☄️Всем привет! ☄️

Сегодня принес вам разбор реализованных нами недопустимых событий на ВСКБ, прошедшей в рамках Kazan Digital Week

Помимо описанного в статье, мы достаточно глубоко прокопались в инфраструктуре, однако полученные доступы не привели нас к реализации нужных НС, поэтому углубление в инфру в рамках данной статьи затронуто не будет. Но оно было 🥸

Результаты, достигнутые синей и красной командами на этой ВСКБ породили идею активнее развивать эти направления среди наших студентов, кто с ними пока еще не сталкивался 🍆

Так что зазывайте своих тиммейтов в наш чатик и ждите новостей, а пока посмотрите, как выглядели наши атаки на инфраструктуру.

Приятного прочтения! 🙂

#infra #vskb #pentest

🔥Друзья, всем привет!

С радостью сообщаем, что, с этого учебного года ДВФУ решил активно взяться за развитие и централизацию CTF-движения в нашем университете.
Именно с этой целью был создан и будет развиваться данный канал💻

Чего здесь можно ожидать и для чего он вообще нужен?

🔄Во-первых, здесь мы соберем кладезь полезного материала по всем возможным направлениям – от стеганографии до пывна.
Будь то исследовательские статьи, разборы заданий, обучающий материал – что угодно!

🔄Во-вторых, актуальную информацию о приближающихся CTF-ивентах, как локальных, так и всероссийских/международных

🔄В-третьих, вся необходимая информация про плюшки, которые вам готов предоставить университет за активное участие и достижения в CTF

Мы приближаемся к новому учебному году и готовимся встречать новых исследователей кибербезопасности, поэтому первые посты в этом канале будут посвящены введению в CTF как дисциплину – мы расскажем, что это вообще такое, какие существуют категории задач и поможем не потеряться в этом огромном мире.
А мир этот, уж поверьте, действительно огромен – каждый найдет для себя направление по душе😉

Кроме того, у нас есть замечательный чатик, где мы обмениваемся опытом и вместе погружаемся в мир информационной безопасности, будем рады видеть вас там!

🔥FEFU CTF | FEFU CTF chat | FEFU Cybersecurity Center 🔥

☄️Всем привет! ☄️

Сегодня на повестке небольшой пост для новоприбывших =)

Как уже было сказано, этот канал и его чат посвящены CTF-движению нашего университета, поэтому всем новоприбывшим и тем, кто еще не имеет представления об этом направлении, предлагаю ознакомиться, что это такое, и какие основные категории есть в CTF👀

CTF – Capture the Flag – вид соревнований по информационной безопасности, подразумевающий выполнение практических задач из различных областей нашей специальности: веб эксплуатация, криптография, Open Source Intelligence, обратная разработка, PWN, стеганография, форензика и так далее.

Главная задача в каждом из таких заданий – получение "флага" – специальной строки с обрамлением или без, подтверждающей успешное выполнение задания. Например: tqlCTF{y0ur_f1rst_ev3r_fl4g}

Пробежимся по основным категориям, с которыми будем постепенно ознакамливаться:

🕸 Web

Категория целиком и полностью посвящена поиску и эксплуатации уязвимостей в web-приложениях, будь то white box (с доступом к исходному коду) или black box (без доступа к исходному коду). Изучаем сайтик, смотрим на его поведение, ищем мисконфиги и аномалии, перехватываем HTTP-запросы и манипулируем их содержимым.

🔑 Криптография

Решение криптографических задач различного рода – от древних шифров до атак на современные криптографические методы. Ищем закономерности, брутфорсим ключи и сильно любим математику: криптография – это оно!

🔍 Open Source Inteligence

"Я тебя по айпи вычислю!" – с этим вам сюда. Ищем информацию, которая есть или когда-то была в интернете (он у нас помнит все), пробиваем пользователей, учимся правильно пользоваться гуглом и искать точные координаты локации по форме кирпичей и цвету травы. OSINT – это про поиск и анализ. True cyberdetective!

◀️ Обратная разработка

Написали программу и забыли, как она работает? Не проблема – передайте ее реверсеру и он разберется. Это направление целиком про работу с кодом - скомпилированным или сырым. Крутой реверсер становится крутым вирусным аналитиком. Здесь вы научитесь разговаривать с компьютером на языке 0x00101010.

💣 PWN

Когда реверсерсу становится скучно, он идет пывнить. PWN – это про поиск и эксплуатацию бинарных уязвимостей в программном обеспечении. Реверс, работа с памятью, калькулятором 16-ричной системы. Хотели когда-нибудь получить root-права на машине, просто поиграв в змейку? Вам сюда.

🖼 Стеганография

"Видишь послание? Вот и я не вижу. А оно есть". Здесь мы учимся прятать информацию внутри другой информации – текст в картинку, картинку в аудиозапись, аудиозапись в видеозапись, видеозапись в яйцо, яйцо в утку и так далее. Доступ к вашим секретам получит только тот, кто о них знает...ну либо крутой стеганограф🤫

🕵️ Форензика

Логи, дампы, дампы, логи. Анализируем сетевой трафик, дампы памяти и журналы логов, расследуем цифровые преступления, восстанавливаем киллчейны, становимся крутыми DFIR (Digital Forensics and Incident Response) специалистами бесплатно и без регистрации. Хотелось поработать криминалистом и войти в АйТи одновременно? Это сюда ;)


Примерно так выглядит перечень основных категорий CTF ивентов формата Jeopardy. На практике категорий может быть больше, они могут комбинироваться и выстраиваться в один большой квест – это зависит от фантазии разработчика. Со временем ознакомимся с каждым из этих направлений поближе, поковыряем на практике и поможем определиться с тем, что вам интереснее.

Stay tuned и спасибо, что вы здесь! ❤️

☄️Всем привет!☄️

Продолжаем рассказывать интересности для новоприбывших.

В сегодняшнем материале поближе познакомимся с дисциплиной разведки по открытым источникам, или же попросту – OSINT.

Поговорим об используемых инструментах, подходах, применении в карьере, упомянем парочку интересных кейсов и на на практике разберем одну неплохую CTF задачку из данной категории.

А в чатике будет небольшой бонус для заинтересованных, только никому ни слова 🤫

Приятного прочтения! ❤️

#osint #tools #ctf

☄️Всем привет!☄️

Сегодня, 14.10.2024, закончились отборочные на Международные игры по кибербезопаности, во время которых мы похекали буквально все, что могли. В сегодняшней статье разберем первую половину из реализованных нами рисков.

В связи с объемностью материала разбор было решено разбить на две части, и первую из них я представляю вашему вниманию =) Во второй части разберем оставшееся – более жирные риски и более сложные чейны.

Приятного прочтения!🥸

#infra #vskb #pentest

☄️Всем привет!☄️

Привезли вам вторую часть разбора недопустимых событий с отборочных на Международные игры по кибербезопасности.

В сегодняшней статье взломаем википедию, в очередной раз убедимся, почему нельзя доверять службам доставки и выясним, возможно ли все таки выиграть у дилера в казино =)

Приятного прочтения!🥸

#infra #vskb #pentest

☄️Всем привет!☄️

26-27 октября нашей команде довелось принять участие в Кубке CTF России, весело попывнить и пройти в полуфинал.

В рамках соревнований нам очень приглянулись задания из категории Web, именно об одном из них пойдет речь в сегодняшнем материале.

Познакомимся с библиотекой jQuery, построим чейн для эксплуатации cross-domain XSS и узнаем, почему же все-таки лучше держать свое программное обеспечение up-to-date🤔

В одном из следующих материалов ознакомимся со второй задачкой, за которую мы так же получили первую кровь и которая поддалась лишь четырем командам. Но это уже совсем другая история🫡

Приятного прочтения!🥸

#ctf #web #cve

🏆 Без лишних слов подводим итоги финала осеннего сезона Международных игр по кибербезопасности

Таблицу с именами всех победителей ищи на сайте игр. А совсем скоро, вместе с участниками, расскажем, как прошли соревнования и что интересного там было 😎

☄️STANDOFF RED TEAM SCENARIOS☄️

Подошел к концу специальный раунд BRICS CTF – Red Team сценарии на платформе Standoff365.

Красной команде нашего университета предстояло реализовать ряд недопустимых событий – от утечки конфиденциальной информации до полной компрометации доменной инфраструктуры bureau.stf

По итогам соревнований команда с лучшим названием сумела реализовать все критические события и обнаружить все заложенные уязвимости, что позволило занять 4 место и унести приз в размере 110 000 рублей❤️‍🔥

Такие дела🙂

☄️Завершились отборочные на финал Чемпионата России ☄️

В ходе 24-часового состязания более чем 700 участникам предстояло решить 40 задач из различных направлений информационной безопасности.

По результатам соревнований, состав ДВФУ EXE.1sior занял 2 место, решив 37 заданий, а состав DilletanteSquad – 16 место с 26 заданиями.

Поздравляем ребят и желаем удачи на финальном этапе соревнований, который пройдет в декабре! ⚡️

☄️Внимание-внимание! Спасибо за внимание!☄️

Совсем недавно завершился Финал Чемпионата России от Федерации спортивного программирования, где в категории "Информационная безопасность" выступали и показали крутые результаты сразу две команды с нашего университета!

А пока мы ждем официального оглашения результатов, предлагаю вашему вниманию разбор одной из машин, которые мне довелось подготовить к данному мероприятию. Повстречаемся с понижением API, откопаем Arbitrary File Read и раскрутим его до RCE с использованием штатного функционала фреймворка (все легитно).

Ну и, конечно же, ждем результаты =)

✉️ Приятного прочтения!

☄️Завершился финал чемпионата России по программированию систем информационной безопасности☄️

24 часа, 7 категорий, 45 заданий — все это сегодня ждало участников, успешно прошедших отбор 24 ноября

В ходе этого самого настоящего испытания на выносливость команда EXE.1sior из нашего университета заняла почетное 2 место, решив 38 заданий из 45, а команда DilletanteSquad – 10 место с 20 заданиями

Поздравляем ребят и желаем наконец отоспаться после этого тяжелейшего забега! ❤️

☄️niteCTF 2024 – II место☄️

После неприятного инцидента с HacktheBox Binary Badlands мы не отчаялись и решили всем составом принять участие в первом попавшемся соревновании с ctftime🤩

Первым попавшимся соревнованием оказался niteCTF2024, в котором приняло участие более, чем 1100 команд со всего мира.

На протяжении трех дней участникам предстояло решать различные задачи, в том числе в категориях Artificial Intelligence и Hardware Engineering.

По итогам этой спонтанной авантюры, сборной нашего университета удалось занять II место🇷🇺

Битва в топ-5 там была жаркой, уж поверьте – ничего не было ясно наверняка вплоть до самого конца😱

Спасибо всем, что стали частью этих соревнований🏆

#ctf #results

💀 Совсем скоро стартует второй день VIII Кубка CTF!

Мы уже ждем команды на площадке: сегодня представителям Смешанного и Академического зачетов предстоит побороться за выход в завтрашний суперфинал.

Напоминаем, за кого нам предстоит болеть на протяжении всего дня:

Смешанный зачет:

🔵LCD, Москва
🔵smiley-from-telega, Новосибирск, Санкт-Петербург
🔵Drovosec, Москва, Санкт-Петербург
🔵qual3nc3, Москва, Санкт-Петербург, Новосибирск, Екатеринбург
🔵SIGAN, Оренбург, Сорочинск
🔵Omsk&Tulula, Омск, Тула, Москва, Санкт-Петербург, Ачинск
🔵Aqu4r1um, Москва
🔵4Ray, Москва
🔵KA4KAHAPCKuE CyXAPuKu, Москва

Академический зачет:

🔵pwn is 0x12c bucks, МФТИ, Москва
🔵ITMOteam, ИТМО, Санкт-Петербург
🔵dtl, МИФИ, Москва
🔵cR4.sh, МИРЭА, Москва
🔵EXE.1sior, ДВФУ, Владивосток
🔵N0N@me13, АФСО, Орел
🔵Red Cadets, ВКА, Санкт-Петербург
🔵VDNKh, НИУ ВШЭ, Москва
🔵CUT, Центральный университет, Москва
🔵mstuca, МГТУ ГА, Москва

❤️, чтобы пожелать всем участникам удачи!

🎉 New Year is coming 🎉

Небезызвестный праздник уже вот-вот постучится в двери жителям Дальнего Востока, а потому от имени нашего сообщества поздравляем всех с наступающим Новым годом❤️‍🔥

2024 был годом непростым, но весьма насыщенным на события, одним из которых по праву может считаться рождение нашего постепенно растущего комьюнити🥰

В 2025 же году желаем вам всем:
- больше найденных флагов🚩
- меньше реверсов на Go/Rust (he-he)😈
- больше чилловых и интересных тасок🎅
- успешных стажировок 🗒

Да и в целом больших-больших успехов во всех ваших начинаниях❤️

В новом году вас ждет много интересностей, поэтому stay tuned!

🎉С наступающим Новым годом!🎉