• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

CTF WPICTF 2018

Dr.Lafa

Mod. Hardware
Gold Team
30.12.2016
440
833
#1
Вот и первый CTF, который пройдёт с пятницы по воскресение этой недели ( 13.04.2018 19:00 - 15.04.2018 19:00 по UTC).
Ещё раз о правилах для тех, кто не читал: Newbie Codeby CTF team - продолжение

Для просмотра контента необходимо: Войти или зарегистрироваться

Данные для входа в аккаунт в нашем чате для CTF

После окончания турнира в этой же теме описываем решение тех тасков, которые у вас получились. Получится некий командный writeup.
 
Последнее редактирование:

r0hack

DAG
Gold Team
29.09.2017
441
739
#2
Web150

В таске данна просто ссыль, при переходе нас сразу перекидывало на ролик Рика.
Но давайте, перехватим реквест бурпом и взглянем на содержимое.

1523815401621.png

Собственно видим в куках flag и BASE64, но если его расскодировать, то получаем вские крякобразы. Но также есть второй кук, Julius C. Тут на ум сразу приходит шифр цезаря, прогоняем наш base64 и в rot17, оказывается нужный нам вариант. Декодировав получаем флаг.

1523815596266.png


Крипто200

Не думаю, что таск решался таким образом, а может и так, но мало вероятно. Но флаг оказался, тупо в JSON файле и даже не в 1 месте, а сразу в 5 местах. Наш json файл можно было обнаружить в Network.

1523815757798.png
1523815733740.png


Pwn250

Понял как делается, благодаря thx @PingVinich. Оказывается в люнух есть такая чудесная команда, как export.
В целом команда export отмечает переменную окружения для экспорта с любым новым дочерним процессом, и это позволяет дочернему процессу наследовать все отмеченные переменные.
И вот, в нашем случае мы могли сохранить flag.txt в переменной, но этого тут не хватало, так как не работал cat, и другие команды для открытия файлов. И тут проблема решается путем присвоения переменной PATH пути, где находится cat, но мы не можем в команде указывать слэши, так как, это фильтруется, поэтому, мы присваиваем сначала путь одной переменной, а эту переменную уже присваиваем PATH. Ниже на скрине все видно:

1523816434055.png
 
Последнее редактирование:

sinner67

Red Team
24.03.2017
239
270
#3
Kittens50

Этот таск связан с другим, "Discord10" т.к. флаг спрятан там же.
Логинимся в Discord. Переходим в нужный канал, подтверждаем что нам есть 18 лет)) иииии..... видим почему этот канал имеет возрастное ограничение
Потому что дальше нам надо УБИВАТЬ КОТЯТ!!!
Если мы введем: "flag" то бот ответит нам что мы убили 1 котенка, всего котят убито: цифра.
2.png
3.png
Далее становимся мясниками и пополняем кладбище котят вот такими сообщениями:

5.png
и когда, по мнению бота мы наубивали достаточно:

6.png
он выдаст:

7.png
8.png
вот и все :)
 
05.02.2017
183
241
#4
Давайте подведем итог небольшой, в первой вылазке мы заняли 51 место из 605 команд, что я считаю очень дойстойный результат. Но если учесть то что основная команда помогала, то все еще только впереди. Поздравляю новых ребят с первым соревнованием!!!
 

Bidjo111

Премиум
14.11.2017
170
58
#7
Выкладывайте еще райтапы, плз.
Когда следующий планируется?
 

qvin

Red Team
05.12.2016
194
266
#9
Давайте подведем итог небольшой, в первой вылазке мы заняли 51 место из 605 команд, что я считаю очень дойстойный результат. Но если учесть то что основная команда помогала, то все еще только впереди. Поздравляю новых ребят с первым соревнованием!!!
Мои поздравления ребята, красавчики
 

pr0phet

Red Team
02.04.2018
190
270
#11
Вот и первый CTF, который пройдёт с пятницы по воскресение этой недели ( 13.04.2018 19:00 - 15.04.2018 19:00 по UTC).
Ещё раз о правилах для тех, кто не читал: Newbie Codeby CTF team - продолжение

Для просмотра контента необходимо: Войти или зарегистрироваться

Данные для входа в аккаунт в нашем чате для CTF

После окончания турнира в этой же теме описываем решение тех тасков, которые у вас получились. Получится некий командный writeup.

В связи с проблемами у Паши Дурова не планируется перенос группы для разбора заданий из телеги?
 
Вверх Снизу