Разбор комнаты Airplane с платформы TryHackMe⌨️

Познакомимся с уязвимостью Local File Inclusion и раскрутим её до удаленного выполнения кода через механизм Remote DBG😎
А так же рассмотрим несложную эскалацию привилегий через весьма популярную мисконфигурацию и suid-бит
Комната достаточно сложная, но вы можете видеть добросовестную попытку написать все понятным языком 👀

#thm #ctf #pentest

Всем привет! 😎

В сегодняшней статье познакомимся с такой интересной штукой, как Race Condition.

Рассмотрим причины возникновения, одно из средств защиты, способы эксплуатации и разберем атаку с использованием состояния гонки на примере🚘

Приятного прочтения!

#ctf #pentest #vulnerability

🏆 Всем привет! 🏆

Приготовьтесь к захватывающему 24-часовому вызову! TQL CTF - это новое соревнование, организованное @fefucyber и @fefuctf в сотрудничестве с участниками Standoff365 и Федерацией Спортивного Программирования – часть Международного фестиваля спортивного программирования и высокотехнологичного спорта "Энергия знаний".

Состязание начнется 3 сентября в 12:00 (GMT+10) и продлится до 12:00 4 сентября (GMT+10), у вас будет целый день и ночь, чтобы проверить свои навыки в программировании систем информационной безопасности 😈

TQL CTF проверит ваши способности в различных направлениях: AD/Network, Web, Quest, Cryptography, Reverse, OSINT, Steganography, Misc и Forensics! 💪

Состязание сопровождается солидным призовым фондом:

🥇 1-е место: $2000

🥈 2-е место: $1000

🥉 3-е место: $500

Независимо от того, являетесь вы опытным или только начинаете свой путь, здесь найдутся задачи для всех, чтобы было возможно учиться, расти и общаться с другими энтузиастами! 💯

🍋‍🟩Посетите tqlctf.com, чтобы узнать больше и зарегистрироваться, присоединяйтесь к каналу мероприятия и чату мероприятия, не упустите возможность побороться за славу и выиграть большие призы!

Пришло время проверить свои навыки и оставить свой след в мире информационной безопасности! 🏆

Всем привет! 🤜🤛

😈 Постепенно начнем вкатываться в мир оффенсива. В сегодняшней статье поговорим о так называемом швейцарском ноже любого веб-пентестера – Burp Suite.

Разберем его базовый функционал, включая некоторые фишки профессиональной версии, а так же применим на практике все его основные инструменты – от прокси до коллаборатора⌨️

Настоятельно рекомендую самим поиграться с данной утилитой и набить руку, в одном из следующих материалов чуть более подробно поговорим о HTTP-запросах и их структуре🤫

Приятного прочтения!

#ctf #tools #web #codeby

@fefuctf

🏆Our competition is over!🏆

💸Congratulations to all participants and wish them further success!💸

Preliminary results:

🥇First place: EXE.1sior

🥈Second place: MHC

🥉Third place: BKISC

In the near future we will analyze the results and summarize the results!

🫴Captains of the winning teams are asked to write urgently to @MrNansy

Всем привет! 💻

Сегодня, 4 сентября, завершился крутейший TQL CTF, который мы придумали весной на Standoff Afterparty и который в итоге собрал несколько сотен участников с более чем десяти стран 🔝

В данном материале вы можете ознакомиться с комнатами, которые мне довелось разработать специально для этого ивента (при соучастии великого @cherepawwka)😈

Так же хочу сообщить, что в течение трех дней комнаты будут доступны для решения для всех желающих, так что если есть желание повторить описанное – милости просим:

Inspection: https://195.200.18.108:11000 && 195.200.18.108:11001

Temple: https://195.200.18.108:12000 && 195.200.18.108:12001

Inquisition: https://195.200.18.108:13000 && 195.200.18.108:13001

Приятного прочтения!

#ctf #tql #pentest

@fefuctf

📢 Объявляем начало игр! Не голодных и не олимпийских, а Международных игр по кибербезопасности.

Сегодня стартовали соревнования по кибербезопасности для студентов и старшеклассников со студенческой кибербитвой Standoff в финале. Участники получат не только практический опыт в ИБ, но и шанс попасть на стажировку PT Start и получить поддержку менторов.

Рассказываем подробнее, что нужно делать:

1️⃣ До 16 сентября собрать команду атакующих или защитников и подать заявку на сайте (https://cybersecuritygames.org/#getting_started).

2️⃣ Успешно пройти отборочные, выполнив все практические задания на реалистичных копиях разных инфраструктур (и не только!).

3️⃣ Во время митапов (если захочется) познакомиться с крутыми экспертами по кибербезопасности, участниками Standoff и интегрироваться в сообщество.

4️⃣ Принять участие в финале осеннего сезона Игр — студенческой кибербитве Standoff!

5️⃣ Получить опыт, который не только украсит портфолио, но и поможет попасть на индивидуальную стажировку (вы же любите стажировки, правда?).

🎁 Из приятных бонусов: победители среди атакующих без конкурса пройдут на «взрослую» кибербитву Standoff в 2025 году, а лучшие защитники — попадут в финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания).

Часики тикают, так что не теряйте времени, собирайте команду, заявляйтесь, и да начнутся Игры!

@Positive_Technologies

☄️ Друзья, всем привет! ☄️

Из прошлого поста вы уже знаете, что Positive Technologies объявили начало Международных игр по кибербезопасности.

Что могу сказать по этому поводу: формат проведения Кибербитвы сильно отличается от формата проведения Jeopardy CTF-соревнований. Там вы имеете дело с Attack-Defense форматом, где вы можете выступать за сторону синих или за сторону красных.

🔴Как выглядит это мероприятие со стороны красных: вам предстоит пройти путь, который включает в себя полноценное выполнение всех этапов киллчейна – разведку, поиск информации и перечисление ресурсов и пользователей, получение первоначального доступа, закрепление, установление C2 и эксфильтрацию данных

В случае с Кибербитвой вектора могут быть абсолютно разными – это может быть пентест веб-приложения, пентест инфраструктуры, подготовка и реализация фишинга, использование CVE по типу EternalBlue, ProxyShell, ProxyLogon и так далее. Каждая найденная крупица информации может пригодиться в последующих этапах, это тоже важно учитывать💯

🌐Как выглядит Кибербитва со стороны синих: вам предстоит расследовать атаки и составлять отчеты по каждому их этапу, восстанавливать полный киллчейн – начиная с описания того, как именно проводилась разведка, заканчивая тем, какую технику использовали атакующие для С2 и эксфильтрации.

Важные показатели здесь – количество расследованных атак и среднее время расследования, по которым и будет выбираться команда-победитель со стороны синих ⏸

Резюмируя, хочется сказать, что Кибербитва – это абсолютно уникальный опыт, который может стать потрясающим пунктом в резюме начинающего специалиста, будь то оффенсив или дефенсив. В данном случае ограничение на количество участников в команде – 10 человек. Поэтому, если у вас есть желание попробовать себя, вы можете собрать сборную из команд нашего университета.

На прошедшем TQL CTF было зарегистрировано 10 команд из ДВФУ, поэтому напоминаю – у этого канала есть чатик, где вы можете скооперироваться с участниками других составов, собрать крутую сборную и показать не менее крутой уровень, а так же задавать вопросы по поводу самого ивента – постараюсь ответить на все, так что милости просим! 👀

Более того, если к этому мероприятию будет проявлен интерес, я подготовлю парочку постов с инструментами, без которых не обходится ни один Attack-Defense, т.к. пентест инфраструктуры разительно отличается от пентеста веб-приложений.

☄️ Всем успехов! ☄️

⚡️Всем привет! ⚡️

Как и обещал, принес вам чтиво по базовому инструментарию для атак на инфраструктуру🔄

Статья носит ознакомительный характер и не направлена на практику или погружение в тот или иной инструмент, её задача – показать базовый набор, который может пригодиться вам при работе с инфрой.

Практическое применение инструментов перечисленных инструментов я покажу в другом материале, где разберем какую-нибудь AD машинку👉

Настоятельно рекомендую ознакомиться с каждой тулзой самостоятельно, методом проб собрать свой сет инструментов и приноровиться к ним, это значительно упростит жизнь в будущем🙂

Приятного прочтения!

#infra #ad #tools #pentest

💡Всем привет!💡

В преддверии ВСКБ продолжаем знакомиться с атаками на инфраструктуру. Сегодня разберем на примере утилиты, с которыми познакомились в прошлой статье.

Посмотрим на харвестинг домена с bloodhound, попылесосим сетевые шары с smbclient, запросим TGT-тикет при помощи impacket, упомянем про атаки Pass-the-Hash и Pass-the-Ticket, устроим небольшое forensics kung-fu при помощи mimikatz, а в качестве бонуса рассмотрим апгрейд обычного шелла до meterpreter-шелла ▶️

❗️Условлюсь, что не все проделанные в данном разборе шаги необходимы для выполнения задания, однако целью статьи было показать практическое применение утилит, о которых я рассказал вам в прошлом материале❗️

Чтиво на этот раз практика-ориентировано, поэтому углубимся в работу некоторых инструментов и технологий в другой раз. В будущем, например, разберемся с подкапотной протоколов аутентификации Kerberos/NTLM и атаками на них. Но не все сразу 🤫

Приятного прочтения!

#infra #ad #tools #pentest