#web
Админы-параноики 👀
https://sashukkeshuk.ru
Жил-был администратор заурядного блога, наслаждаясь миром и спокойствием. Но вскоре настали времена лихие: злоумышленники, как тени, начали преследовать его, крадя данные пользователей и творя злодеяния от его имени в поисках некоего флага. Бедный админ, терзаемый страхом и смятением, долгое время пытался сам защитить свой сайт, но все его усилия были тщетны. В конце концов, отчаявшись, решил он обратиться за помощью к фрилансеру, дабы тот обеспечил надежную защиту его сайта и учетной записи. И вот, вздохнув с облегчением, администратор уверовал, что сайт теперь уже никто не взломает и его аккаунт в полной безопасности! Или все же нет?...
Формат флага: flag{...}
Хинт 1:Говорят, что фрилансер, работая над сайтом, допустил небольшую, едва заметную ошибку при отправке ответной странички. Однако именно она кардинально повлияла на безопасность сайта, ведь стала заметна другая, куда большая.
Также ходят слухи, что фрилансер не знает, что такое JSON, и, следовательно, не был осведомлен о функциях, которые с ним работают...
Хинт 2:Фрилансер славился своей любовью использовать кастомные куки для аналитики на бэкенде, чтобы приветствовать пользователей, при этом логику работы любил он писать именно сам, ведь полагаться везде только на либы – это удел слабаков! Но он и представить себе не мог, чем все это обернулось, что стало возможным заметить...
Хинт 3:Говорят, что надпись "Welcome back" иногда исчезает. Абсурд какой-то...
Автор: @Sashuk_keshuk
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube
Админы-параноики 👀
https://sashukkeshuk.ru
Жил-был администратор заурядного блога, наслаждаясь миром и спокойствием. Но вскоре настали времена лихие: злоумышленники, как тени, начали преследовать его, крадя данные пользователей и творя злодеяния от его имени в поисках некоего флага. Бедный админ, терзаемый страхом и смятением, долгое время пытался сам защитить свой сайт, но все его усилия были тщетны. В конце концов, отчаявшись, решил он обратиться за помощью к фрилансеру, дабы тот обеспечил надежную защиту его сайта и учетной записи. И вот, вздохнув с облегчением, администратор уверовал, что сайт теперь уже никто не взломает и его аккаунт в полной безопасности! Или все же нет?...
Формат флага: flag{...}
Хинт 1:
Также ходят слухи, что фрилансер не знает, что такое JSON, и, следовательно, не был осведомлен о функциях, которые с ним работают...
Хинт 2:
Хинт 3:
Автор: @Sashuk_keshuk
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2❤1
#linuxadministration
Linuх для PROдвинутых 4
Представь себе, что ты оказался в ситуации, когда интернет, как назло, подводит, и ты не можешь воспользоваться привычным сервисом для генерации паролей. Но не стоит отчаиваться! В мире Linux есть волшебные команды, способные создать надежный пароль всего за одно мгновение.
Твоя задача – написать команду, которая сгенерирует пароль длиной 30 символов, включающий в себя сочетание латинских букв верхнего и нижнего регистра, цифр и специальных символов, при этом:
• Использовать весь алфавит в каждом наборе символов при генерации пароля необязательно.
• Выводить строго 30 символов не обязательно, допустимо, если их будет немного больше.
• Допускается, что команда может не всегда выдавать результат, подходящий под условие (например, иногда при генерации в пароле могут отсутствовать спецсимволы).
• Необходимо выполнить задание одной командой, без использования пайпов и символа ';'. Программирование также не допускается. Давай учиться делать это правильно и изящно!
• Доступ в интернет отсутствует, но если на твоем дистрибутиве Linux предустановлена подходящая утилита, ее использование будет вполне уместным.
Присылайте решение @Max_RSC, он предоставит флаг, который затем нужно будет сдать боту @writeup_ctf_bot
Благодарим @CyberFazaN за корректировки, внесенные в условие задачи, и помощь.
Linuх для PROдвинутых 4
Представь себе, что ты оказался в ситуации, когда интернет, как назло, подводит, и ты не можешь воспользоваться привычным сервисом для генерации паролей. Но не стоит отчаиваться! В мире Linux есть волшебные команды, способные создать надежный пароль всего за одно мгновение.
Твоя задача – написать команду, которая сгенерирует пароль длиной 30 символов, включающий в себя сочетание латинских букв верхнего и нижнего регистра, цифр и специальных символов, при этом:
• Использовать весь алфавит в каждом наборе символов при генерации пароля необязательно.
• Выводить строго 30 символов не обязательно, допустимо, если их будет немного больше.
• Допускается, что команда может не всегда выдавать результат, подходящий под условие (например, иногда при генерации в пароле могут отсутствовать спецсимволы).
• Необходимо выполнить задание одной командой, без использования пайпов и символа ';'. Программирование также не допускается. Давай учиться делать это правильно и изящно!
• Доступ в интернет отсутствует, но если на твоем дистрибутиве Linux предустановлена подходящая утилита, ее использование будет вполне уместным.
Присылайте решение @Max_RSC, он предоставит флаг, который затем нужно будет сдать боту @writeup_ctf_bot
Благодарим @CyberFazaN за корректировки, внесенные в условие задачи, и помощь.
❤7❤🔥2🔥2
task.zip
3.3 KB
Этим постом мы начинаем серию заданий, посвященных эксплуатации бинарных уязвимостей echo-сервиса. Я уже справился с задачкой, так что догоняйте, киберкотлеты!
#pwn
echo-backdoor-easy
Начальник поручил мне написать echo-сервис. Старый дурак не хочет повышать мне зарплату, поэтому я оставлю в сервисе бэкдор!
Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube
#pwn
echo-backdoor-easy
Начальник поручил мне написать echo-сервис. Старый дурак не хочет повышать мне зарплату, поэтому я оставлю в сервисе бэкдор!
45.12.114.80:33000
Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
Всем привет! 👉
Хочу напомнить, что очень жду ваши рекомендации по учебным материалам, благодаря которым вы стали настоящими кибер-котлетами. Это не обязательно знания по информационной безопасностью. Важен факт, что вы можете и хотите их порекомендовать от себя лично. Вот основной пост, про эту категорию материалов на канале
А ещё, хочу напомнить, что у нас есть ламповый чатик @writeup_chat, где мы обсуждаем всё-всё-всё, в том числе и мемы🤤
💬 Канал & Чат | 📺 RUTUBE | 📺 YouTube
Хочу напомнить, что очень жду ваши рекомендации по учебным материалам, благодаря которым вы стали настоящими кибер-котлетами. Это не обязательно знания по информационной безопасностью. Важен факт, что вы можете и хотите их порекомендовать от себя лично. Вот основной пост, про эту категорию материалов на канале
А ещё, хочу напомнить, что у нас есть ламповый чатик @writeup_chat, где мы обсуждаем всё-всё-всё, в том числе и мемы
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
task.zip
20.3 KB
#misc
Шифрование для перфокарты
Вчера мне попалась на глаза схема шифрования перфоленты и теперь мне не терпится разобраться, как она функционирует. Не мог бы ты мне в этом помочь?
Формат флага: KFCctf{...}
Автор: @while_not_False
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
Шифрование для перфокарты
Вчера мне попалась на глаза схема шифрования перфоленты и теперь мне не терпится разобраться, как она функционирует. Не мог бы ты мне в этом помочь?
Формат флага: KFCctf{...}
Автор: @while_not_False
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
👍3
task.zip
3.4 KB
#pwn
echo-backdoor-medium
❕ Это второй таск из серии echo
Вот первый
Похоже, что бэкдор оказался слишком простым в эксплуатации. Думаю, стоит добавить птичью защиту!
Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube
echo-backdoor-medium
Вот первый
Похоже, что бэкдор оказался слишком простым в эксплуатации. Думаю, стоит добавить птичью защиту!
45.12.114.80:33001Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
task.zip
3.5 KB
#pwn
echo-backdoor-hard
❕ Это третий таск из серии echo
Вот первый, a вот второй
Добавлю-ка я в бэкдор немного случайности!
Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube
echo-backdoor-hard
Вот первый, a вот второй
Добавлю-ка я в бэкдор немного случайности!
45.12.114.80:33002
Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Ура! Мне довелось наблюдать невероятный феерверк в виде обломков Starship!
❤🔥15🔥6❤4
С 8 марта, прекрасные девушки! 🌸 Пусть этот день принесет вам море улыбок, счастья и любви. Желаю, чтобы каждый день был наполнен радостью, а мечты сбывались. Пусть весна дарит вдохновение, а окружающие ценят вашу доброту и красоту.
❤17🔥4
Forwarded from RDG CTF (Ilya)
Соревнования пройдут в двух зачетах: студенческом и школьном.
Призёры среди школьников смогут получить дополнительные баллы при поступлении в ДВФУ на направления «Информационная безопасность» и «Компьютерная безопасность»
Если вы не являетесь студентом, представляете разные вузы или обучаетесь в вузе за пределами Дальнего Востока, вы можете принять участие онлайн вне зачета.
👥 Состав команды: до 7 человек. Количество команд не ограничено.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥2❤1
task.zip
951.6 KB
#pwn
echo-backdoor-ultimate
❕ Это четвертый таск из серии echo
Вот первый, вот второй, а вот третий
Мой начальник посчитал функцию с названием backdoor подозрительной и настоял на её удалении. Старый дурак так ничего и не понял, ROP-цепочку ему в ***!
Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube
echo-backdoor-ultimate
Вот первый, вот второй, а вот третий
Мой начальник посчитал функцию с названием backdoor подозрительной и настоял на её удалении. Старый дурак так ничего и не понял, ROP-цепочку ему в ***!
45.12.114.80:33003
Автор: @s41nt0l3xus
После получения шелла, помимо флага, можно забрать с сервера и intended решение в виде скрипта.
Зеркало тасков
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1👌1
Опа-опа! У нас первый таск по 🕵️♂️ FORENSICS!
Блушники, налетайте!💙
#forensics
😳 Panic attack
Дружище, у нас взлом! Похоже, криминал, по коням! 🚨
Есть два журнала логов. Необходимо выяснить:
• Тип (название) атаки по классификации (MITRE ATT&CK®), одним словом, с маленькой буквы
• К какой учетной записи злоумышленники смогли получить доступ, одним словом, с маленькой буквы
• Инструмент, через который злоумышленники использовали взломанную учетную запись, одним словом, с маленькой буквы, без расширения
Файлы журналов [тык]
Формат флага, разделитель %:
flag{type%user%utility}
Автор: @artrone
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube
Блушники, налетайте!
#forensics
😳 Panic attack
Дружище, у нас взлом! Похоже, криминал, по коням! 🚨
Есть два журнала логов. Необходимо выяснить:
• Тип (название) атаки по классификации (MITRE ATT&CK®), одним словом, с маленькой буквы
• К какой учетной записи злоумышленники смогли получить доступ, одним словом, с маленькой буквы
• Инструмент, через который злоумышленники использовали взломанную учетную запись, одним словом, с маленькой буквы, без расширения
Файлы журналов [тык]
Формат флага, разделитель %:
flag{type%user%utility}
Автор: @artrone
Напоминаем, что флаг нужно сдавать боту @writeup_ctf_bot
#таск@writeup_ctf
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥8❤3👍2🗿2🤔1
Forwarded from СНО ВШК
Всем привет 🦉
Мы с крутыми новостями🚩
Скоро выходные, а значит, пора решать CTF, и как раз открылась регистрация на NeoQUEST, который пройдет с 15.03.25 00:00 до 23.03.25 23:59!
Это CTF-соревнования с личным зачетом еще и 2х уровней сложности: для начинающих свой путь в CTF есть школьный трек, а для прошаренных, желающих поломать немножко голову, есть взрослый трек!
Поэтому можно смело и без раздумий регистрироваться:
📎 на уровень для начинающих
📎 на уровень для прошаренных
Ваше СНО ВШК👨💻
Мы с крутыми новостями
Скоро выходные, а значит, пора решать CTF, и как раз открылась регистрация на NeoQUEST, который пройдет с 15.03.25 00:00 до 23.03.25 23:59!
Это CTF-соревнования с личным зачетом еще и 2х уровней сложности: для начинающих свой путь в CTF есть школьный трек, а для прошаренных, желающих поломать немножко голову, есть взрослый трек!
Поэтому можно смело и без раздумий регистрироваться:
Ваше СНО ВШК
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from DUCKERZ
📢 Важное обновление!
🔸 Платформа переехала с polyctf.ru на новый домен — duckerz.ru 🚀
🔸 Прогресс на аккаунтах остался без изменений
🔸 Появилась новая система достижений для пользователей
🔸 Полный ребрендинг и новый дизайн с уточками 🦆
🔸 Учли ваши пожелания к платформе и реализовали улучшенный функционал 💻
Опробуйте её уже сейчас — DUCKERZ👨💻
💬 Присоединяйтесь к нашему чату: @duckerz_chat
✍️ По любым вопросам обращайтесь к @myqookie
👉 Канал | 💬 Чат | 👨💻 Платформа
Опробуйте её уже сейчас — DUCKERZ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7
Bitlocker-1. PicoCTF 2025 Writeup от @Max_RSC
Неожиданный интерес со стороны аудитории вдохновил меня и побудил быстрее взяться за дело. Итак, задачка Bitlocker-1 с PicoCTF 2025, категория forensics, уровень сложности medium.
Нам предоставлен диск bitlocker-1.dd, зашифрованный с использованием BitLocker. Наша цель — взломать хеш пароля BitLocker, получить доступ к диску и извлечь содержащиеся на нем данные.
Первым шагом мы извлекаем хеш пароля с помощью утилиты bitlocker2john:
Теперь запускаем инструмент для взлома хешей. Я использовал Hashcat, но также можно было воспользоваться John the Ripper:
В условиях задачки упоминается, что пароль является простым, поэтому в целях экономии времени я применил облегченную версию словаря rockyou:
После некоторого времени работы Hashcat успешно находит пароль:
Как можно заметить, пароль соответствует имени пользователя (Jacky), значит, мы на верном пути.
Теперь мы можем открыть зашифрованный диск с помощью инструмента cryptsetup:
Также можно воспользоваться инструментом dislocker — здесь кому как больше нравится.
Открываем диск и сразу же находим флаг.
#picoctf2025 #forensics
Неожиданный интерес со стороны аудитории вдохновил меня и побудил быстрее взяться за дело. Итак, задачка Bitlocker-1 с PicoCTF 2025, категория forensics, уровень сложности medium.
Нам предоставлен диск bitlocker-1.dd, зашифрованный с использованием BitLocker. Наша цель — взломать хеш пароля BitLocker, получить доступ к диску и извлечь содержащиеся на нем данные.
Первым шагом мы извлекаем хеш пароля с помощью утилиты bitlocker2john:
bitlocker2john -i bitlocker-1.dd > bitlocker.hash
Теперь запускаем инструмент для взлома хешей. Я использовал Hashcat, но также можно было воспользоваться John the Ripper:
john --wordlist=rockyoulight.txt bitlocker.hash
В условиях задачки упоминается, что пароль является простым, поэтому в целях экономии времени я применил облегченную версию словаря rockyou:
hashcat -m 22100 -a 0 bitlocker.hash rockyoulight.txt
После некоторого времени работы Hashcat успешно находит пароль:
$bitlocker$0$16$cb4809fe9628471a411f8380e0f668db$1048576$12$d04d9c58eed6da010a000000$60$68156e51e53f0a01c076a32ba2b2999afffce8530fbe5d84b4c19ac71f6c79375b87d40c2d871ed2b7b5559d71ba31b6779c6f41412fd6869442d66d:jacqueline
Как можно заметить, пароль соответствует имени пользователя (Jacky), значит, мы на верном пути.
Теперь мы можем открыть зашифрованный диск с помощью инструмента cryptsetup:
sudo cryptsetup bitlkOpen bitlocker-1.dd windows
Также можно воспользоваться инструментом dislocker — здесь кому как больше нравится.
Открываем диск и сразу же находим флаг.
#picoctf2025 #forensics
❤19