• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

CTF и практические задания

Хакерский CTF построен на правилах классического Capture the Flag

Статья Hack The Box: Онлайн-лаборатория для практики и обучения пентесту (Часть 1)

  • 61 984
  • 21
Полное руководство на русском языке о Hack The Box Pen-testing Labs.

Всем привет. В недавнем времени захотел попрактиковаться в сфере пентеста. Долго искал и выбирал площадки. Выбирал среди этих:
  • HackerLab | CTF-платформа (площадка добавлена в конце 2022 года)
По названию статьи ты наверное понимаешь, что я выбрал последнее. Так началось мое знакомство с этим сайтом.

Для начала нам стоит разобраться что вообще сайт из себя представляет. Hack The Box или HTB -...

Решено Участие команды codeby в The Standoff на Positive Hack Days 9

  • 5 315
  • 14
Соревнования пройдут 21-22 мая на PHDays — международный форум по практической безопасности. Главная. Список команд: Команды The Standoff
The Standoff
Конфликт атакующих и защитников выходит на новый уровень. Битва развернется в городе, вся экономика которого основывается на цифровых технологиях. Городская инфраструктура включает в себя ТЭЦ и подстанцию, железную дорогу, «умные» дома с рекуперацией энергии, банки с банкоматами и киосками самообслуживания. Ну и конечно, в городе работают сотовая связь, интернет, различные онлайн-сервисы.
Подробнее на официальном сайте The Standoff

Приходите поболеть за нас :)

28244


Великий CTF - Инструментарий

  • 31 287
  • 14
Дабы понять, что освещается и что происходит в головах умов решающих различного рода CTF -
Представляю Вашему вниманию список софта, предназначенный для решения практически любых задач (CTF).
Это Утилиты, материал, пособия…

Если Вы нашли то, чего нет в статье, просьба оставлять комментарии, мы внесем правки и сделаем этот мануал для Вас и всего общества.

Зачем?

Да лично для себя в первую очередь, т.к. память у меня страдает. В первую очередь это большая заметка для забывак или интересующихся. У опытных уже сформирован инструментарий и им не приходиться прибегать к постороннему ПО. Особенно новичкам будет удобно и полезно.

Давайте так, выложу что есть, добавим, подправим и в итоге получим рабочий материал применимый в реальной жизни при решении аналогичных задач на различных площадках типа hackthebox.eu, root-me.org и так далее…

[COLOR=rgb(250, 197...

Статья Стеганография - аля Цикада 3301

  • 9 532
  • 8
На кануне нового 2019 года, 15 Декабря 2018 г. наткнулся в сети на такую интересную тему, как Cicada 3301. К сожалению не смог уделить должное внимание данной теме, как раз за день до этого стартовала крупнейшая в СНГ лаборатория Pentestit Lab 12, врайтап по которой можете найти на этом форуме в разделе CTF. Так вот, что это такое и вот Вам вырезка из wiki:

Цикада 3301 — таинственная организация, публикующая головоломки в Интернете. 4 января 2012 года на сайте был размещен пост: «Привет. Мы ищем лиц с высоким интеллектом. Для этого мы разработали тест. В этом изображении есть скрытое сообщение. Найдите его, и оно покажет вам, как найти нас. С нетерпением ждем тех немногих, кому удастся пройти весь путь. Удачи...

Каталог CTF Zone: каталог статей "list of articles"

CTF CTF HTB - Beatles

  • 5 079
  • 4
Привет, а вот и первый врайтап из очень популярной CTF платформы Hackthebox, вот и пруф популярности:

hackthebox.jpg


Уж больно понравилась эта стеганография и ровно поэтому решил ее запостить, надеюсь и Вы оцените...

run_beatles-1024x560.jpg


Скачав архив мы видим изображение и пойдем по привычному для нас пути:

Stegsolve.jar

beatles-stegsolve-1024x683-jpg.25694


Хочу Вам дать понять, что при работе со стеганографией Вы сразу понимали какой софт использовать для максимально быстрого результата, т.е. если Вы начнете смотреть изображение бинарно к примеру:

Bash:
cat -b BAND.JPG
или
Bash:
nl BAND.JPG

Мы получаем много мусора:
band_nl.jpg


Дальше пробуем инструментом, который мы показывали ранее - созвучным с иконкой браузера поисковика от Яндекса:
Bash:
strings BAND.JPG
А ще лучше сразу научиться так, если мы работаем со...

Конкурс Пройди квест киберпространства и получи 1500р. Бонус Alfa AWUS036NHA. Раннее было - получи 500р

  • 17 553
  • 51
A
Всем Привет!

Для Вас подготовил интересный конкурс:"Пройди квест киберпространства и получи 500р."
Неофициальное название квеста "Храм 7_Пантеонов".

Условия: дойти до финиша и выложить здесь скрин/секретное слово (который Вас ждет по завершению квеста в жанре "Киберпанк")

Сроки проведения: 1 месяц те. до 14 февраля 2019г. (если квест не пройден ни кем, возможно его продление на неопределенный срок, или его закрытие с выкладкой решения, или без выкладки решения - на усмотрение am29f010b)
Тот, кто первый придет "успешно" к финишу, получит 500р, если придет к финишу окольными путями (пропустив часть заданий), получит 250р.
Если придут несколько человек к финишу (независимо от времени, до срока окончания конкурса), то 250р/500р (одно призовое место) (Яндекс бабки) будут разыграны через...

CTF Врайтап Pentestit Lab 12 - для начинающих (часть 4)

  • 7 137
  • 11
Последний и самый не простой рывок в сторону коллекционирования оставщихся 3 токенов.
Глубоко вздохнули и погнали...

API Token
Натыкаемся еще на один упущенный айпишник: 172.16.2.16

Bash:
Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-06 02:04 Oaio?aeuiay Acey (ceia)
Nmap scan report for 172.16.2.16
Host is up (0.20s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE
8000/tcp open http-alt
Nmap done: 1 IP address (1 host up) scanned in 197.34 seconds

Думаем, что можно сделать.
Bash:
.\dirsearch.py -u http://172.16.2.16:8000 -e php,txt,bak,json,html,log,conf,cfg,ini,xls,doc,phtml -x 301,403,503,302 --random-agent
_|. _ _ _ _ _ _|_ v0.3.8
(_||| _) (/_(_|| (_| )
Extensions: php, txt, bak, json, html, log, conf, cfg, ini, xls, doc, phtml | Threads: 10 | Wordlist size: 10148
Target: http://172.16.2.16:8000
[02:51:29] Starting:
[02:53:16] 405 - 178B - /auth
[02:54:56] 405 - 178B - /search
Task Completed

Нашли 2 странички: auth...

CTF Врайтап Pentestit Lab 12 - для начинающих (часть 2)

  • 8 635
  • 3
Продолжение первой статьи Врайтап Pentestit Lab 12 - для начинающих (часть 1)

REPOSITORY Token
Мы понимаем, что репозиторий это или Веб-сервис или файловая шара. Ищем...

repository.jpg

http://172.16.1.15/ но нам нужен логин и пароль - закрыто htpasswd.
Bypass .htpasswd не помог.
repository2.jpg

Идем дальше...
________________________________________

SIEM Token
Мы понимаем, что искать нужно веб-морду сервиса. Ищем...
http://172.16.1.12/
pentestit12-siem-prewikka.jpg
нашли сервис Prewikka, это OSSEC-SIEM Prelude-SIEM/prewikka

Пробуем зайти под имеющимися info@test.lab и sviridov@test.lab
Не отканывает...
Пробуем бурпануть логины и пароль
Адски долго....

Знаете первый раз, я подумал верно, но потратил очень много времени чтобы...

CTF Врайтап Pentestit Lab 12 - для начинающих (часть 1)

  • 25 866
  • 33
Привет друзья, всех с Новым 2019 годом!

Хотел выложить статью в Декабре 2018, но очень хотелось найти оставшиеся токены для полноты картины и не давать Вам шансов к легкому прохождению. Так, как пока что (на момент 03.01.2019) - лидер выполнивший все задания только 1 и это CSV, который к тому же единственный, кто выполнил все токены включая Image 21-го декабря.

И вот 04.01.2019 г. пьедестал полностью сформирован и целая группа талантливых персонажей взяли последний и мучительный для них токен Image! перечислю ники на всякий случай: BadBlackHat, Mister_BertOni, zpointer, rOhack, ASV, cryptObOy из этого форума codeby.net взявшие последний токен в один день, так же ребята rack2009, nerf, oneGuard и конечно же монстр лабы, который прошел ее просто молниеносно, CSV! Браво всем!

pentestit12-image-6person.jpg


С разрешения создателей,

Хочу представить Вашему вниманию прохождение всем известной и любимой нашей...