Разбор комнаты Airplane с платформы TryHackMe⌨️

Познакомимся с уязвимостью Local File Inclusion и раскрутим её до удаленного выполнения кода через механизм Remote DBG😎
А так же рассмотрим несложную эскалацию привилегий через весьма популярную мисконфигурацию и suid-бит
Комната достаточно сложная, но вы можете видеть добросовестную попытку написать все понятным языком 👀

#thm #ctf #pentest

Всем привет! 😎

В сегодняшней статье познакомимся с такой интересной штукой, как Race Condition.

Рассмотрим причины возникновения, одно из средств защиты, способы эксплуатации и разберем атаку с использованием состояния гонки на примере🚘

Приятного прочтения!

#ctf #pentest #vulnerability

🏆 Всем привет! 🏆

Приготовьтесь к захватывающему 24-часовому вызову! TQL CTF - это новое соревнование, организованное @fefucyber и @fefuctf в сотрудничестве с участниками Standoff365 и Федерацией Спортивного Программирования – часть Международного фестиваля спортивного программирования и высокотехнологичного спорта "Энергия знаний".

Состязание начнется 3 сентября в 12:00 (GMT+10) и продлится до 12:00 4 сентября (GMT+10), у вас будет целый день и ночь, чтобы проверить свои навыки в программировании систем информационной безопасности 😈

TQL CTF проверит ваши способности в различных направлениях: AD/Network, Web, Quest, Cryptography, Reverse, OSINT, Steganography, Misc и Forensics! 💪

Состязание сопровождается солидным призовым фондом:

🥇 1-е место: $2000

🥈 2-е место: $1000

🥉 3-е место: $500

Независимо от того, являетесь вы опытным или только начинаете свой путь, здесь найдутся задачи для всех, чтобы было возможно учиться, расти и общаться с другими энтузиастами! 💯

🍋‍🟩Посетите tqlctf.com, чтобы узнать больше и зарегистрироваться, присоединяйтесь к каналу мероприятия и чату мероприятия, не упустите возможность побороться за славу и выиграть большие призы!

Пришло время проверить свои навыки и оставить свой след в мире информационной безопасности! 🏆

Всем привет! 🤜🤛

😈 Постепенно начнем вкатываться в мир оффенсива. В сегодняшней статье поговорим о так называемом швейцарском ноже любого веб-пентестера – Burp Suite.

Разберем его базовый функционал, включая некоторые фишки профессиональной версии, а так же применим на практике все его основные инструменты – от прокси до коллаборатора⌨️

Настоятельно рекомендую самим поиграться с данной утилитой и набить руку, в одном из следующих материалов чуть более подробно поговорим о HTTP-запросах и их структуре🤫

Приятного прочтения!

#ctf #tools #web #codeby

@fefuctf

🏆Our competition is over!🏆

💸Congratulations to all participants and wish them further success!💸

Preliminary results:

🥇First place: EXE.1sior

🥈Second place: MHC

🥉Third place: BKISC

In the near future we will analyze the results and summarize the results!

🫴Captains of the winning teams are asked to write urgently to @MrNansy

Всем привет! 💻

Сегодня, 4 сентября, завершился крутейший TQL CTF, который мы придумали весной на Standoff Afterparty и который в итоге собрал несколько сотен участников с более чем десяти стран 🔝

В данном материале вы можете ознакомиться с комнатами, которые мне довелось разработать специально для этого ивента (при соучастии великого @cherepawwka)😈

Так же хочу сообщить, что в течение трех дней комнаты будут доступны для решения для всех желающих, так что если есть желание повторить описанное – милости просим:

Inspection: https://195.200.18.108:11000 && 195.200.18.108:11001

Temple: https://195.200.18.108:12000 && 195.200.18.108:12001

Inquisition: https://195.200.18.108:13000 && 195.200.18.108:13001

Приятного прочтения!

#ctf #tql #pentest

@fefuctf

📢 Объявляем начало игр! Не голодных и не олимпийских, а Международных игр по кибербезопасности.

Сегодня стартовали соревнования по кибербезопасности для студентов и старшеклассников со студенческой кибербитвой Standoff в финале. Участники получат не только практический опыт в ИБ, но и шанс попасть на стажировку PT Start и получить поддержку менторов.

Рассказываем подробнее, что нужно делать:

1️⃣ До 16 сентября собрать команду атакующих или защитников и подать заявку на сайте (https://cybersecuritygames.org/#getting_started).

2️⃣ Успешно пройти отборочные, выполнив все практические задания на реалистичных копиях разных инфраструктур (и не только!).

3️⃣ Во время митапов (если захочется) познакомиться с крутыми экспертами по кибербезопасности, участниками Standoff и интегрироваться в сообщество.

4️⃣ Принять участие в финале осеннего сезона Игр — студенческой кибербитве Standoff!

5️⃣ Получить опыт, который не только украсит портфолио, но и поможет попасть на индивидуальную стажировку (вы же любите стажировки, правда?).

🎁 Из приятных бонусов: победители среди атакующих без конкурса пройдут на «взрослую» кибербитву Standoff в 2025 году, а лучшие защитники — попадут в финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания).

Часики тикают, так что не теряйте времени, собирайте команду, заявляйтесь, и да начнутся Игры!

@Positive_Technologies

☄️ Друзья, всем привет! ☄️

Из прошлого поста вы уже знаете, что Positive Technologies объявили начало Международных игр по кибербезопасности.

Что могу сказать по этому поводу: формат проведения Кибербитвы сильно отличается от формата проведения Jeopardy CTF-соревнований. Там вы имеете дело с Attack-Defense форматом, где вы можете выступать за сторону синих или за сторону красных.

🔴Как выглядит это мероприятие со стороны красных: вам предстоит пройти путь, который включает в себя полноценное выполнение всех этапов киллчейна – разведку, поиск информации и перечисление ресурсов и пользователей, получение первоначального доступа, закрепление, установление C2 и эксфильтрацию данных

В случае с Кибербитвой вектора могут быть абсолютно разными – это может быть пентест веб-приложения, пентест инфраструктуры, подготовка и реализация фишинга, использование CVE по типу EternalBlue, ProxyShell, ProxyLogon и так далее. Каждая найденная крупица информации может пригодиться в последующих этапах, это тоже важно учитывать💯

🌐Как выглядит Кибербитва со стороны синих: вам предстоит расследовать атаки и составлять отчеты по каждому их этапу, восстанавливать полный киллчейн – начиная с описания того, как именно проводилась разведка, заканчивая тем, какую технику использовали атакующие для С2 и эксфильтрации.

Важные показатели здесь – количество расследованных атак и среднее время расследования, по которым и будет выбираться команда-победитель со стороны синих ⏸

Резюмируя, хочется сказать, что Кибербитва – это абсолютно уникальный опыт, который может стать потрясающим пунктом в резюме начинающего специалиста, будь то оффенсив или дефенсив. В данном случае ограничение на количество участников в команде – 10 человек. Поэтому, если у вас есть желание попробовать себя, вы можете собрать сборную из команд нашего университета.

На прошедшем TQL CTF было зарегистрировано 10 команд из ДВФУ, поэтому напоминаю – у этого канала есть чатик, где вы можете скооперироваться с участниками других составов, собрать крутую сборную и показать не менее крутой уровень, а так же задавать вопросы по поводу самого ивента – постараюсь ответить на все, так что милости просим! 👀

Более того, если к этому мероприятию будет проявлен интерес, я подготовлю парочку постов с инструментами, без которых не обходится ни один Attack-Defense, т.к. пентест инфраструктуры разительно отличается от пентеста веб-приложений.

☄️ Всем успехов! ☄️

⚡️Всем привет! ⚡️

Как и обещал, принес вам чтиво по базовому инструментарию для атак на инфраструктуру🔄

Статья носит ознакомительный характер и не направлена на практику или погружение в тот или иной инструмент, её задача – показать базовый набор, который может пригодиться вам при работе с инфрой.

Практическое применение инструментов перечисленных инструментов я покажу в другом материале, где разберем какую-нибудь AD машинку👉

Настоятельно рекомендую ознакомиться с каждой тулзой самостоятельно, методом проб собрать свой сет инструментов и приноровиться к ним, это значительно упростит жизнь в будущем🙂

Приятного прочтения!

#infra #ad #tools #pentest

💡Всем привет!💡

В преддверии ВСКБ продолжаем знакомиться с атаками на инфраструктуру. Сегодня разберем на примере утилиты, с которыми познакомились в прошлой статье.

Посмотрим на харвестинг домена с bloodhound, попылесосим сетевые шары с smbclient, запросим TGT-тикет при помощи impacket, упомянем про атаки Pass-the-Hash и Pass-the-Ticket, устроим небольшое forensics kung-fu при помощи mimikatz, а в качестве бонуса рассмотрим апгрейд обычного шелла до meterpreter-шелла ▶️

❗️Условлюсь, что не все проделанные в данном разборе шаги необходимы для выполнения задания, однако целью статьи было показать практическое применение утилит, о которых я рассказал вам в прошлом материале❗️

Чтиво на этот раз практика-ориентировано, поэтому углубимся в работу некоторых инструментов и технологий в другой раз. В будущем, например, разберемся с подкапотной протоколов аутентификации Kerberos/NTLM и атаками на них. Но не все сразу 🤫

Приятного прочтения!

#infra #ad #tools #pentest

☄️Всем привет! ☄️

Сегодня принес вам разбор реализованных нами недопустимых событий на ВСКБ, прошедшей в рамках Kazan Digital Week

Помимо описанного в статье, мы достаточно глубоко прокопались в инфраструктуре, однако полученные доступы не привели нас к реализации нужных НС, поэтому углубление в инфру в рамках данной статьи затронуто не будет. Но оно было 🥸

Результаты, достигнутые синей и красной командами на этой ВСКБ породили идею активнее развивать эти направления среди наших студентов, кто с ними пока еще не сталкивался 🍆

Так что зазывайте своих тиммейтов в наш чатик и ждите новостей, а пока посмотрите, как выглядели наши атаки на инфраструктуру.

Приятного прочтения! 🙂

#infra #vskb #pentest

🔥Друзья, всем привет!

С радостью сообщаем, что, с этого учебного года ДВФУ решил активно взяться за развитие и централизацию CTF-движения в нашем университете.
Именно с этой целью был создан и будет развиваться данный канал💻

Чего здесь можно ожидать и для чего он вообще нужен?

🔄Во-первых, здесь мы соберем кладезь полезного материала по всем возможным направлениям – от стеганографии до пывна.
Будь то исследовательские статьи, разборы заданий, обучающий материал – что угодно!

🔄Во-вторых, актуальную информацию о приближающихся CTF-ивентах, как локальных, так и всероссийских/международных

🔄В-третьих, вся необходимая информация про плюшки, которые вам готов предоставить университет за активное участие и достижения в CTF

Мы приближаемся к новому учебному году и готовимся встречать новых исследователей кибербезопасности, поэтому первые посты в этом канале будут посвящены введению в CTF как дисциплину – мы расскажем, что это вообще такое, какие существуют категории задач и поможем не потеряться в этом огромном мире.
А мир этот, уж поверьте, действительно огромен – каждый найдет для себя направление по душе😉

Кроме того, у нас есть замечательный чатик, где мы обмениваемся опытом и вместе погружаемся в мир информационной безопасности, будем рады видеть вас там!

🔥FEFU CTF | FEFU CTF chat | FEFU Cybersecurity Center 🔥

☄️Всем привет! ☄️

Сегодня на повестке небольшой пост для новоприбывших =)

Как уже было сказано, этот канал и его чат посвящены CTF-движению нашего университета, поэтому всем новоприбывшим и тем, кто еще не имеет представления об этом направлении, предлагаю ознакомиться, что это такое, и какие основные категории есть в CTF👀

CTF – Capture the Flag – вид соревнований по информационной безопасности, подразумевающий выполнение практических задач из различных областей нашей специальности: веб эксплуатация, криптография, Open Source Intelligence, обратная разработка, PWN, стеганография, форензика и так далее.

Главная задача в каждом из таких заданий – получение "флага" – специальной строки с обрамлением или без, подтверждающей успешное выполнение задания. Например: tqlCTF{y0ur_f1rst_ev3r_fl4g}

Пробежимся по основным категориям, с которыми будем постепенно ознакамливаться:

🕸 Web

Категория целиком и полностью посвящена поиску и эксплуатации уязвимостей в web-приложениях, будь то white box (с доступом к исходному коду) или black box (без доступа к исходному коду). Изучаем сайтик, смотрим на его поведение, ищем мисконфиги и аномалии, перехватываем HTTP-запросы и манипулируем их содержимым.

🔑 Криптография

Решение криптографических задач различного рода – от древних шифров до атак на современные криптографические методы. Ищем закономерности, брутфорсим ключи и сильно любим математику: криптография – это оно!

🔍 Open Source Inteligence

"Я тебя по айпи вычислю!" – с этим вам сюда. Ищем информацию, которая есть или когда-то была в интернете (он у нас помнит все), пробиваем пользователей, учимся правильно пользоваться гуглом и искать точные координаты локации по форме кирпичей и цвету травы. OSINT – это про поиск и анализ. True cyberdetective!

◀️ Обратная разработка

Написали программу и забыли, как она работает? Не проблема – передайте ее реверсеру и он разберется. Это направление целиком про работу с кодом - скомпилированным или сырым. Крутой реверсер становится крутым вирусным аналитиком. Здесь вы научитесь разговаривать с компьютером на языке 0x00101010.

💣 PWN

Когда реверсерсу становится скучно, он идет пывнить. PWN – это про поиск и эксплуатацию бинарных уязвимостей в программном обеспечении. Реверс, работа с памятью, калькулятором 16-ричной системы. Хотели когда-нибудь получить root-права на машине, просто поиграв в змейку? Вам сюда.

🖼 Стеганография

"Видишь послание? Вот и я не вижу. А оно есть". Здесь мы учимся прятать информацию внутри другой информации – текст в картинку, картинку в аудиозапись, аудиозапись в видеозапись, видеозапись в яйцо, яйцо в утку и так далее. Доступ к вашим секретам получит только тот, кто о них знает...ну либо крутой стеганограф🤫

🕵️ Форензика

Логи, дампы, дампы, логи. Анализируем сетевой трафик, дампы памяти и журналы логов, расследуем цифровые преступления, восстанавливаем киллчейны, становимся крутыми DFIR (Digital Forensics and Incident Response) специалистами бесплатно и без регистрации. Хотелось поработать криминалистом и войти в АйТи одновременно? Это сюда ;)


Примерно так выглядит перечень основных категорий CTF ивентов формата Jeopardy. На практике категорий может быть больше, они могут комбинироваться и выстраиваться в один большой квест – это зависит от фантазии разработчика. Со временем ознакомимся с каждым из этих направлений поближе, поковыряем на практике и поможем определиться с тем, что вам интереснее.

Stay tuned и спасибо, что вы здесь! ❤️