Форум информационной безопасности - Codeby.net
Бесплатный курс «Анализ защищенности веб-приложений» - WASA
Самые актуальные материалы по пентесту веб-приложений.
Описание курса - для тех, кто любит узнать на что подписывается
Записаться на курс - если все и так понятно без объяснений
- Цена - Бесплатно
- Длительность - 5 дней
- Доступ к курсу - 365 дней
- Никита Боровиков
- Магомед Межидов
- Установка VMWare
- Импорт виртуальной машины
- Настройка окуржения
- Введение в веб-уязвимости: misconfiguration и IDOR
- Обзор уязвимости CMD Injection
- Разбор уязвимого кода в файле с CMD Injection
- Эксплуатация CMD Injection и получение удалённого доступа
- Обзор уязвимости PHP Code...
CTF ☀️KubanCTF продлевает лето!
Открыта регистрация на KubanCTF, который пройдет в рамках международной конференции по информационной безопасности KubanCSC, на территории курорта «Газпром Поляна»! Общий призовой фонд составит 1.3 миллиона рублей. Отборочный этап пройдет онлайн по правилам jeopardy. В финале вам предстоит показать свои навыки в defense.
В финал смогут отобраться 7 команд, показавших лучший результат в отборочном онлайн турнире, три команды пройдут с offline битвы в формате jeopardy. В offline будут участвовать студенческие команды с 1 - 5 курс по приглашению ВУЗа. Для отобравшихся команд дополнительно будет оплачено проживание и питание на территории курорта. Приезжайте, будет жарко!
Отборочный этап пройдет 23 сентября. Финал 12 октября в Сочи!
Форма регистрации: Яндекс
Вопросы можно задать: в тг - https://t.me/kubctf
Ссылка на чат – https://t.me/KubanCSC
Статья PNPT или OSCP: Какую Сертификацию Выбрать для Карьеры в Кибербезопасности?
Введение
Всем привет. Весной этого года я успешно сдал экзамен и получил сертификацию PNPT.
Изначально ваучер на сдачу данного сертификата я купил в начале лета 2021 года и предполагал, что буду первым, кто его сдаст из СНГ, но, в итоге, данный сертификат я сдал только в марте 2023 года, а пара человек из СНГ его уже сдала. Однако никаких отзывов о данной сертификации я не видел, так что буду хоть первым человеком, кто сделал обзор на данную сертификацию.
Данная сертификация противопоставляется сертификации OSCP, а также очень часто фигурирует в сети как отличная стартовая сертификация для новичков в сфере информационной безопасности.
Так ли это? Давайте разбираться.
Анонс За кулисами Bug Bounty
Мы пригласили ведущих экспертов в области Bug Bounty, а также руководителей платформ, чтобы обсудить будущее этой сферы. Узнаем, как начать заниматься багхантингом и послушаем интересные истории о поиске уязвимостей.
У нас в гостях:- r0hack – Багхантер, руководитель внешних пентестов DeteAct и автор канала BountyOnCoffee;
- Andrew_Levkin – Product Owner BI.ZONE Bug Bounty;
- c0rv4x – Руководитель направления Bug Bounty Standoff 365;
- impact_l - Зависимый исследователь Bug Bounty, автор канала Пост Импакта (участник Google Play Security Reward Program)
- bughunter_circuit – Независимый багхантер, более известный как circuit, автор канала "Багхантер"
- И, конечно же, ваш незаменимый ведущий – puni1337
Мы ждем вас 31 августа в 19:00 по московскому времени!
Смотрите стрим в нашем Youtube каналеCTF 🥇 Выиграй призы на OFFZONE 2023!
На конференции OFFZONE 2023 ждем вас в зоне медиапартнеров, где вы можете выиграть призы, решив простые CTF - задачки!
Writeup Codeby Games - Абсолютная безопасность [Writeup]
Всем привет!
Сегодня рассмотрим задание "Абсолютная безопасность" из раздела криптографии на Codeby Games.Итак, приступим!
Ищем вектор
Нам дается IP'шник, и три подсказки:- Возможно проверка на утечку флага является "узким местом"?
- Вы не любите кошек? Да вы просто не умеете их готовить!
- Я думаю стоит накапливать зашифрованные флаги.
Откроем IP. Видим, что он обнаружил контент, который не может обработать браузер.
Поэтому смотрим на вторую подсказку и запускаем netcat (для винды - ncat) и подключаемся:
ncat 62.173.140.174 11000Для взаимодействия у нас есть две команды: "request" и "exit". Если с "exit" все ясно, то с "request" нет. Для этого смотрим вверх и видим кусок кода, который используется при отправке request'а.
Python:
async def...Writeup Codeby Games - randом?? [Writeup]
Всем привет!
Решил поделиться с вами подробным описанием решения довольно интересной задачи "random??" из раздела "Реверс-инжиниринг" на платформе Codeby Games.Исходные данные:
- exe-файл encrypter.exe
- зашифрованный текст flag.crypt
Исходя из логики, нам необходимо разобрать, как же работает программа-шифратор, и эти знания применить для расшифровки шифротекста, в котором скорее всего и спрятан флаг (не просто так же нам его дали). Что ж, приступим.
Распаковка
Для анализа бинарных файлов я (как и многие) предпочитаю IDA Pro. Открываем наш бинарьencrypter.exe и видим какую-то хренотень, а не код программы:
Попробуем запустить наш бинарь - получаем ошибку. Мда, действительно хренотень…
Штош, попробуем посмотреть на данный бинарь в HEX-редакторе. Можно выбрать и скачать любой редактор, но зачем, если есть...
Статья Все те, кто не прочь поразмять немного кости - киберпанк приглашает в гости. PWN Freefloat FTP Server 1.0
Ку, киберрекруты. Сегодня в планах полный цикл PWN'а (или пывна) бинарного файла для Windows: начнём с фаззинга, далее перейдём к реверсу и, конечно, в конце получим шелл. PWN - эксплуатация уязвимостей, что были допущены во время разработки исполняемых файлов. Бинарь называется Freefloat FTP Server 1.0, которую нашел на exploit-db
Статья Подключение Whonix к Tor
Доброго времени суток! Данная статья написана для новичков, которые делают первые шаги в данной области, поэтому если вы уже понимаете хоть какие-то основы в области ИБ - пропустите эту статью.
Уже не на первом форуме по ИБ встречаю множество тем и обсуждений по поводу того, что пользователи не могут подключить Whonix к Tor, поэтому в этой теме я расскажу и объясню на пальцах как же это сделать. Приступим.
Первыми шагами, конечно же, будет являться сама установка Whonix. О методах её установки мы говорить не будем, ибо в сети уже существует огромное количество информации. Для работы Whonix я использую утилиту под названием Oracle VM VirtualBox.
Уже не на первом форуме по ИБ встречаю множество тем и обсуждений по поводу того, что пользователи не могут подключить Whonix к Tor, поэтому в этой теме я расскажу и объясню на пальцах как же это сделать. Приступим.
Первыми шагами, конечно же, будет являться сама установка Whonix. О методах её установки мы говорить не будем, ибо в сети уже существует огромное количество информации. Для работы Whonix я использую утилиту под названием Oracle VM VirtualBox.