Форум информационной безопасности - Codeby.net
CTF Врайтап Pentestit Lab 12 - для начинающих (часть 4)
Последний и самый не простой рывок в сторону коллекционирования оставщихся 3 токенов.
Глубоко вздохнули и погнали...
API Token
Натыкаемся еще на один упущенный айпишник: 172.16.2.16
Думаем, что можно сделать.
Нашли 2 странички: auth и search в 405 ошибке...
Глубоко вздохнули и погнали...
API Token
Натыкаемся еще на один упущенный айпишник: 172.16.2.16
Bash:
Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-06 02:04 Oaio?aeuiay Acey (ceia)
Nmap scan report for 172.16.2.16
Host is up (0.20s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE
8000/tcp open http-alt
Nmap done: 1 IP address (1 host up) scanned in 197.34 secondsДумаем, что можно сделать.
Bash:
.\dirsearch.py -u http://172.16.2.16:8000 -e php,txt,bak,json,html,log,conf,cfg,ini,xls,doc,phtml -x 301,403,503,302 --random-agent
_|. _ _ _ _ _ _|_ v0.3.8
(_||| _) (/_(_|| (_| )
Extensions: php, txt, bak, json, html, log, conf, cfg, ini, xls, doc, phtml | Threads: 10 | Wordlist size: 10148
Target: http://172.16.2.16:8000
[02:51:29] Starting:
[02:53:16] 405 - 178B - /auth
[02:54:56] 405 - 178B - /search
Task CompletedНашли 2 странички: auth и search в 405 ошибке...
Bash:
curl -o- 'http://172.16.2.16:8000/auth'
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>405 Method Not...CTF Врайтап Pentestit Lab 12 - для начинающих (часть 2)
Продолжение первой статьи Врайтап Pentestit Lab 12 - для начинающих (часть 1)
REPOSITORY Token
Мы понимаем, что репозиторий это или Веб-сервис или файловая шара. Ищем...
Bypass .htpasswd не помог.
Идем дальше...
________________________________________
SIEM Token
Мы понимаем, что искать нужно веб-морду сервиса. Ищем...
нашли сервис Prewikka, это OSSEC-SIEM Prelude-SIEM/prewikka
Пробуем зайти под имеющимися info@test.lab и sviridov@test.lab
Не отканывает...
Пробуем бурпануть логины и пароль
Адски долго....
Знаете первый раз, я подумал верно, но потратил очень много времени чтобы себя самого запутать и пошел не туда... А ларчик просто открывался по аналогии с предыдущими заданиями, только небольшая ремарка - без доменного имени.
Находим нерабочие...
REPOSITORY Token
Мы понимаем, что репозиторий это или Веб-сервис или файловая шара. Ищем...
http://172.16.1.15/ но нам нужен логин и пароль - закрыто htpasswd.Bypass .htpasswd не помог.
Идем дальше...
________________________________________
SIEM Token
Мы понимаем, что искать нужно веб-морду сервиса. Ищем...
http://172.16.1.12/
Пробуем зайти под имеющимися info@test.lab и sviridov@test.lab
Не отканывает...
Пробуем бурпануть логины и пароль
Адски долго....
Знаете первый раз, я подумал верно, но потратил очень много времени чтобы себя самого запутать и пошел не туда... А ларчик просто открывался по аналогии с предыдущими заданиями, только небольшая ремарка - без доменного имени.
Находим нерабочие...
Пишем графическую оболочку на Python - часть 3
Часть 1 Часть 2
Всем привет!
В предыдущих частях мы познакомились с двумя методами позиционирования элементов - pack() и place(). Для выполнения простых задач они вполне подходят. А если у нас планируется программа, где будет сложный интерфейс, или просто большое количество элементов, то самым лучшим методом будет несомненно grid(). На первый взгляд метод немного посложнее, но разобравшись в сути, он не станет выглядеть сложным.
Метод grid() как ясно из названия, представляет собой сетку. Выглядит схематично это следующим образом:
То есть окно программы делится на столбцы и строки, а нумерация начинается с нуля. И прежде чем начать программировать, лучше всего начертить будущую программу на обычном листочке в клеточку. Это даст полное представление в какие ячейки что помещать. Столбцы и строки можно объединять с помощью columnspan и rowspan.
Например накидаем простейший калькулятор, и расчерченный рисунок поможет...
Всем привет!
В предыдущих частях мы познакомились с двумя методами позиционирования элементов - pack() и place(). Для выполнения простых задач они вполне подходят. А если у нас планируется программа, где будет сложный интерфейс, или просто большое количество элементов, то самым лучшим методом будет несомненно grid(). На первый взгляд метод немного посложнее, но разобравшись в сути, он не станет выглядеть сложным.
Метод grid() как ясно из названия, представляет собой сетку. Выглядит схематично это следующим образом:
То есть окно программы делится на столбцы и строки, а нумерация начинается с нуля. И прежде чем начать программировать, лучше всего начертить будущую программу на обычном листочке в клеточку. Это даст полное представление в какие ячейки что помещать. Столбцы и строки можно объединять с помощью columnspan и rowspan.
Например накидаем простейший калькулятор, и расчерченный рисунок поможет...
CTF Врайтап Pentestit Lab 12 - для начинающих (часть 1)
Привет друзья, всех с Новым 2019 годом!
Хотел выложить статью в Декабре 2018, но очень хотелось найти оставшиеся токены для полноты картины и не давать Вам шансов к легкому прохождению. Так, как пока что (на момент 03.01.2019) - лидер выполнивший все задания только 1 и это CSV, который к тому же единственный, кто выполнил все токены включая Image 21-го декабря.
И вот 04.01.2019 г. пьедестал полностью сформирован и целая группа талантливых персонажей взяли последний и мучительный для них токен Image! перечислю ники на всякий случай: BadBlackHat, Mister_BertOni, zpointer, rOhack, ASV, cryptObOy из этого форума codeby.net взявшие последний токен в один день, так же ребята rack2009, nerf, oneGuard и конечно же монстр лабы, который прошел ее просто молниеносно, CSV! Браво всем!
С разрешения создателей,
Хочу представить Вашему вниманию прохождение всем известной и любимой нашей команде лабораторки от Pentestit под номером 12 вышедшей 14 Декабря 2018 г. Предыдущую...
Хотел выложить статью в Декабре 2018, но очень хотелось найти оставшиеся токены для полноты картины и не давать Вам шансов к легкому прохождению. Так, как пока что (на момент 03.01.2019) - лидер выполнивший все задания только 1 и это CSV, который к тому же единственный, кто выполнил все токены включая Image 21-го декабря.
И вот 04.01.2019 г. пьедестал полностью сформирован и целая группа талантливых персонажей взяли последний и мучительный для них токен Image! перечислю ники на всякий случай: BadBlackHat, Mister_BertOni, zpointer, rOhack, ASV, cryptObOy из этого форума codeby.net взявшие последний токен в один день, так же ребята rack2009, nerf, oneGuard и конечно же монстр лабы, который прошел ее просто молниеносно, CSV! Браво всем!
С разрешения создателей,
Хочу представить Вашему вниманию прохождение всем известной и любимой нашей команде лабораторки от Pentestit под номером 12 вышедшей 14 Декабря 2018 г. Предыдущую...
Встречи, форумы и вебинары по Domino
Find Your City: Domino V11 Jams - Collaboration Solutions Blog
Интересно - кто из наших будет\планирует принять участие в ?
Moscow, Russia
Date coming
Local contact: Uffe Sorensen
(uffe@dk.ibm.com)
Интересно - кто из наших будет\планирует принять участие в ?
Moscow, Russia
Date coming
Local contact: Uffe Sorensen
(uffe@dk.ibm.com)
Статья Что хранят в себе скрытые файлы и папки на веб-сервере? Часть II
Предыдущая часть
Так же много информации в себе хранят файлы проектов IDE:
IDE (интегрированные среды разработки) используется многими программистами, для хранения настройки проектов, куча дополнительной информации в их собственных файлах. Если такая папка лежит на веб-сервере — это уже другой источник информации о этом веб-сервере.
Например, возьмем приложения JetBrains IDEs : IntelliJ IDEA, WebStorm, PHPStorm, RubyMine
Каждый проект, в каждой продукции JetBrains, создает собственные скрытые директории - .idea/.
Эти директории содержат всю информацию о нынешних проектах, их файлов, другие директории и IDE настройки.
Один из этих файлов, является очень важным с точки зрения безопасности — workspace.xml.
Этот файл содержит много ценной информации, которая позволяет перечислить все файлы и папки приложения, информацию о системе контроля версии и многое другое.
Давайте рассмотрим, что именно хранит этот файл:
Так же много информации в себе хранят файлы проектов IDE:
IDE (интегрированные среды разработки) используется многими программистами, для хранения настройки проектов, куча дополнительной информации в их собственных файлах. Если такая папка лежит на веб-сервере — это уже другой источник информации о этом веб-сервере.
Например, возьмем приложения JetBrains IDEs : IntelliJ IDEA, WebStorm, PHPStorm, RubyMine
Каждый проект, в каждой продукции JetBrains, создает собственные скрытые директории - .idea/.
Эти директории содержат всю информацию о нынешних проектах, их файлов, другие директории и IDE настройки.
Один из этих файлов, является очень важным с точки зрения безопасности — workspace.xml.
Этот файл содержит много ценной информации, которая позволяет перечислить все файлы и папки приложения, информацию о системе контроля версии и многое другое.
Давайте рассмотрим, что именно хранит этот файл:
XML:
<?xml version="1.0"...Статья Что хранят в себе скрытые файлы и папки на веб-сервере? Часть I
Доброго времени суток! Сегодня я хочу рассказать, что содержат в себе скрытые папки и файлы на веб-сервере.
Скрытые файлы и директории, которые оставляют на веб сервере, могут иметь важную, конфиденциальную информацию. Веб-сервер может содержать много скрытой информации:
Эти данные можно поделить на 3 группы:
Давайте взглянем на все это более детально, что бы узнать какую информацию можно от них ожидать
Исходный код системы контроля версий
Git
Git «является распределенной системой для управления версиями разрабатываемых файлов»
Недавно созданный Git-репозиторий содержит несколько папок и файлов по умолчанию, в...
Скрытые файлы и директории, которые оставляют на веб сервере, могут иметь важную, конфиденциальную информацию. Веб-сервер может содержать много скрытой информации:
- исходные коды версии системных папок и файлов (.git, .gitignore, .svn)
- файлы конфигурации (.npmrc, package.json, .htaccess)
- пользовательские файлы конфигурации (.json, .yml, .xml)
- и многое другое
Эти данные можно поделить на 3 группы:
- Файлы конфигурации для IDE (Интегрированная среда разработки)
- Исходный код системы контроля версий
- Проекты и/или файлы конфигурации и настройки для конкретной технологии
Давайте взглянем на все это более детально, что бы узнать какую информацию можно от них ожидать
Исходный код системы контроля версий
Git
Git «является распределенной системой для управления версиями разрабатываемых файлов»
Недавно созданный Git-репозиторий содержит несколько папок и файлов по умолчанию, в...