• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

CTF - делимся решениями, обсуждаем

r0hack

r0hack

DAG
Gold Team
29.09.2017
482
901
Не много тем про CTF, а ведь многие именно благодаря этим соревнованиям, начинают интересоваться ИБ и хакингом.
Поэтому предлагаю, делится решениями нестандартных тасков, да и в общем продвигаться в этой области на форуме.
В перспективе собрать команду
Codeby, можно даже несколько, уверен команды будут сильными, неплохая возможность колесить по миру и собирать трофеи.
Также в перспективе организовать свои CTF игры. Может кому-то покажется, что за детский сад, но было бы не плохо!

Что вы думаете по этому поводу? Может есть что добавить или обхаять?
Ну учитывая, что желающих быть в тусовке CTF, достаточно... То, предлагаю начать со сбора команды.
Для тех, кто имеет хорошие навыки в ИБ, но считает CTF всего лишь тратой времени, приведу пару примеров, которые помогут это опровергнуть:
  • Соревновательный момент
  • Новые, интересные знакомства
  • Путешествие по всему миру
  • Достаточно высокие призы (Например, недавно проходил CTFZone, Российский и главный приз был 10к USD и много других плюшек, также не маленькие призы даже в онлайн, например 16го состоится , где за первое место 10к USD)
  • Постоянное внимание от крутых компаний в области ИБ (но это не всех может заинтересовать)
  • Прокачивание скилла в ИБ
  • О нашем любимом Codeby узнают везде ))
  • И наконец участие в DEFCON'е в Лас-Вегасе
Можно найти и еще плюсы, но это краткий список.

Итак, тех, кто хочет быть в команде, а она у нас будет из 7 человек. В перспективе будем рассматривать и 2ю и 3ю, если желающих будет много.

Немного о вашем опыте в CTF и желании участия:
  • Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
  • Какие категории тасков больше всего любите решать.
  • Что лучше всего делаете в области ИБ.
Может не все нужные моменты выделил, если что подправьте. Всем Удачи!

Участники команды ( ), на данный момент:
@r0hack
@asdffs
 
Последнее редактирование модератором:
B

Bidjo111

Red Team
14.11.2017
198
73
  • Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
    Какие категории тасков больше всего любите решать.
    Что лучше всего делаете в области ИБ.
Желания много, умения - мало...

С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.
 
  • Нравится
Реакции: r0hack и id2746
al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 294
Желания много, умения - мало...
С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.
В скором времени будет открыта школа codeby)
Я уже упоминал на форуме, что обучится вы можете и по online курсам.
1. Stepic
2. Udemy
3. Cybrary
И еще куча.
 
Последнее редактирование модератором:
  • Нравится
Реакции: sinner67
B

Bidjo111

Red Team
14.11.2017
198
73
Последнее редактирование модератором:
r0hack

r0hack

DAG
Gold Team
29.09.2017
482
901
Желания много, умения - мало...

С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.
Играя с командой можно расти в разы быстрее.
Цель сбора команды Codeby, не только собрать и гонять на CTF`ах, а также делать свои райтапы и гайды по решению тех или иных видов задач.

всем хай. ещё набираете народ в команду? я работаю старшим инжинером по безопасности уже несколько лет. в СТФ играю 4 года подряд. больше всего люблю пвн и реверс, но так же силён в вебе. по работе приходилось работать с разными языками и софтом.
у меня есть команда, но так себе) когда соревнуешься хочется всётаки чтобы команда тоже тянула
Привет, да , конечно еще собираем. Походу дела в первом сообщении буду выкладывать, тех, кто уже в команде.
[doublepost=1512487463,1512487316][/doublepost]Думаю стоит написать и о себе в стф. Играю уже 2ой год, если идет игра все остальные дела на автомате приходится откладывать)). Больше всего гоняю с вебом, но также с форезикой и всякими реконами и мисками в случае необходимости.
Если соберется хотя бы человек 4, то планируем уже участвовать на CTF 16го декабря
 
A

asdffs

всем хай. ещё набираете народ в команду? я работаю старшим инжинером по безопасности уже несколько лет. в СТФ играю 4 года подряд. больше всего люблю пвн и реверс, но так же силён в вебе. по работе приходилось работать с разными языками и софтом.

у меня есть команда, но так себе) когда соревнуешься хочется всётаки чтобы команда тоже тянула

Привет, да , конечно еще собираем. Походу дела в первом сообщении буду выкладывать, тех, кто уже в команде.
здорово. беру ориентир вайтхет стф 16ого играть с codeby \o_O/

смотря как апликуха выдаёт файл, можно попробовать залезть через /proc/self/environ предварительно изменив user-agent на инжект веб шела :) аналогичный способ будет через логи (веб, ссх, и тд)
 
  • Нравится
Реакции: r0hack
I

iamsia

Member
15.11.2017
8
0
Столкнулся с этим заданием на местном ctf, но, к сожалению, не смог его до конца раскрутить..

На web сервере имеется сайт. На сайте есть форма для ввода пароля и загрузки файла. Файл загружается на сервер, только в случае правильного ввода пароля.. изначально пытался перебрать пароли по имеющимся в Kali словарям, но, увы, безуспешно..

затем обнаружил через burpsuite, что в поле cookie содержится переменная вида =/../../etc/passwd. Вбив значение данной переменной в url браузера, был получен доступ к имеющимся пользователям.. однако обращение к /etc/shadow тем же образом не прокатило.

Кроме того, обнаружил, что эта же переменная уязвима к xss, при определенных махинациях, для обхода фильтрации.. однако как использовать эту уязвимость для дальнейшего проникновения я не придумал..

возможно кто-то подскажет возможные варианты развития события или кто-то уже сталкивался с аналогичными заданиями.. буду признателен)))
 
r0hack

r0hack

DAG
Gold Team
29.09.2017
482
901
Я так понял, участие в этом конкретном ctf полностью открытое. Может есть кто из новичков, кто бы хотел себя попробовать? Организовали бы еще одну команду...
Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?
 
I

iamsia

Member
15.11.2017
8
0
смотря как апликуха выдаёт файл, можно попробовать залезть через /proc/self/environ предварительно изменив user-agent на инжект веб шела :) аналогичный способ будет через логи (веб, ссх, и тд)
Как вариант) возможно это сработало бы..

И сам таск уже не активен ?
Нет
 
B

Bidjo111

Red Team
14.11.2017
198
73
Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?
Как бы это поделикатнее...
Пока не могу сказать, что в какой-то лучше. Знаю, что в крипте и реверсе пока полный ноль...

Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.
Разумно. Но оставьте ветку для новичков.
 
r0hack

r0hack

DAG
Gold Team
29.09.2017
482
901
Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.
Да, тоже так подумал. Но бывалые ИБшники пока молчат )
[doublepost=1512581140,1512581009][/doublepost]
Разумно. Но оставьте ветку для новичков.
Как я уже и говорил, как минимум будет еще 2ая команда. Но пока что упор будем делать на основную команду. А вы можете, пока усиленно прокачивать скилл и категория нужна, в котором лучше всего получается.
СТФ команда уже формируется. И формироваться будет только из мемберов закрытых разделов. Для принятия в команду нужно иметь статус не ниже серого. Тему можно считать закрытой.
Ничего себе, а админы были другого мнения на этот счет
 
Последнее редактирование модератором:
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
СТФ команда уже формируется. И формироваться будет только из мемберов закрытых разделов. Для принятия в команду нужно иметь статус не ниже серого. Тему можно считать закрытой.
Ничего себе, а админы были другого мнения на этот счет
Пока админы думали, ребята уже скоорденировались и вместе уже была первая вылозка.
 
O

oappot

Тем самым мы на пару порядков ограничим круг возможных участников.
Так непонятно, будет открытая регистрация в команду по цтф или для >геев?
Просто, в чем проблема иметь академическую команду по CTF и основную для "ИЛИТЫ"?
И пингвинычи довольны и сульфы не ругаются и не грубят, и новички довольные, тыкаются :)

А вообще, ПОДНИМЕМ ЩИТЫ ЗА ОРДУ! SMOrc SMOrc
Мы не будем рабами, но мы - будем ЗАВОЕВАТЕЛЯМИ!

*имею право, раздел свободного общения*
 
Последнее редактирование модератором:
r0hack

r0hack

DAG
Gold Team
29.09.2017
482
901
Будем играть тогда 16го в 5 утра в . Отпишитесь, если еще есть желающие, сделаем чат в телеге, и там я вам скину уже инфу...

тык непонятно, будет команда codeby выступать или нет? Болеть или не болеть?)
Я сам до конца всего не понял ))
 
Yoshimitsu

Yoshimitsu

New member
11.11.2017
2
0
>Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
Слышал, интересуюсь задачками около 8 месяцев, участия не принимал.

>Какие категории тасков больше всего любите решать.
Крипто\стеганография, веб.
 
A

aknisi

Доброго времени суток!

Собственно сама идея создания CTF не нова. Но я в ней новичок и начинать с чего-то нужно.
В нашем городе никогда не было таких соревнований и хотелось бы принести пользу IT & IS community.
В общем ТЗ:
- Есть ноутбук и выделенный IP (Денег на аренду сервера нет)
- Готовая платформа для соревнований "CTFd" (Можете свой вариант предложить, чтобы была готовая система. От фейсбука не предлагать, еще сильно допиливать нужно)
- Голый энтузиазм и стремление привлечь в нашу движуху молодежь города.

Нужны ваши дельные советы, как это все лучше провернуть.
Может есть хороший гайд по обеспечению безопасности своего web сервера.
 
DOOmsdAi

DOOmsdAi

Active member
24.12.2017
36
38
Зачем настраивать ctf платформу для обучения с нуля если есть сотни готовых ctf задач в открытом доступе?
-
-
-
-
 
  • Нравится
Реакции: FrozenMike
A

aknisi

Зачем настраивать ctf платформу для обучения с нуля если есть сотни готовых ctf задач в открытом доступе?
-
-
-
-
Тогда у меня встречный вопрос. Зачем проводят городские/областные/любые другие местные соревнования, если есть сотни готовых?

Ответ на этот вопрос можно подобрать любой.
Во-первых, привлечь местных людей к этому.
Во-вторых, собрать городскую команду.

ИМХО
 
  • Нравится
Реакции: The Codeby
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб