-
Бесплатный курс по пентесту от Школы Кодебай
Запишись на вводный видеокурс по пентесту, состоящий из 24 уроков. Разные инструменты, тактики и навыки: сканирование сети, фаззинг, брутфорс, сниффинг, sql-инъекции, mimikatz, загрузка полезной нагрузки, эксплуатация разных уязвимостей, XSS, CSRF и немного Reverse-shell. Будет полезен для быстрой подготовки к CTF, а так же для прохождения курсов «SQL Injection Master» и «WAPT».
-
Бесплатный курс SQL Injection от Школы Кодебай
Запишись на вводный курс по SQL инъекциям. Курс состоит из 6 видео уроков. К каждому уроку приложена методичка. Есть общий чат для учащихся. Будет полезен для быстрой подготовки к CTF, а так же для прохождения курсов «SQL Injection Master» и «WAPT».
CTF
Хакерский CTF построен на правилах классического Capture the Flag
CTF Врайтап Pentestit Lab 12 - для начинающих (часть 1)
Привет друзья, всех с Новым 2019 годом!
Хотел выложить статью в Декабре 2018, но очень хотелось найти оставшиеся токены для полноты картины и не давать Вам шансов к легкому прохождению. Так, как пока что (на момент 03.01.2019) - лидер выполнивший все задания только 1 и это CSV, который к тому же единственный, кто выполнил все токены включая Image 21-го декабря.
И вот 04.01.2019 г. пьедестал полностью сформирован и целая группа талантливых персонажей взяли последний и мучительный для них токен Image! перечислю ники на всякий случай: BadBlackHat, Mister_BertOni, zpointer, rOhack, ASV, cryptObOy из этого форума codeby.net взявшие последний токен в один день, так же ребята rack2009, nerf, oneGuard и конечно же монстр лабы, который прошел ее просто молниеносно, CSV! Браво всем!
С разрешения создателей,
Хочу представить Вашему вниманию прохождение всем известной и любимой нашей...
Хотел выложить статью в Декабре 2018, но очень хотелось найти оставшиеся токены для полноты картины и не давать Вам шансов к легкому прохождению. Так, как пока что (на момент 03.01.2019) - лидер выполнивший все задания только 1 и это CSV, который к тому же единственный, кто выполнил все токены включая Image 21-го декабря.
И вот 04.01.2019 г. пьедестал полностью сформирован и целая группа талантливых персонажей взяли последний и мучительный для них токен Image! перечислю ники на всякий случай: BadBlackHat, Mister_BertOni, zpointer, rOhack, ASV, cryptObOy из этого форума codeby.net взявшие последний токен в один день, так же ребята rack2009, nerf, oneGuard и конечно же монстр лабы, который прошел ее просто молниеносно, CSV! Браво всем!
С разрешения создателей,
Хочу представить Вашему вниманию прохождение всем известной и любимой нашей...
CTF ch4inrulz: 1.0.1:CTF Прохождение
Привет Codeby, сегодня мы пройдем еще одно задачу CTF под названием ch4inrulz: 1.0.1 которую мы можем загрузить с Vulnhub.com и установить (
).
В описание сказано, что данная уязвимая машина была специально разработана для Top Jackan 2018 CTF. Ключевая особенность заключается в том, что данная машина была предназначена для имитации реальных атак.
Уровень средний.
Определение IP
Первая наша задача это узнать IP адрес машины. Сделать это можно хоть с помощью arp-scan хоть с netdiscover. Я загляну на аренду DHCP адресов в настройках своего роутера.
По старинке, как всегда, мы начинаем наш анализ со сканирования портов. Для этой цели используем nmap. Команда: nmap
Также для анализа я использую программу...
В описание сказано, что данная уязвимая машина была специально разработана для Top Jackan 2018 CTF. Ключевая особенность заключается в том, что данная машина была предназначена для имитации реальных атак.
Уровень средний.
Определение IP
Первая наша задача это узнать IP адрес машины. Сделать это можно хоть с помощью arp-scan хоть с netdiscover. Я загляну на аренду DHCP адресов в настройках своего роутера.
По старинке, как всегда, мы начинаем наш анализ со сканирования портов. Для этой цели используем nmap. Команда: nmap
-sV -p- 192.168.1.248. Результат сканирования:
Также для анализа я использую программу...
CTF Lampião 1: CTF Прохождение
Всем привет! Сегодня я хочу рассказать как решать задачу CTF размещенную на vulnhub.com под названием Lampião 1.
В описание автор заявляет, что прохождение не требует как-либо дополнительных знаний об эксплуатации машины.
Уровень легкий
Скачать образ вы можете отсюда:
В данном случае я не буду использовать Kali Linux, а буду использовать PentestBox под Windows.
Для тех кто не в танке PentestBox - это набор сборка утилит для пентеста. В этой сборке собраны все необходимые инструменты для сбора и анализа приложений, для аудита, реверса, форензике и много другое.
Я же поступил...
В описание автор заявляет, что прохождение не требует как-либо дополнительных знаний об эксплуатации машины.
Уровень легкий
Скачать образ вы можете отсюда:
В данном случае я не буду использовать Kali Linux, а буду использовать PentestBox под Windows.
Для тех кто не в танке PentestBox - это набор сборка утилит для пентеста. В этой сборке собраны все необходимые инструменты для сбора и анализа приложений, для аудита, реверса, форензике и много другое.
Прохождение
После того как мы загрузили и настроили машину, наша цель - получить IP. Сделать это можно несколькими способами, для этих целей подходит:
arp-scan -l, netdiscoverЯ же поступил...
CTF CTF. Задачка для разминки мозгов (от 5h3ll) : решение
Привет!
Не приходилось до этого пользоватся disassemble и вот появился повод - тема от 5h3ll.
В процессе пришлось перечитать кучу форумов и разбора реальных примеров, но попробую изложить в кратце.
Значить так:
Фёрст - скачиваем скрипт и сразу пробуем codeby, CodeBy, cODEbY, ybedoc, yBedoC, YbEDOc, codeby.net, codebynet и так далее...
Ноу лак, ноу кукумбер.
Секонд - запускаем
и смортим, нет ли чего интересного:
Не приходилось до этого пользоватся disassemble и вот появился повод - тема от 5h3ll.
В процессе пришлось перечитать кучу форумов и разбора реальных примеров, но попробую изложить в кратце.
Значить так:
Фёрст - скачиваем скрипт и сразу пробуем codeby, CodeBy, cODEbY, ybedoc, yBedoC, YbEDOc, codeby.net, codebynet и так далее...
Ноу лак, ноу кукумбер.
Секонд - запускаем
strings CodeBy-Simple-CTFи смортим, нет ли чего интересного:
Код:
/lib64/ld-linux-x86-64.so.2
libc.so.6
puts
__stack_chk_fail
printf
strlen
__cxa_finalize
__libc_start_main
GLIBC_2.4
GLIBC_2.2.5
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
u/UH
=&
=b
Codef
[]A\A]A^A_
%s -
;*3$"
GCC: (GNU) 8.1.0
GCC: (GNU) 8.1.1 20180531
init.c
crtstuff.c
deregister_tm_clones
__do_global_dtors_aux
completed.7340
__do_global_dtors_aux_fini_array_entry
frame_dummy
__frame_dummy_init_array_entry
codebytestctf.c...CTF CTF. Hack The Dina 1.0
Всем привет! Появилась недавно идея совместного прохождения CTF с модератором @gx6060, буду выкладывать наши варианты прохождения, от простых к сложным с описанием техник. Я уже делал подобные обзоры в одиночку, но две головы интереснее.
Взяли несложную Dina 1.0.
Для начала, как обычно немного разведки:
Dina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном...
Взяли несложную Dina 1.0.
Для начала, как обычно немного разведки:
Код:
netdiscoverDina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Код:
nmap –sV –A 192.168.0.107Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Код:
nikto –h 192.168.0.107Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном...
CTF CTF. Challenge. Hack The Super Mario VM.
Приветствую! В этой статье я хочу поделиться одним из способов прохождения CTF Challenge – Super Mario VM.
Для начала, как обычно, скачиваем образ уязвимой машины по ссылке ниже:
>
В качестве атакующего хоста, я буду использовать Kali Linux 2017.1.
Запускаем образ машины с помощью VMware (к примеру) и проводим первичный осмотр, запускаем netdiscover, чтобы обнаружить хост в сети.
Затем сканируем порты с помощью nmap:
Сканер обнаружил 2 открытых порта, в первую очередь заглянем на http – 8180.
После осмотра содержимого находящегося по адресу 172.16.0.193:8180, никаких подсказок или флагов не было обнаружено. Поэтому можем попробовать Dirbuster для поиска скрытого содержимого на сервере...
Для начала, как обычно, скачиваем образ уязвимой машины по ссылке ниже:
>
В качестве атакующего хоста, я буду использовать Kali Linux 2017.1.
Запускаем образ машины с помощью VMware (к примеру) и проводим первичный осмотр, запускаем netdiscover, чтобы обнаружить хост в сети.
Затем сканируем порты с помощью nmap:
Сканер обнаружил 2 открытых порта, в первую очередь заглянем на http – 8180.
После осмотра содержимого находящегося по адресу 172.16.0.193:8180, никаких подсказок или флагов не было обнаружено. Поэтому можем попробовать Dirbuster для поиска скрытого содержимого на сервере...
CTF CTF. Взлом Mr.Robot VM.
Привет всем! В этой статье речь пойдет о CFT Challenge.
Capture the Flag (CTF сокращенно) — это хакерские соревнования. Суть игры заключается в том, что в распоряжение командам дается система с набором уязвимых приложений-сервисов. Основная задача – проанализировать систему, найти уязвимости, закрыть их у себя и как можно быстрее, используя найденные уязвимости, взломать системы соперника. В некоторых играх дополнительные очки начисляются за описание уязвимостей в бюллетенях безопасности.
Взлом такой системы и будет описан ниже. Проникновение осуществляется в рамках уязвимой системы Mr. Robot. Она основана на популярном телесериале, мистер Робот, и имеет три ключа, спрятанные в разных местах. Основная цель состоит в том, чтобы найти все три жетона скрытых в системе. Каждый последующий ключ найти сложнее предыдущего. Целевая система имеет ряд уязвимостей, которые не так уж и сложно обнаружить. Степень подготовки участника может быть на начальном – среднем уровне.
Приступим...
Capture the Flag (CTF сокращенно) — это хакерские соревнования. Суть игры заключается в том, что в распоряжение командам дается система с набором уязвимых приложений-сервисов. Основная задача – проанализировать систему, найти уязвимости, закрыть их у себя и как можно быстрее, используя найденные уязвимости, взломать системы соперника. В некоторых играх дополнительные очки начисляются за описание уязвимостей в бюллетенях безопасности.
Взлом такой системы и будет описан ниже. Проникновение осуществляется в рамках уязвимой системы Mr. Robot. Она основана на популярном телесериале, мистер Робот, и имеет три ключа, спрятанные в разных местах. Основная цель состоит в том, чтобы найти все три жетона скрытых в системе. Каждый последующий ключ найти сложнее предыдущего. Целевая система имеет ряд уязвимостей, которые не так уж и сложно обнаружить. Степень подготовки участника может быть на начальном – среднем уровне.
Приступим...
Категории блога
Наши курсы
Наши книги
