Forwarded from Codeby
57% компаний узнают о взломе не от своего SOC. Почему?
Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене.
🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён.
Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде
📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко.
⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами:
1. Подготовка — IR-план, playbook, инструменты наготове
2. Обнаружение и анализ — triage алерта, определение скоупа
3. Сдерживание — изоляция хоста, сегмента, учётки
4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн
5. Разбор полётов — отчёт, timeline, IOC-приложения
Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля.
Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства.
🎯 Практический чеклист на первые 30 минут:
• Подтвердить алерт — это true positive?
• Определить скоуп — один хост или сегмент?
• Изолировать, не выключая — сохранить содержимое RAM
• Зафиксировать время — таймлайн начинается сейчас
Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье.
https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/
Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене.
🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён.
Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде
powershell.exe или wmic, не триггерит стандартные правила корреляции. Он выглядит как легитимный администратор.📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко.
⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами:
1. Подготовка — IR-план, playbook, инструменты наготове
2. Обнаружение и анализ — triage алерта, определение скоупа
3. Сдерживание — изоляция хоста, сегмента, учётки
4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн
5. Разбор полётов — отчёт, timeline, IOC-приложения
Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля.
Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства.
🎯 Практический чеклист на первые 30 минут:
• Подтвердить алерт — это true positive?
• Определить скоуп — один хост или сегмент?
• Изолировать, не выключая — сохранить содержимое RAM
• Зафиксировать время — таймлайн начинается сейчас
Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье.
https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/
🎯 Карьерный навигатор в кибербезопасности 2026
Пять треков, реальные зарплаты, конкретные точки входа — без воды и мотивационных речей.
Каждую неделю в личку форума прилетает одно и то же: «С чего начать в инфобезе?» или «Год в SOC L1 — куда дальше?». Вместо того чтобы отвечать в личку 50 раз — собрали всё в одном треде.
🔬 Пять треков, между которыми нужно выбирать:
• Pentester / Offensive Security — от 100K junior до 400K+ senior • SOC Analyst — от 90K на L1 до 450K руководитель SOC • DFIR — от 140K trainee до 600K forensic lead • AppSec / Secure Development — от 150K до 800K в финтехе • Red Team — входной билет от 200K, потолок 700K+
Цифры — медиана по Москве на 2026, данные hh.ru, SuperJob, Habr Career.
⚙️ Для каждого трека внутри: необходимые навыки, инструменты, сертификации, точка входа и ссылки на профильные гайды форума.
Отдельный блок — для тех, кто уже junior и упёрся в потолок: три конкретных действия за год, которые меняют финальный оффер на 30–50%.
💬 В конце — открытый опрос и живое обсуждение. Пишите, на каком вы этапе и что мешает следующему шагу — отвечаем лично каждому.
👉 https://codeby.net/threads/misen-kar-yernyi-navigator-v-kiberbezopasnosti-2026-treki-zarplaty-tochki-vkhoda.93738/
Пять треков, реальные зарплаты, конкретные точки входа — без воды и мотивационных речей.
Каждую неделю в личку форума прилетает одно и то же: «С чего начать в инфобезе?» или «Год в SOC L1 — куда дальше?». Вместо того чтобы отвечать в личку 50 раз — собрали всё в одном треде.
🔬 Пять треков, между которыми нужно выбирать:
• Pentester / Offensive Security — от 100K junior до 400K+ senior • SOC Analyst — от 90K на L1 до 450K руководитель SOC • DFIR — от 140K trainee до 600K forensic lead • AppSec / Secure Development — от 150K до 800K в финтехе • Red Team — входной билет от 200K, потолок 700K+
Цифры — медиана по Москве на 2026, данные hh.ru, SuperJob, Habr Career.
⚙️ Для каждого трека внутри: необходимые навыки, инструменты, сертификации, точка входа и ссылки на профильные гайды форума.
Отдельный блок — для тех, кто уже junior и упёрся в потолок: три конкретных действия за год, которые меняют финальный оффер на 30–50%.
💬 В конце — открытый опрос и живое обсуждение. Пишите, на каком вы этапе и что мешает следующему шагу — отвечаем лично каждому.
👉 https://codeby.net/threads/misen-kar-yernyi-navigator-v-kiberbezopasnosti-2026-treki-zarplaty-tochki-vkhoda.93738/
Forwarded from Hacker Lab
🔍 Сетевая разведка за 30 дней — 4 недели практики на HackerLab
80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно.
С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт:
📌 Неделя 1 — nmap: port scan + banner grabbing
📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration
📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost
📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation
Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний.
⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы.
🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде.
Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle.
К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио.
📅 Старт — 1 июня. Первая машина — «Кто там?»
👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/
80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно.
С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт:
📌 Неделя 1 — nmap: port scan + banner grabbing
📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration
📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost
📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation
Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний.
⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы.
🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде.
Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle.
К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио.
📅 Старт — 1 июня. Первая машина — «Кто там?»
👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/
🔓 В реальных пентестах мы чаще заходим через забытый роутер, чем через фишинг
18,8 миллиарда IoT-устройств подключены к сети прямо сейчас. У большинства из них последнее обновление прошивки было единственным — заводским. А окно от публикации критической уязвимости до первого рабочего эксплойта сжалось до 24–72 часов. Задумайтесь: ваш роутер, IP-камера или NAS — это, возможно, уже чья-то точка входа.
Почему так происходит? Потому что на роутере нет ни антивируса, ни логов, ни человека, который за него отвечает. Это идеальная мишень.
⚡️ Какие уязвимости эксплуатируют чаще всего?
Анализ каталога CISA KEV за 2024 год рисует чёткую картину. Вот топ проблем в сетевом оборудовании:
• Command Injection (CWE-78) — абсолютный лидер. CGI-бинарь в веб-интерфейсе роутера берёт параметр из HTTP-запроса и передаёт его напрямую в
• Дефолтные и жёстко зашитые пароли (CWE-287) — классика, которая никуда не делась. Камеры, NAS, SOHO-роутеры — полный доступ к устройству одним запросом.
• Out-of-bounds Write (CWE-787) — переполнение буфера в сетевых сервисах. Реальный пример: уязвимость в Captive Portal PAN-OS позволяла получить root-шелл на файрволе Palo Alto.
• Path Traversal (CWE-22) — чтение произвольных файлов через веб-панель управления. Конфиги, ключи, хеши — всё как на ладони.
🛡 Отдельная история — персистентность. Бэкдор FIRESTARTER на Cisco ASA показал, что даже после установки патча вредонос может пережить обновление. Патч закрывает дыру, но не выкидывает того, кто уже внутри. Это меняет саму парадигму патч-менеджмента для embedded-систем: мало обновить, нужно ещё убедиться, что устройство чисто.
📋 Что проверить прямо сейчас:
1. Telnet и HTTP на ваших роутерах — отключены? Если нет, у вас открытый вход без шифрования.
2. Прошивка — когда обновлялась последний раз? Если ответ «не помню» — это и есть проблема.
3. UPnP, SSDP, debug-порты — всё, что не нужно, должно быть закрыто.
Мы собрали полную карту атак на IoT: от классификации уязвимостей и разбора реальных CVE до готового чеклиста аудита и стратегии патч-менеджмента для устройств, которые обычно никто не патчит. Подробности — в полной статье.
https://codeby.net/threads/uyazvimosti-iot-ustroistv-kriticheskaya-karta-atak-i-patch-menedzhment.93797/
18,8 миллиарда IoT-устройств подключены к сети прямо сейчас. У большинства из них последнее обновление прошивки было единственным — заводским. А окно от публикации критической уязвимости до первого рабочего эксплойта сжалось до 24–72 часов. Задумайтесь: ваш роутер, IP-камера или NAS — это, возможно, уже чья-то точка входа.
Почему так происходит? Потому что на роутере нет ни антивируса, ни логов, ни человека, который за него отвечает. Это идеальная мишень.
⚡️ Какие уязвимости эксплуатируют чаще всего?
Анализ каталога CISA KEV за 2024 год рисует чёткую картину. Вот топ проблем в сетевом оборудовании:
• Command Injection (CWE-78) — абсолютный лидер. CGI-бинарь в веб-интерфейсе роутера берёт параметр из HTTP-запроса и передаёт его напрямую в
system() или popen(). Без фильтрации. Вообще. Результат — RCE от имени root.• Дефолтные и жёстко зашитые пароли (CWE-287) — классика, которая никуда не делась. Камеры, NAS, SOHO-роутеры — полный доступ к устройству одним запросом.
• Out-of-bounds Write (CWE-787) — переполнение буфера в сетевых сервисах. Реальный пример: уязвимость в Captive Portal PAN-OS позволяла получить root-шелл на файрволе Palo Alto.
• Path Traversal (CWE-22) — чтение произвольных файлов через веб-панель управления. Конфиги, ключи, хеши — всё как на ладони.
🛡 Отдельная история — персистентность. Бэкдор FIRESTARTER на Cisco ASA показал, что даже после установки патча вредонос может пережить обновление. Патч закрывает дыру, но не выкидывает того, кто уже внутри. Это меняет саму парадигму патч-менеджмента для embedded-систем: мало обновить, нужно ещё убедиться, что устройство чисто.
📋 Что проверить прямо сейчас:
1. Telnet и HTTP на ваших роутерах — отключены? Если нет, у вас открытый вход без шифрования.
2. Прошивка — когда обновлялась последний раз? Если ответ «не помню» — это и есть проблема.
3. UPnP, SSDP, debug-порты — всё, что не нужно, должно быть закрыто.
Мы собрали полную карту атак на IoT: от классификации уязвимостей и разбора реальных CVE до готового чеклиста аудита и стратегии патч-менеджмента для устройств, которые обычно никто не патчит. Подробности — в полной статье.
https://codeby.net/threads/uyazvimosti-iot-ustroistv-kriticheskaya-karta-atak-i-patch-menedzhment.93797/
👍1
Forwarded from Сергей Попов
🔍 Неделя 1 — nmap: Recon начинается со стука
Стартовала первая неделя серии «Сетевая разведка за 30 дней». Задача — «Кто там?» на HackerLab, 200 очков.
На эксплойт уходит 30 минут, на recon с нуля — 2 часа. Большинство новичков начинают сразу со второго шага. Эта неделя — про первый.
Один инструмент, четыре режима:
📌
Запоминаем не команды, а что делает каждый флаг. Команды можно нагуглить, понимание — нельзя.
⚙️ В weekly-треде обсуждаем подходы и ошибки без спойлеров. После дедлайна — открываем writeup'ы.
🎁 Топ-3 первых solver'ов — мерч от Codeby.
⚠️ Участвовать могут только те, кто ранее не решал это задание.
📅 Начало 1 июня в 20:00. Дедлайн — воскресенье, 7 июня, 23:59 МСК
👉 https://codeby.net/threads/nedelya-1-kto-tam-port-scan-i-banner-grabbing-na-nmap.93752/
Стартовала первая неделя серии «Сетевая разведка за 30 дней». Задача — «Кто там?» на HackerLab, 200 очков.
На эксплойт уходит 30 минут, на recon с нуля — 2 часа. Большинство новичков начинают сразу со второго шага. Эта неделя — про первый.
Один инструмент, четыре режима:
📌
nmap -sS — TCP SYN scan, быстрее полного соединения 📌 nmap -p- — все 65535 портов, чтобы не пропустить нестандартные сервисы 📌 nmap -sV -sC — детект версий + дефолтные NSE-скрипты 📌 nmap -O — fingerprint ОС для выбора цепочки эксплуатацииЗапоминаем не команды, а что делает каждый флаг. Команды можно нагуглить, понимание — нельзя.
⚙️ В weekly-треде обсуждаем подходы и ошибки без спойлеров. После дедлайна — открываем writeup'ы.
🎁 Топ-3 первых solver'ов — мерч от Codeby.
⚠️ Участвовать могут только те, кто ранее не решал это задание.
📅 Начало 1 июня в 20:00. Дедлайн — воскресенье, 7 июня, 23:59 МСК
👉 https://codeby.net/threads/nedelya-1-kto-tam-port-scan-i-banner-grabbing-na-nmap.93752/
❤2👍1🔥1
🔧 Обсуждай задачи и переписывайся прямо в HackerLab
Встроили форум-виджет Codeby прямо на страницы тасков — теперь обсуждение, подсказки и личка живут там же, где само задание.
Что умеет виджет:
— Тред с обсуждением рядом с задачей
— Скриншоты, файлы, реакции, онлайн-статусы
— Автообновление без перезагрузки страницы
Личные сообщения внутри виджета:
— Пишешь напрямую, не уходя с платформы
— Бейдж непрочитанных, поиск по имени, редактирование
Авторизация через Codeby ID. Работает на мобильном.
CTF — это не только решить в одиночку. Вовремя спросить или подсказать растит быстрее 🚀
Попробуйте и расскажите, чего не хватает 👇
🔗 https://codeby.net/threads/obsuzhdai-zadachi-i-perepisyvaisya-pryamo-v-hackerlab-vstroili-forum-i-lichnyye-soobshcheniya.93938/
Встроили форум-виджет Codeby прямо на страницы тасков — теперь обсуждение, подсказки и личка живут там же, где само задание.
Что умеет виджет:
— Тред с обсуждением рядом с задачей
— Скриншоты, файлы, реакции, онлайн-статусы
— Автообновление без перезагрузки страницы
Личные сообщения внутри виджета:
— Пишешь напрямую, не уходя с платформы
— Бейдж непрочитанных, поиск по имени, редактирование
Авторизация через Codeby ID. Работает на мобильном.
CTF — это не только решить в одиночку. Вовремя спросить или подсказать растит быстрее 🚀
Попробуйте и расскажите, чего не хватает 👇
🔗 https://codeby.net/threads/obsuzhdai-zadachi-i-perepisyvaisya-pryamo-v-hackerlab-vstroili-forum-i-lichnyye-soobshcheniya.93938/
🔍 Неделя 2: Virtual Server — Service Enumeration через SSH и FTP
Серия «Сетевая разведка за 30 дней» продолжается.
Открытые порты — это только начало. На этой неделе учимся читать сервисы: выжимать версии, баннеры, конфиги и файлы до первой попытки эксплуатации.
Цель: VDS, где SSH и FTP настроены «потом исправлю»
Инструменты: —
⏱️ Старт: 8 июня, 20:00 МСК 🏁 Дедлайн: 14 июня, 23:59 МСК
До дедлайна — обсуждаем подходы, не флаги. После — writeup'ы открыты.
👇 Задание и обсуждение: 🔗 https://codeby.net/threads/nedelya-2-virtual-nyi-server-service-enumeration-cherez-ssh-i-ftp.93753/
Серия «Сетевая разведка за 30 дней» продолжается.
Открытые порты — это только начало. На этой неделе учимся читать сервисы: выжимать версии, баннеры, конфиги и файлы до первой попытки эксплуатации.
Цель: VDS, где SSH и FTP настроены «потом исправлю»
Инструменты: —
nmap -sV + скрипты ftp-anon, ssh-auth-methods — anonymous FTP: конфиги, бэкапы, исходники — ssh-audit — слабые алгоритмы и разрешённые методы — nc для сырого banner-grab + searchsploit по версии⏱️ Старт: 8 июня, 20:00 МСК 🏁 Дедлайн: 14 июня, 23:59 МСК
До дедлайна — обсуждаем подходы, не флаги. После — writeup'ы открыты.
👇 Задание и обсуждение: 🔗 https://codeby.net/threads/nedelya-2-virtual-nyi-server-service-enumeration-cherez-ssh-i-ftp.93753/
🪪 У чата HackerLab теперь есть лицо!
Кликни на ник или аватарку собеседника прямо в чате — и откроется его карточка: уровень и ранг, место в рейтинге, сколько задач и CTF решено, активность на форуме. Тут же можно написать в личку, подписаться или заглянуть в полный профиль — в один клик.
Чат всегда под рукой: на главной — бейджем в правом нижнем углу, а на страницах задач открыт сразу. Залетай, знакомься со своими 👇
🔗 hackerlab.pro
Кликни на ник или аватарку собеседника прямо в чате — и откроется его карточка: уровень и ранг, место в рейтинге, сколько задач и CTF решено, активность на форуме. Тут же можно написать в личку, подписаться или заглянуть в полный профиль — в один клик.
Чат всегда под рукой: на главной — бейджем в правом нижнем углу, а на страницах задач открыт сразу. Залетай, знакомься со своими 👇
🔗 hackerlab.pro
👍3❤1🔥1
Пять команд в терминале вместо двадцати минут в Wireshark: как решать network-таски на CTF
Пока кто-то кликает по меню Statistics → Protocol Hierarchy в графическом интерфейсе, три флага уже улетают в скорборд. На KnightCTF 2024 пять задач из категории networking решались чистым
🔍 Первое действие с любым pcap-файлом — не открывать Wireshark, а набрать:
Подставляешь формат флага из условия (
Если не сработало — второй шаг: смотрим распределение протоколов.
На выходе — дерево с процентами. Видишь 95% HTTP и крошечную долю FTP или странные DNS-запросы? Вот туда и копай. Аномалия в протокольном распределении — почти всегда указатель на флаг.
⚡ Три главных места, где прячут флаги в HTTP-трафике:
• GET-параметры URL — что-то вроде
• POST-тело — формы логина, загрузка файлов
• Нестандартные заголовки ответа —
Отдельная история — заголовок
🕵️ DNS exfiltration — ещё один классический паттерн. Атакующий кодирует данные в поддоменах DNS-запросов:
Что касается FTP — протокол передаёт логины и пароли открытым текстом. Если в pcap есть FTP-сессия, креды достаются элементарно. Фильтруешь по
📌 Минимальный набор для старта:
•
•
•
•
Всё это есть в любом Linux из коробки. Kali — вообще без доустановки. RAM от 4 ГБ, сеть не нужна, pcap-файлы на CTF редко превышают 50 МБ.
Когда GUI всё-таки нужен? Файлы от 500 МБ с десятками тысяч потоков, визуальный анализ ретрансмиссий и временных диаграмм. Но на типичном CTF — терминал быстрее.
В полной статье — пошаговый разбор реальных задач с KnightCTF и CTF Academy: follow stream через CLI, извлечение файлов из трафика и декодирование DNS-эксфильтрации. Забирай в закладки 👇
https://hackerlab.pro/blog/setevoy-analiz-ctf-razbiraem-http-ftp-i-dns-v-trafike-i-dostaem-flag-bez-wireshark-ekspert
Пока кто-то кликает по меню Statistics → Protocol Hierarchy в графическом интерфейсе, три флага уже улетают в скорборд. На KnightCTF 2024 пять задач из категории networking решались чистым
tshark — без единого запуска GUI.🔍 Первое действие с любым pcap-файлом — не открывать Wireshark, а набрать:
strings capture.pcap | grep -i "flag{"Подставляешь формат флага из условия (
KCTF{...}, flag{...}, ctfa{...}) и в части задач получаешь ответ за одну секунду. Флаг нередко лежит в открытом виде прямо в трафике — организаторы закладывают это намеренно.Если не сработало — второй шаг: смотрим распределение протоколов.
tshark -r capture.pcap -q -z io,phsНа выходе — дерево с процентами. Видишь 95% HTTP и крошечную долю FTP или странные DNS-запросы? Вот туда и копай. Аномалия в протокольном распределении — почти всегда указатель на флаг.
⚡ Три главных места, где прячут флаги в HTTP-трафике:
• GET-параметры URL — что-то вроде
/page.php?secret=flag{abc}• POST-тело — формы логина, загрузка файлов
• Нестандартные заголовки ответа —
X-Flag, X-Secret-DataОтдельная история — заголовок
Authorization: Basic. Встретил строку вроде dXNlcjpwYXNz? Это Base64. Декодируешь одной командой: echo "dXNlcjpwYXNz" | base64 -d → user:pass. В CTF-задачах Base64 встречается повсюду: HTTP-заголовки, поддомены DNS, тело FTP-передач.🕵️ DNS exfiltration — ещё один классический паттерн. Атакующий кодирует данные в поддоменах DNS-запросов:
ZmxhZ3s.evil.com. Выглядит как обычный резолв, а на деле — канал утечки. Кстати, flag{ в Base64 выглядит как ZmxhZ3s — запомни этот паттерн, он экономит время на каждом втором соревновании.Что касается FTP — протокол передаёт логины и пароли открытым текстом. Если в pcap есть FTP-сессия, креды достаются элементарно. Фильтруешь по
ftp.request.command == "PASS" — и вот они.📌 Минимальный набор для старта:
•
tshark — фильтрация, follow stream, экспорт объектов•
strings + grep — быстрый поиск по бинарнику•
base64 — декодирование на лету•
binwalk -e — извлечение вложенных файлов (картинки, архивы, документы)Всё это есть в любом Linux из коробки. Kali — вообще без доустановки. RAM от 4 ГБ, сеть не нужна, pcap-файлы на CTF редко превышают 50 МБ.
Когда GUI всё-таки нужен? Файлы от 500 МБ с десятками тысяч потоков, визуальный анализ ретрансмиссий и временных диаграмм. Но на типичном CTF — терминал быстрее.
В полной статье — пошаговый разбор реальных задач с KnightCTF и CTF Academy: follow stream через CLI, извлечение файлов из трафика и декодирование DNS-эксфильтрации. Забирай в закладки 👇
https://hackerlab.pro/blog/setevoy-analiz-ctf-razbiraem-http-ftp-i-dns-v-trafike-i-dostaem-flag-bez-wireshark-ekspert
👍2❤1🔥1
🔍 Неделя 4 — Финал: Секретный кабинет
Последняя неделя серии «Сетевая разведка за 30 дней» — и сразу 500 очков.
Маршрут к цели известен. Нужен пароль. Всё, что изучали три недели — сейчас в одной цепочке:
nmap → gobuster → Burp Repeater → hydra
Разведка, directory enumeration, разбор auth-формы, брутфорс. Именно так выглядит реальный engagement.
⏱️ Старт: 23 июня, 10:00 МСК
🏁 Дедлайн: 28 июня, 23:59 МСК
Флаги до старта — в конкурсе не учитываются. До дедлайна обсуждаем подходы, не конкретные пути.
После 29 июня — финальный wrap-up серии, лучшие writeup'ы и что будет дальше.
👉 Неделя 4 — Финал: Секретный кабинет
Последняя неделя серии «Сетевая разведка за 30 дней» — и сразу 500 очков.
Маршрут к цели известен. Нужен пароль. Всё, что изучали три недели — сейчас в одной цепочке:
nmap → gobuster → Burp Repeater → hydra
Разведка, directory enumeration, разбор auth-формы, брутфорс. Именно так выглядит реальный engagement.
⏱️ Старт: 23 июня, 10:00 МСК
🏁 Дедлайн: 28 июня, 23:59 МСК
Флаги до старта — в конкурсе не учитываются. До дедлайна обсуждаем подходы, не конкретные пути.
После 29 июня — финальный wrap-up серии, лучшие writeup'ы и что будет дальше.
👉 Неделя 4 — Финал: Секретный кабинет
👍1
Три символа, которые ломают авторизацию: как JWT-атаки решают CTF-задачи
На одном из CTF я потратил 40 минут на веб-задачу — перебирал эндпоинты, пробовал SQLi, ковырял параметры. А решение уместилось в три символа:
JWT — это строка из трёх частей через точку: header.payload.signature. Header говорит серверу, каким алгоритмом проверять подпись. Payload хранит данные о пользователе в открытом виде — никакого шифрования, просто base64url. Signature гарантирует, что никто не подменил содержимое. В теории.
На практике разработчики допускают ошибки в валидации, и вот три атаки, которые чаще всего встречаются в CTF:
🔓 1. alg:none — самая простая и самая недооценённая. Меняем алгоритм в header на
🔑 2. Брутфорс слабого секрета. Алгоритм HS256 использует один симметричный ключ для подписи и проверки. Если разработчик поставил пароль вроде
⚡ 3. Algorithm confusion — уровень посложнее. Сервер ожидает RS256 (асимметричная пара ключей), но атакующий переключает заголовок на HS256 и подписывает токен публичным ключом сервера как HMAC-секретом. Публичный ключ часто доступен — через
Где искать токен в задаче? Четыре места:
• Cookie — самый частый вариант (названия:
• Заголовок
• Тело JSON-ответа после логина
•
Практический алгоритм на CTF: нашёл токен → декодировал header и payload → посмотрел
По классификации OWASP, эти уязвимости попадают сразу под три категории Top 10: Broken Access Control, Cryptographic Failures и Security Misconfiguration. Не только CTF — реальные CVE тоже.
Полный разбор с командами и примерами — в статье на HackerLab.
https://hackerlab.pro/blog/jwt-ataki-ctf-ot-struktury-tokena-do-zahvata-flaga-cherez-alg-none-i-slabyy-sekret
На одном из CTF я потратил 40 минут на веб-задачу — перебирал эндпоинты, пробовал SQLi, ковырял параметры. А решение уместилось в три символа:
none в поле alg JWT-заголовка и пустая подпись. Флаг пришёл мгновенно.JWT — это строка из трёх частей через точку: header.payload.signature. Header говорит серверу, каким алгоритмом проверять подпись. Payload хранит данные о пользователе в открытом виде — никакого шифрования, просто base64url. Signature гарантирует, что никто не подменил содержимое. В теории.
На практике разработчики допускают ошибки в валидации, и вот три атаки, которые чаще всего встречаются в CTF:
🔓 1. alg:none — самая простая и самая недооценённая. Меняем алгоритм в header на
"alg":"none", правим payload (например, "role":"admin"), убираем подпись, оставив финальную точку. Если сервер не проверяет алгоритм строго, он примет токен без подписи вообще. В jwt_tool это одна команда: python3 jwt_tool.py TOKEN -X a.🔑 2. Брутфорс слабого секрета. Алгоритм HS256 использует один симметричный ключ для подписи и проверки. Если разработчик поставил пароль вроде
secret, password123 или qwerty — его можно подобрать за секунды. hashcat с режимом 16500 и словарём rockyou.txt перебирает миллионы вариантов в секунду на GPU. Нашёл ключ — подписываешь любой payload и заходишь как admin.⚡ 3. Algorithm confusion — уровень посложнее. Сервер ожидает RS256 (асимметричная пара ключей), но атакующий переключает заголовок на HS256 и подписывает токен публичным ключом сервера как HMAC-секретом. Публичный ключ часто доступен — через
/jwks.json или в исходниках. Сервер берёт тот же ключ для проверки и... подпись совпадает.Где искать токен в задаче? Четыре места:
• Cookie — самый частый вариант (названия:
jwt, token, session)• Заголовок
Authorization: Bearer ...• Тело JSON-ответа после логина
•
localStorage в DevTools для SPA-приложенийПрактический алгоритм на CTF: нашёл токен → декодировал header и payload → посмотрел
alg → попробовал none → не сработало — запустил брутфорс секрета → проверил algorithm confusion. Три шага, которые закрывают 80% JWT-задач на соревнованиях.По классификации OWASP, эти уязвимости попадают сразу под три категории Top 10: Broken Access Control, Cryptographic Failures и Security Misconfiguration. Не только CTF — реальные CVE тоже.
Полный разбор с командами и примерами — в статье на HackerLab.
https://hackerlab.pro/blog/jwt-ataki-ctf-ot-struktury-tokena-do-zahvata-flaga-cherez-alg-none-i-slabyy-sekret
❤1👍1🔥1