Writeup по простенькому Android CTF
Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.
Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.
Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.
#smali #ctf #wtiteup
Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.
Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.
Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.
#smali #ctf #wtiteup
Medium
NahamCon CTF 2022 Write-up: Click Me! Android challenge
NahamSec, John Hammond & few other folks hosted a CTF this weekend. I solved Android challenges, the challenges were really fun. I decided…
CTF под Android в Google Play со скорбордом и печеньками
Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал, но тем не менее, весьма интересный и развивающийся проект - hpAndro!
Представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд и есть все шансы туда попасть 😎
Ну и в целом, всегда приятно немного поиграть, если есть время и силы :) в процессе можно попробовать новые инструменты и, если есть уже прохождение, попробовать найти другой способ получения флага!
Всем удачной игры и поиска багов!
P.S. У ребят ещё есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов, оч классно!
#android #ctf #tools
Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал, но тем не менее, весьма интересный и развивающийся проект - hpAndro!
Представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд и есть все шансы туда попасть 😎
Ну и в целом, всегда приятно немного поиграть, если есть время и силы :) в процессе можно попробовать новые инструменты и, если есть уже прохождение, попробовать найти другой способ получения флага!
Всем удачной игры и поиска багов!
P.S. У ребят ещё есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов, оч классно!
#android #ctf #tools
Mobile AppSec World
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot) Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF. Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в…
Решение задачи с Flutter
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любитStepn Flutter 😁
#flutter #ctf
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит
#flutter #ctf
YouTube
Разбор Ыжедневных тасков и розыгрыш мерча
Участники и авторы Ыжедневных тасков рассказали, как всё решалось. В конце разыгрываем мерч среди участников.
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
OFFZONE! CTF! Участвуйте и приходите к нам!
Всем привет!
Итак, конференция OFFZONE 2022 официально началась!
У нас свой комьюнити стенд, так что приходите знакомиться!
У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч)
Зарегистрироваться на CTF можно тут:
https://mobile.ctf.appsec.global/
За первые 10 мест обещаем футболки, OffCoin и полный набор мерча!
И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками)
LETS GO!
#OFFZONE #CTF
Всем привет!
Итак, конференция OFFZONE 2022 официально началась!
У нас свой комьюнити стенд, так что приходите знакомиться!
У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч)
Зарегистрироваться на CTF можно тут:
https://mobile.ctf.appsec.global/
За первые 10 мест обещаем футболки, OffCoin и полный набор мерча!
И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками)
LETS GO!
#OFFZONE #CTF
Второй день мы с вами!
Всем привет, надеюсь, вы живы после вчерашнего дня конференции =)
Сегодня мы снова с вами и вас ждет не менее интересный день.
В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы!
Приходите поболтать, посмотреть на демку и просто весело провести время!
#android #iOS #CTF #OFFZONE
Всем привет, надеюсь, вы живы после вчерашнего дня конференции =)
Сегодня мы снова с вами и вас ждет не менее интересный день.
В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы!
Приходите поболтать, посмотреть на демку и просто весело провести время!
#android #iOS #CTF #OFFZONE
Обход детекта Frida на Android
Всем привет!
Для любителей видео-демонстраций, уроков и лекций, нашел видео-гайд по одному из способов обхода детекта Frida на Android.
Видео основано на анализе приложения R2Pay, которое как раз содержит детект на наличие root и frida-server на устройстве. При этом реализовано это все в нативе, так что полезно будет и тем, кто хотел посмотреть, как хукать нативные вызовы в .so файлах в Android.
Для тех, кто хочет почитать, есть подробный разбор аналогичного таска в текстовом представлении.
Изучаем, радуемся и проходим CTF =)
#CTF #Frida #Antifrida
Всем привет!
Для любителей видео-демонстраций, уроков и лекций, нашел видео-гайд по одному из способов обхода детекта Frida на Android.
Видео основано на анализе приложения R2Pay, которое как раз содержит детект на наличие root и frida-server на устройстве. При этом реализовано это все в нативе, так что полезно будет и тем, кто хотел посмотреть, как хукать нативные вызовы в .so файлах в Android.
Для тех, кто хочет почитать, есть подробный разбор аналогичного таска в текстовом представлении.
Изучаем, радуемся и проходим CTF =)
#CTF #Frida #Antifrida
YouTube
Bypassing Frida detection in Android
#frida #rootdetection #fridadetection #android #pentest #r2pay
Hello everyone, in this video we are going to learn some new techniques which are used in android app for detecting frida based on some frida artifacts in the memory and filesystem.
For learning…
Hello everyone, in this video we are going to learn some new techniques which are used in android app for detecting frida based on some frida artifacts in the memory and filesystem.
For learning…
Все, что вы хотели знать о CTF, но боялись спросить
Всем привет!
Сегодня у меня просто отличный повод написать пост, вышла потрясающая статья о CTF - "Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали".
В статье простым языком рассказывается о том, что такое CTF, зачем они нужны и что делать, если ты никогда в них не участвовал, но хотел бы. Что особенно интересно - это формат повествования в виде интервью с именитыми CTF-ерами и организаторами:
- Егор Богомолов – победитель многочисленных CTF и участник bug-bounty, основатель компании Singleton Security, глава обучающего центра CyberED (бывш. «HackerU»)
- Омар Ганиев aka Beched, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член сильнейшей российской CTF-команды «More Smoked Leet Chicken». Основал компанию DeteAct для разработки продуктов и оказания услуг по ИБ. Преподавал практическую безопасность в РТУ МИРЭА
- Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF)
- Константин Крючков, многократный участник CTF (команда Keva), организатор образовательных CTF в Swordfish Security
Как по мне вышло очень бодро и интересно! С удовольствием почитал ответы на вопросы ребят, классные истории и советы 😄
Ну и конечно, в виде бонуса итоговая табличка с наиболее популярными CTF в конце статьи.
Так что приятного чтения, надеюсь вам понравится также, как и мне!
#ctf #habr
Всем привет!
Сегодня у меня просто отличный повод написать пост, вышла потрясающая статья о CTF - "Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали".
В статье простым языком рассказывается о том, что такое CTF, зачем они нужны и что делать, если ты никогда в них не участвовал, но хотел бы. Что особенно интересно - это формат повествования в виде интервью с именитыми CTF-ерами и организаторами:
- Егор Богомолов – победитель многочисленных CTF и участник bug-bounty, основатель компании Singleton Security, глава обучающего центра CyberED (бывш. «HackerU»)
- Омар Ганиев aka Beched, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член сильнейшей российской CTF-команды «More Smoked Leet Chicken». Основал компанию DeteAct для разработки продуктов и оказания услуг по ИБ. Преподавал практическую безопасность в РТУ МИРЭА
- Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF)
- Константин Крючков, многократный участник CTF (команда Keva), организатор образовательных CTF в Swordfish Security
Как по мне вышло очень бодро и интересно! С удовольствием почитал ответы на вопросы ребят, классные истории и советы 😄
Ну и конечно, в виде бонуса итоговая табличка с наиболее популярными CTF в конце статьи.
Так что приятного чтения, надеюсь вам понравится также, как и мне!
#ctf #habr
Хабр
Соревнования Capture The Flag (CTF) и все, что вы о них еще не знали
Привет! Меня зовут Анна Шабалина, и я работаю в Swordfish Security. Этой статьей я открываю нашу новую рубрику #досугбезопасника. Мы частенько организовываем, наблюдаем или обсуждаем CTF, и...
Подборка Android CTF
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅
На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).
И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))
Enjoy!
#CTF #android #mobile
GitHub
GitHub - r0ysue/MobileCTF: 体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图
体系化、实战化、step by step、目标清晰且具体的一个打怪升级、成长路径规划图. Contribute to r0ysue/MobileCTF development by creating an account on GitHub.
Знакомство с Frida.
Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.
На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.
Так что, для всех новичков, добро пожаловать в миркостылей, боли, JS, увлекательной работы с Frida!
#frida #android #ctf #start
Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.
На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.
Так что, для всех новичков, добро пожаловать в мир
#frida #android #ctf #start
Cognisys Labs
Writing your first Frida script for Android
Overview
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...
Статья для начинающих свой путь в Android
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Итак, CTF!
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!
Вы его качественно разломали и мы потратили немало денег на BugBounty!
В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!
Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.
Попробуйте найти хотя бы три!
Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/
Это совместный CTF, так что внутри есть еще и флаги на Web!
Участвуйте, регистрируйтесь, присоединяйтесь!
Новости будут тут, но оперативная информация в нашем канале “Security Champions”!
#CTF #Android
Telegram
Security Champions
Официальный канал ГК Swordfish Security. Мы помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки: https://swordfish-security.ru/
💬Наш чат: https://t.me/sfsecuritychampionschat
💬Наш чат: https://t.me/sfsecuritychampionschat