-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
CTF
Хакерский CTF построен на правилах классического Capture the Flag
Решено Positive Hack Days 13–14 мая 2020
ВНИМАНИЕ! Перенос сроков проведения PHDays 10
В связи с ситуацией, вызванной эпидемией коронавирусной инфекции (COVID-19), и в целях безопасности наших гостей мы приняли решение перенести форум PHDays 10.
Оргкомитет анализировал ситуацию последние две недели и получил много вопросов от наших спикеров со всего мира по поводу возможной коррекции сроков проведения форума. Учитывая возрастающие риски международных поездок, мы начали рассматривать вопрос о переносе мероприятия.
Вчера вышло распоряжение мэра Москвы об отмене до 10 апреля мероприятий численностью свыше 5000 человек, однако, наблюдая за развитием ситуации с эпидемией, можно предположить, что запрет будет продлен.
В итоге мы приняли решение о переносе форума - предположительно на осень 2020 года. О новых датах PHDays 10 мы сообщим дополнительно. Как только будут объявлены даты, мы свяжемся со всеми участниками и докладчиками, чтобы выяснить, смогут...
Оргкомитет анализировал ситуацию последние две недели и получил много вопросов от наших спикеров со всего мира по поводу возможной коррекции сроков проведения форума. Учитывая возрастающие риски международных поездок, мы начали рассматривать вопрос о переносе мероприятия.
Вчера вышло распоряжение мэра Москвы об отмене до 10 апреля мероприятий численностью свыше 5000 человек, однако, наблюдая за развитием ситуации с эпидемией, можно предположить, что запрет будет продлен.
В итоге мы приняли решение о переносе форума - предположительно на осень 2020 года. О новых датах PHDays 10 мы сообщим дополнительно. Как только будут объявлены даты, мы свяжемся со всеми участниками и докладчиками, чтобы выяснить, смогут...
Победа команды Codeby
Сегодня я к Вам с очень клевой новостью.
Совсем недавно проходила 14 Лаборатория от компании "Pentestit" и наши ребята там громко пошумели.
Две недели интенсивного решения задачек. В итоге дало свои плоды.
Хотя я лично, к сожалению, в преддверии Новогодней суеты, поучаствовать не смог, но я так же болел за нас.
Итак, от лица форума и всех причастных поздравляю команду Codeby с победой и заслуженными первыми местами.
Совсем недавно проходила 14 Лаборатория от компании "Pentestit" и наши ребята там громко пошумели.
Две недели интенсивного решения задачек. В итоге дало свои плоды.
Хотя я лично, к сожалению, в преддверии Новогодней суеты, поучаствовать не смог, но я так же болел за нас.
Итак, от лица форума и всех причастных поздравляю команду Codeby с победой и заслуженными первыми местами.
- @BadBlackHat - 1 место
- @<~DarkNode~> (Mister_bert0ni) - 2 место
- @BlackRabbit - 3 место
- @pr0phet - 4 место
- @clevergod - 5 место
Статья CTF "Bsides London 2017"
Привет, codeby !
Первоисточник:
Перевод: выполнен от команды Codeby
Примечание от команды форума:
Виртуальную машину можно .
Начнем с того, что нам нужно узнать IP виртуальной машины (здесь я использую 192.168.0.7, но вам нужно указать свой).
Запустим сканер nmap, чтобы найти открытые порты и команду –sV, чтобы определить версии сервисов установленных на портах.
Мы видим, что на машине открыт 80 порт, на котором находится наш сервер.
Откроем в браузере 192.168.0.7
На главной странице мы находим подсказку и с...
Первоисточник:
Перевод: выполнен от команды Codeby
Примечание от команды форума:
- Статья является переводом.
Виртуальную машину можно .
Начнем с того, что нам нужно узнать IP виртуальной машины (здесь я использую 192.168.0.7, но вам нужно указать свой).
Запустим сканер nmap, чтобы найти открытые порты и команду –sV, чтобы определить версии сервисов установленных на портах.
nmap -p- -sV 192.168.0.7Мы видим, что на машине открыт 80 порт, на котором находится наш сервер.
Откроем в браузере 192.168.0.7
На главной странице мы находим подсказку и с...
Наши ребята на Phoenix Hackathon
Одесса
26 октября
26 октября
Спикерами мероприятия являются участники форума кодебай @Vander и @Sunnych
Далее текст от оргов:
Здравствуйте, мы являемся группой студентов ОНПУ специальность Информационная Безопасность. У нас появилась идея провести что то связанное с ИБ.
Кратко о мероприятии:участников ожидают выступления спикеров со всей Украины, профи своего дела список докладчиков вы можете увидеть у нас на сайте, так же мы подготовили практические квесты по различным темам php инъекции, sql инъекции, xss, обход авторизации и тд. Все это конечно же будет сопровождаться ценным и интересными призами.Вот наш сайт на котором можно узнать больше информации ( ).
На кого ориентированно мероприятие?
Материалы докладчиков будут доступны как для начинающих так и для продвинутых и вход...
Статья CTF “Game of Thrones” [Перевод]
Доброго времени суток, codeby.
Первоисточник:
Перевод: Перевод выполнен от команды Codeby
Примечание от команды форума:
Образ VM и подробное описание можно найти
Автор VM: OscarAkaElvis
Приступим.
Для начала, узнаем IP виртуальной машины (В статье она находится по адресу 192.168.1.133)
Далее используем nmap чтобы найти открытые порты и сервисы расположенные на них
Мы видим, что на 80-ом порту находится веб-сервер, поэтому мы открываем ip в нашем браузере.
Посмотрев на исходный код страницы, мы увидим синтаксис флага.
[ATTACH...
Первоисточник:
Перевод: Перевод выполнен от команды Codeby
Примечание от команды форума:
- Статья является переводом.
Образ VM и подробное описание можно найти
Автор VM: OscarAkaElvis
Приступим.
Для начала, узнаем IP виртуальной машины (В статье она находится по адресу 192.168.1.133)
Код:
netdiscoverДалее используем nmap чтобы найти открытые порты и сервисы расположенные на них
Код:
nmap -p- -sV 192.168.1.133Мы видим, что на 80-ом порту находится веб-сервер, поэтому мы открываем ip в нашем браузере.
Посмотрев на исходный код страницы, мы увидим синтаксис флага.
[ATTACH...
Статья SQL-injection challenge write-up
Всем привет!
На днях проходил конкурс по SQL-injection. И сегодня я расскажу вам как нужно было проходить задание. Этот райтап будет больше чем прохождение конкретного таска. Здесь я буду освещать логический подход к внедрению произвольного кода sql. Многие из вас, смогут для себя узнать полезные детали.
Рассказывать буду подробно, шаг за шагом.
Шаг 1 - найти точку входа в инъекцию.
На странице таска мы не видим какой-либо формы в явном виде, также в исходном коде нет скрытой формы.
Стало быть с большой долей вероятности уязвимость будет в GET запросе. Чаще всего обращение к базе идёт через какой-нибудь параметр. Пробовать нужно всегда с самого простого и распространённого, что я и сделал в таске. Получилось, вывод на странице поменялся. Попали с первого раза. Кто не догадался, тот легко мог узнать страницу с параметром с помощью какого-либо фаззера...
На днях проходил конкурс по SQL-injection. И сегодня я расскажу вам как нужно было проходить задание. Этот райтап будет больше чем прохождение конкретного таска. Здесь я буду освещать логический подход к внедрению произвольного кода sql. Многие из вас, смогут для себя узнать полезные детали.
Рассказывать буду подробно, шаг за шагом.
Шаг 1 - найти точку входа в инъекцию.
На странице таска мы не видим какой-либо формы в явном виде, также в исходном коде нет скрытой формы.
Стало быть с большой долей вероятности уязвимость будет в GET запросе. Чаще всего обращение к базе идёт через какой-нибудь параметр. Пробовать нужно всегда с самого простого и распространённого, что я и сделал в таске. Получилось, вывод на странице поменялся. Попали с первого раза. Кто не догадался, тот легко мог узнать страницу с параметром с помощью какого-либо фаззера...
Статья Travis как система непрерывной интеграции и доставки
Доброго времени суток, codeby. Не так давно в моем городе “отгремел” локальный хакатон в одном из универов и мне хотелось бы поделиться одним из полезнейших навыков для комфортного участия в таких мероприятиях - настройкой инфраструктуры для непрерывной доставки и развертывании.
Итак формат хакатона следующий: за отведенное время (26 часов) участникам (командам) предлагается решить одну из задач (головных болей) бизнеса (читай заказчика). Разумеется чем более готовый продукт, тем более выше шансы на успех. При таких данных, хочется максимально минимизировать затраты на прогон всех тестов и время для развертывания приложения. Хочется заняться более интересными и трудозатратными вещами: архитектурой, кодингом, анализом проблемы, поиском решения и так далее.
Статья заточена на стек .Net(Core) и React. База данных не делилась на продуктовую и тестовую (вместо этого изначально предполагалось запускать её в контейнере, но от этого решения принято было отказаться в процессе разработки...
Итак формат хакатона следующий: за отведенное время (26 часов) участникам (командам) предлагается решить одну из задач (головных болей) бизнеса (читай заказчика). Разумеется чем более готовый продукт, тем более выше шансы на успех. При таких данных, хочется максимально минимизировать затраты на прогон всех тестов и время для развертывания приложения. Хочется заняться более интересными и трудозатратными вещами: архитектурой, кодингом, анализом проблемы, поиском решения и так далее.
Статья заточена на стек .Net(Core) и React. База данных не делилась на продуктовую и тестовую (вместо этого изначально предполагалось запускать её в контейнере, но от этого решения принято было отказаться в процессе разработки...
CTF Root-Me, App-System, ELF x86 - Format string bug basic 1
ELF x86 - Format string bug basic 1
Environment configuration :
Source code :
Environment configuration :
| PIE | Position Independent Executable | 
|
| RelRO | Read Only relocations |
|
| NX | Non-Executable Stack |
|
| Heap exec | Non-Executable Heap |
|
| ASLR | Address Space Layout Randomization |
|
| SF | Source Fortification |
|
| SRC | Source code access |
Source code :
C:
#include <stdio.h>
#include <unistd.h>
int main(int argc, char *argv[]){
FILE *secret =...
