CTF - делимся решениями, обсуждаем

r0hack · 28.11.2017

Не много тем про CTF, а ведь многие именно благодаря этим соревнованиям, начинают интересоваться ИБ и хакингом.

Поэтому предлагаю, делится решениями нестандартных тасков, да и в общем продвигаться в этой области на форуме.
В перспективе собрать команду Codeby, можно даже несколько, уверен команды будут сильными, неплохая возможность колесить по миру и собирать трофеи.

Также в перспективе организовать свои CTF игры. Может кому-то покажется, что за детский сад, но было бы не плохо!

Что вы думаете по этому поводу? Может есть что добавить или обхаять?
Ну учитывая, что желающих быть в тусовке CTF, достаточно... То, предлагаю начать со сбора команды.
Для тех, кто имеет хорошие навыки в ИБ, но считает CTF всего лишь тратой времени, приведу пару примеров, которые помогут это опровергнуть:

Соревновательный момент
Новые, интересные знакомства
Путешествие по всему миру
Достаточно высокие призы (Например, недавно проходил CTFZone, Российский и главный приз был 10к USD и много других плюшек, также не маленькие призы даже в онлайн, например 16го состоится WhiteHat Grand Prix 2017 , где за первое место 10к USD)
Постоянное внимание от крутых компаний в области ИБ (но это не всех может заинтересовать)
Прокачивание скилла в ИБ
О нашем любимом Codeby узнают везде ))
И наконец участие в DEFCON'е в Лас-Вегасе

Можно найти и еще плюсы, но это краткий список.

Итак, тех, кто хочет быть в команде, а она у нас будет из 7 человек. В перспективе будем рассматривать и 2ю и 3ю, если желающих будет много.

Немного о вашем опыте в CTF и желании участия:

Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
Какие категории тасков больше всего любите решать.
Что лучше всего делаете в области ИБ.

Может не все нужные моменты выделил, если что подправьте. Всем Удачи!

Участники команды ( CTFtime.org / rororor ), на данный момент:

@r0hack
@asdffs

Urfin--Juice · 05.12.2017

r0hack сказал(а):
Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
Какие категории тасков больше всего любите решать.
Что лучше всего делаете в области ИБ.

Желания много, умения - мало...

С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.

vag4b0nd · 05.12.2017

Bidjo111 сказал(а):
Желания много, умения - мало...
С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.

В скором времени будет открыта школа codeby)
Я уже упоминал на форуме, что обучится вы можете и по online курсам.
1. Stepic
2. Udemy
3. Cybrary
И еще куча.

Urfin--Juice · 05.12.2017

AL04E сказал(а):
В скором времени будет открыта школа codeby)
Я уже упоминал на форуме, что обучится вы можете и по online курсам.

Насчет курсов - в процессе.
Ждем школу!

r0hack · 05.12.2017

Bidjo111 сказал(а):
Желания много, умения - мало...

С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.

Играя с командой можно расти в разы быстрее.
Цель сбора команды Codeby, не только собрать и гонять на CTF`ах, а также делать свои райтапы и гайды по решению тех или иных видов задач.

asdffs сказал(а):
всем хай. ещё набираете народ в команду? я работаю старшим инжинером по безопасности уже несколько лет. в СТФ играю 4 года подряд. больше всего люблю пвн и реверс, но так же силён в вебе. по работе приходилось работать с разными языками и софтом.
у меня есть команда, но так себе) когда соревнуешься хочется всётаки чтобы команда тоже тянула

Привет, да , конечно еще собираем. Походу дела в первом сообщении буду выкладывать, тех, кто уже в команде.
[doublepost=1512487463,1512487316][/doublepost]Думаю стоит написать и о себе в стф. Играю уже 2ой год, если идет игра все остальные дела на автомате приходится откладывать)). Больше всего гоняю с вебом, но также с форезикой и всякими реконами и мисками в случае необходимости.
Если соберется хотя бы человек 4, то планируем уже участвовать на CTF 16го декабря

Ссылка скрыта от гостей

asdffs · 05.12.2017

всем хай. ещё набираете народ в команду? я работаю старшим инжинером по безопасности уже несколько лет. в СТФ играю 4 года подряд. больше всего люблю пвн и реверс, но так же силён в вебе. по работе приходилось работать с разными языками и софтом.

у меня есть команда, но так себе) когда соревнуешься хочется всётаки чтобы команда тоже тянула

r0hack сказал(а):
Привет, да , конечно еще собираем. Походу дела в первом сообщении буду выкладывать, тех, кто уже в команде.

здорово. беру ориентир вайтхет стф 16ого играть с codeby \

/

смотря как апликуха выдаёт файл, можно попробовать залезть через /proc/self/environ предварительно изменив user-agent на инжект веб шела

аналогичный способ будет через логи (веб, ссх, и тд)

iamsia · 05.12.2017

Столкнулся с этим заданием на местном ctf, но, к сожалению, не смог его до конца раскрутить..

На web сервере имеется сайт. На сайте есть форма для ввода пароля и загрузки файла. Файл загружается на сервер, только в случае правильного ввода пароля.. изначально пытался перебрать пароли по имеющимся в Kali словарям, но, увы, безуспешно..

затем обнаружил через burpsuite, что в поле cookie содержится переменная вида =/../../etc/passwd. Вбив значение данной переменной в url браузера, был получен доступ к имеющимся пользователям.. однако обращение к /etc/shadow тем же образом не прокатило.

Кроме того, обнаружил, что эта же переменная уязвима к xss, при определенных махинациях, для обхода фильтрации.. однако как использовать эту уязвимость для дальнейшего проникновения я не придумал..

возможно кто-то подскажет возможные варианты развития события или кто-то уже сталкивался с аналогичными заданиями.. буду признателен)))

r0hack · 06.12.2017

Bidjo111 сказал(а):
Я так понял, участие в этом конкретном ctf полностью открытое. Может есть кто из новичков, кто бы хотел себя попробовать? Организовали бы еще одну команду...

Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?

iamsia · 06.12.2017

asdffs сказал(а):
смотря как апликуха выдаёт файл, можно попробовать залезть через /proc/self/environ предварительно изменив user-agent на инжект веб шела аналогичный способ будет через логи (веб, ссх, и тд)

Как вариант) возможно это сработало бы..

r0hack сказал(а):
И сам таск уже не активен ?

Нет

Urfin--Juice · 06.12.2017

r0hack сказал(а):
Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?

Как бы это поделикатнее...
Пока не могу сказать, что в какой-то лучше. Знаю, что в крипте и реверсе пока полный ноль...

PingVinich сказал(а):
Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.

Разумно. Но оставьте ветку для новичков.

PingVinich · 06.12.2017

Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.

r0hack · 06.12.2017

PingVinich сказал(а):
Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.

Да, тоже так подумал. Но бывалые ИБшники пока молчат )
[doublepost=1512581140,1512581009][/doublepost]

Bidjo111 сказал(а):
Разумно. Но оставьте ветку для новичков.

Как я уже и говорил, как минимум будет еще 2ая команда. Но пока что упор будем делать на основную команду. А вы можете, пока усиленно прокачивать скилл и категория нужна, в котором лучше всего получается.

SooLFaa сказал(а):
СТФ команда уже формируется. И формироваться будет только из мемберов закрытых разделов. Для принятия в команду нужно иметь статус не ниже серого. Тему можно считать закрытой.

Ничего себе, а админы были другого мнения на этот счет

SooLFaa · 06.12.2017

СТФ команда уже формируется. И формироваться будет только из мемберов закрытых разделов. Для принятия в команду нужно иметь статус не ниже серого. Тему можно считать закрытой.

r0hack сказал(а):
Ничего себе, а админы были другого мнения на этот счет

Пока админы думали, ребята уже скоорденировались и вместе уже была первая вылозка.

oappot · 06.12.2017

WebWare Team сказал(а):
Тем самым мы на пару порядков ограничим круг возможных участников.

Так непонятно, будет открытая регистрация в команду по цтф или для >геев?
Просто, в чем проблема иметь академическую команду по CTF и основную для "ИЛИТЫ"?
И пингвинычи довольны и сульфы не ругаются и не грубят, и новички довольные, тыкаются

А вообще, ПОДНИМЕМ ЩИТЫ ЗА ОРДУ! SMOrc SMOrc
Мы не будем рабами, но мы - будем ЗАВОЕВАТЕЛЯМИ!

*имею право, раздел свободного общения*

r0hack · 14.12.2017

Будем играть тогда 16го в 5 утра в

Ссылка скрыта от гостей

. Отпишитесь, если еще есть желающие, сделаем чат в телеге, и там я вам скину уже инфу...

sinner67 сказал(а):
тык непонятно, будет команда codeby выступать или нет? Болеть или не болеть?)

Я сам до конца всего не понял ))

sinner67 · 14.12.2017

r0hack сказал(а):
тогда 16го в 5 утра в
Ссылка скрыта от гостей

тык непонятно, будет команда codeby выступать или нет? Болеть или не болеть?)

Yoshimitsu · 14.12.2017

>Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
Слышал, интересуюсь задачками около 8 месяцев, участия не принимал.

>Какие категории тасков больше всего любите решать.
Крипто\стеганография, веб.

aknisi · 19.02.2018

Доброго времени суток!

Собственно сама идея создания CTF не нова. Но я в ней новичок и начинать с чего-то нужно.
В нашем городе никогда не было таких соревнований и хотелось бы принести пользу IT & IS community.
В общем ТЗ:
- Есть ноутбук и выделенный IP (Денег на аренду сервера нет)
- Готовая платформа для соревнований "CTFd" (Можете свой вариант предложить, чтобы была готовая система. От фейсбука не предлагать, еще сильно допиливать нужно)
- Голый энтузиазм и стремление привлечь в нашу движуху молодежь города.

Нужны ваши дельные советы, как это все лучше провернуть.
Может есть хороший гайд по обеспечению безопасности своего web сервера.

DOOmsdAi · 19.02.2018

Зачем настраивать ctf платформу для обучения с нуля если есть сотни готовых ctf задач в открытом доступе?
-

Ссылка скрыта от гостей

-

Ссылка скрыта от гостей

-

Ссылка скрыта от гостей

-

Ссылка скрыта от гостей

aknisi · 19.02.2018

DOOmsdAi сказал(а):
Зачем настраивать ctf платформу для обучения с нуля если есть сотни готовых ctf задач в открытом доступе?
-
Ссылка скрыта от гостей

-
Ссылка скрыта от гостей

-
Ссылка скрыта от гостей

-
Ссылка скрыта от гостей

Тогда у меня встречный вопрос. Зачем проводят городские/областные/любые другие местные соревнования, если есть сотни готовых?

Ответ на этот вопрос можно подобрать любой.
Во-первых, привлечь местных людей к этому.
Во-вторых, собрать городскую команду.

ИМХО

Все сервисы Codeby

Поиск

Поиск

CTF - делимся решениями, обсуждаем

r0hack

DAG

Urfin--Juice

vag4b0nd

Urfin--Juice

r0hack

DAG

asdffs

iamsia

Member

r0hack

DAG

iamsia

Member

Urfin--Juice

PingVinich

Технарь

r0hack

DAG

SooLFaa

oappot

r0hack

DAG

sinner67

Yoshimitsu

New member

aknisi

DOOmsdAi

aknisi