Ввдение
Всем привет, любителям кибербезопасности! Я понимаю, что вы начитались много умных книжек, много умных видео и статей начитались, касательно информационной безопасности. Но встал вопрос... А как взламывать? Ну т.е как начать действительно взламывать сайты или приложения. Существуют специальные площадки созданные хакерами для хакеров, которые позволят вам абсолютно легально взламывать то, к чему у вас душа лежит. Сегодня о такой площадке мы и поговорим, HackerLab.
Если хотите стартовать обучение с нуля и узнать, как бесплатно начать свой путь в кибербезопасности, рекомендуем прочитать статью «Кибербезопасность с нуля: бесплатный старт на HackerLab и погружение в CTF» — здесь вы найдёте подробный гайд для новичков, представление о категориях задач и советы по развитию хакерских навыков.
Создание аккаунта на платформе
Шаг первый: Заходим на сайт Hakerlab.pro
Шаг второй: В правом верхнем углу нажимаем кнопку "Зарегистрироваться"
Шаг третий: У вас есть выбор. Авторизоваться через Telegram или создать аккаунт без использования Telegram. Мы выберем 2 вариант.
Шаг четвёртрый: Вы смогли зарегистрироваться на платформе, и теперь перед вами миллион всякого, давайте посмотрим на всё конкретнее.
Шаг пятый: Вот мы и разобрали как выглядит платформа, но до конца не понятно, как решать задания. Давайте найдём наше первое задание и решим его. Переходим во вкладку "categories"(Категории).
Здесь видны категории заданий, вы выбираете категорию, которая вам больше нравится, я выберу Web.
Шаг шестой: Теперь на вашем экране куча заданий, которые можно решать, давайте выберем одно из них.
Шаг седьмой: Я выбрал таск под названием "PDF-библиотека". Давайте посмотрим из чего состоит экран.
Помимо, уже известной нам левой навигации, мы видим кто первый решил данное задание, какое оно по уровню сложности, сколько людей решило это задание, название задания, время до его перезагрузки, комментарии, IP адрес задания и поле для ввода ответа.
Решение заданий
Наконец-то, мы добрались до самого интересного, решения заданий. Как я уже писал, нам дан IP адрес с заданием, давайте перейдём по этому IP (для этого задания VPN конфигурация не нужна).
Шаг первый: Давайте попробуем найти что-нибудь подозрительное на сайте, потыкаем кнопки, потыкаем URL-строку и посмотрим что будет происходить.
Шаг второй: Мы обратим внимание на URL-строку и увидим что есть переменная file, которая обращается к локальным файлам на хосте.
Шаг третий: Мы узнали что это HEX кодировка, и теперь мы можем попробовать запросить другие файлы используя эту же кодировку. Давайте попросим вывести нам index.php.
Шаг четвёртый: Как видим, ответ от сервера есть и он попытался что-то вывести, давайте скачаем страницу с помощью утилиты "wget".
Отлично, мы получили исходный код данного сайта и "неопытные" разработчики оставили комментарии в коде, словно подсказку.
Шаг пятый: Мы видим как назывались файлы в директории с проектом и отчётливо видим файл "flag_for_hackerlab_ctfplayers.txt", там и лежит наш флаг, но давайте обратим внимание на комментарий одного из разработчиков. Сказано, что файл переместили на уровень выше. Давайте на основе этих данных создадим следующий пейлоад.
Шаг шестой: Мы знаем что файл находится на 1 директорию выше, знаем его название и кодировку, пишем такой пейлоад.
Где,
Сервер дал ответ, точно также скачиваем его с помощью утилиты wget.
Шаг седьмой: Мы видим что в файле написано "CODEBY{f@ke_fl@g}", значит это флаг! Давайте введём его в поле на сайте!
Шаг восьмой: В специальное поле вводим добытый нами флаг и нажимаем отправить.
Отлично, таск решён! И вовсе не сложно, так ведь? А даже если и вы где-то застряли, то на сайте есть подсказки, которые смогут направить вас в нужное русло. Также вы можете спросить в нашем Telegram чате касательно того или иного таска.
Мотивация
Настоящий профессионал славится своим опытом и мастерством, так ведь? Чем больше у вас баллов на платформе, тем выше вы в профессиональной таблице, а чем выше, тем вы круче как специалист. Благодаря данной платформе, вы можете похвастаться своим рейтингов в своём резюме. Поэтому решение "тасков" очень важно так и для практической составляющей, так и для хорошего резюме при трудоустройстве. Решайте сложные задания и становитесь большим специалистом.
Если хотите стартовать обучение с нуля и узнать, как бесплатно начать свой путь в кибербезопасности, рекомендуем прочитать статью «Кибербезопасность с нуля: бесплатный старт на HackerLab и погружение в CTF» — здесь вы найдёте подробный гайд для новичков, представление о категориях задач и советы по развитию хакерских навыков.
Создание аккаунта на платформе
Шаг первый: Заходим на сайт Hakerlab.pro
Шаг второй: В правом верхнем углу нажимаем кнопку "Зарегистрироваться"
Шаг третий: У вас есть выбор. Авторизоваться через Telegram или создать аккаунт без использования Telegram. Мы выберем 2 вариант.
Шаг четвёртрый: Вы смогли зарегистрироваться на платформе, и теперь перед вами миллион всякого, давайте посмотрим на всё конкретнее.
- Логотип HackerLab, нажав на него можно увеличить главный экран.
- Поиск. Можно искать конкретные задачи на сайте.
- VPN-configuration. Данная кнопка нужна, для выдачи вам конфигурационного VPN-файла, т.к некоторые таски работают только в их сети.
- Переключение языка.
- Правила на платформе.
- Ваш аккаунт.
- Ваше место в топе всей платформы
- Первая кровь. Это плашка показывает, сколько кол-во раз вы первым, взломали ту или иную задачу.
- Кол-во завершённых заданий
- Контекстное меню. Главная страница.
- Актуальные новости на платформе.
- Список новых заданий на платформе.
- Категории заданий
- Blog. Блог платформы в котором есть полезная информация.
- Подписка. За подписку вы получаете больше заданий, а также WriteUps(Инструкции к решению заданий)
- Profile. Ваш личный профиль
- Settings. Найстройки вашего профиля
- Наше Discord-сообщество.
- Наше Telegram-сообщество и прочие контакты.
- Топ 100 лучших игроков на платформе.
- Ваши завершённые задания разбитые по категориям.
Шаг пятый: Вот мы и разобрали как выглядит платформа, но до конца не понятно, как решать задания. Давайте найдём наше первое задание и решим его. Переходим во вкладку "categories"(Категории).
Здесь видны категории заданий, вы выбираете категорию, которая вам больше нравится, я выберу Web.
Шаг шестой: Теперь на вашем экране куча заданий, которые можно решать, давайте выберем одно из них.
Шаг седьмой: Я выбрал таск под названием "PDF-библиотека". Давайте посмотрим из чего состоит экран.
Помимо, уже известной нам левой навигации, мы видим кто первый решил данное задание, какое оно по уровню сложности, сколько людей решило это задание, название задания, время до его перезагрузки, комментарии, IP адрес задания и поле для ввода ответа.
Решение заданий
Наконец-то, мы добрались до самого интересного, решения заданий. Как я уже писал, нам дан IP адрес с заданием, давайте перейдём по этому IP (для этого задания VPN конфигурация не нужна).
Шаг первый: Давайте попробуем найти что-нибудь подозрительное на сайте, потыкаем кнопки, потыкаем URL-строку и посмотрим что будет происходить.
Шаг второй: Мы обратим внимание на URL-строку и увидим что есть переменная file, которая обращается к локальным файлам на хосте.
Шаг третий: Мы узнали что это HEX кодировка, и теперь мы можем попробовать запросить другие файлы используя эту же кодировку. Давайте попросим вывести нам index.php.
Шаг четвёртый: Как видим, ответ от сервера есть и он попытался что-то вывести, давайте скачаем страницу с помощью утилиты "wget".
Отлично, мы получили исходный код данного сайта и "неопытные" разработчики оставили комментарии в коде, словно подсказку.
Шаг пятый: Мы видим как назывались файлы в директории с проектом и отчётливо видим файл "flag_for_hackerlab_ctfplayers.txt", там и лежит наш флаг, но давайте обратим внимание на комментарий одного из разработчиков. Сказано, что файл переместили на уровень выше. Давайте на основе этих данных создадим следующий пейлоад.
Шаг шестой: Мы знаем что файл находится на 1 директорию выше, знаем его название и кодировку, пишем такой пейлоад.
Где,
2e2e2f666c61675f666f725f6861636b65726c61625f637466706c61796572732e747874 это ../flag_for_hackerlab_ctfplayers.txt.Сервер дал ответ, точно также скачиваем его с помощью утилиты wget.
Шаг седьмой: Мы видим что в файле написано "CODEBY{f@ke_fl@g}", значит это флаг! Давайте введём его в поле на сайте!
Шаг восьмой: В специальное поле вводим добытый нами флаг и нажимаем отправить.
Отлично, таск решён! И вовсе не сложно, так ведь? А даже если и вы где-то застряли, то на сайте есть подсказки, которые смогут направить вас в нужное русло. Также вы можете спросить в нашем Telegram чате касательно того или иного таска.
Мотивация
Настоящий профессионал славится своим опытом и мастерством, так ведь? Чем больше у вас баллов на платформе, тем выше вы в профессиональной таблице, а чем выше, тем вы круче как специалист. Благодаря данной платформе, вы можете похвастаться своим рейтингов в своём резюме. Поэтому решение "тасков" очень важно так и для практической составляющей, так и для хорошего резюме при трудоустройстве. Решайте сложные задания и становитесь большим специалистом.
Последнее редактирование модератором:
