CTF и практические задания

Всем привет! Недавно начал писать прохождения различных тачек на TryHackMe на английском языке, теперь буду писать и на русском.

В этот раз я буду решать Mustacchio. У него теги: XXE, PrivEsc.
Если вам будет интересен глубокий разбор XXE - фидбекайте в комментах и сделаю его!

Введение

Доброго дня или вечера дорогие читатели, я запускаю серию статей в которых мы разберём на практике таски(задачи) в CTF соревнованиях заточенные под OSINT. Если не знаете какие-либо определения из вышеописанных, то вот они внизу:

Разве́дка по откры́тым исто́чникам (англ.Open source intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.

CTF (Capture the flag или Захват флага) — командные соревнования (изредка бывают личными) в области компьютерной (информационной) безопасности.

• Вторая часть
• Третья часть

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для...

Нажмите, чтобы раскрыть...

Всем привет! В последнее время я стал интересоваться CTF , но как я в этом полный ноль , то нужно с чего начинать ... Первое , что мне пришло в голову - это загуглить.


Первый попавшийся сайт отправляет нас куда надо. Там много информации полезно , которую я рекомендую прочесть.Сам я тоже по чуть-чуть читаю) Всё о CTF в России - Литература

Хорошо , с литературой определились.Теория это хорошо , но практика тоже нужна.Поэтому я нашел интересную машину на TryHackMe , она бесплатная и очень даже полезная.
В этой статье я собираюсь , как раз ее пройти и поделиться с вами.
Эта комната посвящена CTF , где можно проверить свои умения.Большинство заданий легкие , поэтому даже я смогу их вам объяснить доступно.

Мы видим на конце == - это означает base64.Как можно декодировать?
если на линуксе , то:
echo VEhNe2p1NTdfZDNjMGQzXzdoM19iNDUzfQ== | base64 -d
можно и онлайн Base64...

Всем привет! Смотрел разные CTF'ки на THM и наткнулся на Brooklyn Nine-Nine. А так как я смотрел этот сериал и он мне очень понравился, не смог пройти мимо и зашел посмотреть. Кстати сериал рекомендую.
Не буду долго писать предисловие, так что погнали.


После того как подключились по впн и дождались прогрузки машины, переходим по адресу и нас встречает такой вот сайт



Побродив по сайту, толком ничего не нашел, кроме упоминания про стеганографию в комментарии исходной страницы сайта. Это кстати одно из решений данной CTF. Но о нем чуть позже. Поиски dirb'ом так же ничего не дали, поэтому я не буду показывать скриншоты "ни с чем".

Как-раз в это же время я решил изучить утилиту Sparta, которая совмещает в...

Введение
Любое испытание, которое проходит человек, обычно сопровождается паникой и адреналином в крови. И этого нельзя избежать. Если спортсмены соревнуются в физической силе, то специалистам по ИБ приходится задействовать большую часть мозга. Испытания в стиле "захват флага" хорошо тренируют знания по разным аспектам. Начиная от обычной стенографии и
заканчивая реверсом PE-файлов. Сегодня же речь пойдет о первом опыте в таких соревнованиях.

HackerLab

План статьи
Худший план - это его отсутствие! Поэтому в этой статье я планирую рассказать тебе о том, что из себя представляет CTF-соревнование. Разберем как оно проходит, что нужно знать, а главное - как подготовиться к такому мероприятию. Если ты читал новостную ленту, то вероятнее всего слышал, что для такого события нужна команда. В связи с этим, я постараюсь рассказать тебе, как все правильно организовать.

[COLOR=rgb(84, 172...

Введение
Наверное каждый уважающий себя специалист по информационной безопасности знает, а может и проходил такие испытания как CTF. Это своеобразный мозговой штурм, который заставляет использовать изощренные методы взлома систем или серверов. Их основная задача оттачивать определенные навыки в поиске и эксплуатации отдельного типа уязвимостей. Площадок для тренировок огромное множество и в этой статье я решил остановиться на платформе Hack The Box. Так как мои навыки в этом деле очень малы я решил взять одну из легких машин с названием Support. И сегодня я расскажу тебе как ее пройти.

Подготовка к работе​

Перед началом тебе следует ознакомиться с тем, как вообще проходить такие CTF. Прежде всего следует начать со сканирования. Конечно, я пропускаю момент подключения к самой лаборатории при помощи openvpn, но думаю с этим ты разберешься сам. Далее идет анализ портов и поиск уязвимых из них. Не переживай, на каждую дыру есть свой эксплоит, поэтому проводить все вручную...

Узнаем как с ней взаимодействовать
Протестируем на уязвимости 3 сегмента Государства F
Найдем и проэксплуатируем уязвимость класса RCE

Не пропусти и ставь себе напоминалку! 9 августа в 19:00 по московскому времени. Ждём каждого!

Смотрите стрим в нашем Youtube канале

Добрый день коллеги!

Давно ничего не писал, обойдемся без долгих разговоров. И решим очень простую задачу, возможно она будет интересна для неопытных.
Давайте рассмотрим прохождение таски из серии WEB - SERVER на тренировочном ресурсе root-me.org
Задача “мега сложная” запасайтесь терпением и попкорном, начнем разбор



Описание навыков которые получите из решения задач
Эти задачи предназначены для обучения пользователей работе с HTML, HTTP и другими серверными механизмами. Следующая серия задач будет способствовать лучшему пониманию таких методов, как : Базовая работа нескольких механизмов аутентификации, обработка данных форм, внутренняя работа веб-приложений и т.д.

Предпосылки:
Понять HTML.
Понять протокол HTTP.
Способность манипулировать веб-браузером.



при вводе любого символа выдается ошибка о неправильном пароле


Нам требуется посмотреть код страницы, самое интересное нас ожидает именно там


При просмотре кода нет ничего интересного, кроме одного...