• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • 🚨 29 мая стартует курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    После старта курса запись открыта еще 10 дней Подробнее о курсе ...

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

Прошу помощи в решении школьной задачки по CTF

Terrarian_51

New member
12.04.2025
1
0
Всем доброго дня!
Моя подруга работает в школе, и у них сейчас проходит какой-то конкурс по ИТ-безопасности для детей. Есть одна задача, которую мы вообще не знаем, как решить.
Формат флага: CTF {optimized_model}.
У нас есть веб-сайт, где нужно пройти аутентификацию, введя логин и пароль, чтобы получить нужную нам информацию. На сайте также включена аутентификация по паролю OTP, а телефона у нас нет.
У нас есть несколько подсказок по этой задаче, в которых сказано, что:
Во первых, мы могли бы как-то использовать перехват пакетов и подстановку переменных.
Во вторых, нужно обратить внимание на сообщение об ошибке (или уязвимость), полученное с сервера при обработке пустого запроса OTP.
В третьих, необходимо исследовать ответ сервера на пустой запрос OTP и найти в нем уязвимости.
Хотя ей удалось получить логин и пароль с помощью SQL-инъекции, мы все еще не можем взломать защиту OTP.
Ранее я нашел несколько инструкций ctf, в которых есть некоторые команды, но не было никаких подсказок о среде, где я мог бы использовать эти команды.
Собственно, нам нужно авторизоваться на сайте и ввести флаг, полученный при взломе. Проблема в том, что сайт не выдает никаких ошибок об OTP, и я не знаю, что такое «флаг» и где его искать.
Я новичок в соревнованиях CTF, но очень хочу помочь своей подруге, так как она очень сильно озадачена. Я просто хотел бы увидеть, как взломать этот сайт шаг за шагом и получить флаг.
 
1745458451035.webp


Задачка на самом деле не сложная - из советов я рекомендую вам профаззить все ответы от каждой страницы на сайте через BurpSuite или OwaspZap - воспользуйтесь инструментом и поиграйтесь с GET и PoST запросами - думаю что решение найдет вас быстро.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Курс AD