңіз. Табылған жалаушаны (формат flag{) тікелей irange-ге жіберіңіз.
RU: Каждая подсказка снимает баллы.
KK: Әр кеңес ұпайды кемітеді.