Когда добрался до RCE и хочется сделать его более-менее комфортным для работы, в ход идут "шеллы". Два классических способа: reverse shell и bind shell. Разница простая, но важная.
Reverse shell — жертва сама инициирует подключение.
Мы на своей машине поднимаем listener, а эксплойт на целевой машине запускает исходящее соединение, в котором нам вручают удалённую консоль.
Удобно, если жертва сидит за NAT'ом или фаерволом.
Часто — единственный рабочий вариант.
Bind shell — жертва открывает порт и ждёт, когда мы к ней подключимся.
Мы как бы стучимся в открытую дверь, которую сами же для себя и открыли.
Работает, если у цели белый IP и доступ извне ничем не закрыт.
На практике — редкость, особенно в проде.
nc, ncat, socat
Metasploit
One-liners на bash, Python, Perl, PowerShell
Фича:
Если хочется, чтобы в полученном шелле нормально работали стрелочки и хоткеи, нужно подсадить его на стероиды:
<ловим реверс-шелл>
python3 -c "import pty; pty.spawn('/bin/bash')"
ctrl+z
stty raw -echo
fg
export TERM=xterm
После таких манипуляций реверс-шелл практически ничем не будет отличаться от обыкновенного терминала. Enjoy ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤🔥2❤2🦄1
Forwarded from VKACTF [Новости]
Добро пожаловать в эру цифровой безопасности, товарищ!
Граждане! Система цифровой обороны Отечества выходит на принципиально новый виток развития.
Теперь каждый обязан примкнуть к программе по всеобщей полимеризации...
...или, говоря простым языком — участию в VKACTF 2025
🧠 Только представьте: тысячи умов, объединённых в единую сеть.
Вас ждёт интеллектуальное поле боя, где не помогут ни дубинка, ни штамп — только мозг, логика и креатив!
🇷🇺 Общий зачет — для студентов вузов России.
🪖 Специальный зачет — для курсантов вузов силовых структур РФ.
🏆 Призы?
А их можно найти на сайте анонса
https://vkactf.ru/
Подключайся:
Пора включиться в Коллектив 2.0, товарищ. Защита будущего — в твоих руках.
VKACTF 2025. Твоя полимеризация начинается.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👍1
Forwarded from Standoff 365
😱 Кажется, начинается... Кибербитва Standoff 15 стартует уже на следующей неделе!
С 21 по 24 мая в «Лужниках» во время PHDays Fest состоится международная кибербитва Standoff 15, которая объединит более 40 команд атакующих и защитников из 18 стран.
На кону красных — $50 000 и статус сильнейших белых хакеров.
На кону синих — прокачка навыков на живых атаках и бесценный опыт.
Что ждет участников:
✈️ Семь отраслей вирутального государства F, включая две новые, — металлургия, энергетика, нефтегазовая отрасль, банковский сектор, городская среда, авиация и логистика.
🤜 Красные попробуют реализовать более 120 критических событий, а синие будут участвовать в режимах расследования и реагирования (в этом году останавливать кибератаки будет больше команд).
🔥 Мы подготовили обновленную визуализацию: в виртуальном мире все будет похоже на игру, а в физическом реальные последствия кибератак можно будет увидеть своими глазами на макетах отраслей с интерактивным полом и мегаэкраном.
🤝 Но Standoff 15 — это не только про кибербитву. Это еще и про людей и коммьюнити: это твой шанс встретиться с теми, кого знаешь только по никам, пожать руку легендам, завести новые знакомства, обменяться опытом и хорошо потусить.
💬 Чтобы не пропустить самое интересное, смотрите расписание кибербитвы на сайте. И следите за анонсами — скоро расскажем больше о том, что можно будет увидеть в зоне Standoff.
❗️Вход в зону Standoff, которая будет располагаться в отдельном шатре, возможен только по билетам PHDays Fest с 22 мая❗️
С 21 по 24 мая в «Лужниках» во время PHDays Fest состоится международная кибербитва Standoff 15, которая объединит более 40 команд атакующих и защитников из 18 стран.
На кону красных — $50 000 и статус сильнейших белых хакеров.
На кону синих — прокачка навыков на живых атаках и бесценный опыт.
Что ждет участников:
✈️ Семь отраслей вирутального государства F, включая две новые, — металлургия, энергетика, нефтегазовая отрасль, банковский сектор, городская среда, авиация и логистика.
🔥 Мы подготовили обновленную визуализацию: в виртуальном мире все будет похоже на игру, а в физическом реальные последствия кибератак можно будет увидеть своими глазами на макетах отраслей с интерактивным полом и мегаэкраном.
❗️Вход в зону Standoff, которая будет располагаться в отдельном шатре, возможен только по билетам PHDays Fest с 22 мая❗️
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍1
Forwarded from CyberED
One Task of the Month: расследуем, как профи
Готовы проверить, как далеко вы продвинулись в форензике?
23 мая стартует новый этап турнира One Task of the Month — и на этот раз всё по-взрослому: вы берете на себя роль эксперта по цифровой криминалистике и проводите настоящее расследование инцидента.
Задачу подготовили специалисты из сообщества Authority — будет не просто “посканить”, а действительно подумать, как работает форензика в бою.
➖ Если хотите прокачать скилл в реальных условиях
➖ Если любите неочевидные кейсы
➖ Если готовы показать, на что вы способны
🚩 Отправляем флаг на нашем сайте: one-task.cyber-ed.ru
👉 Присоединяйтесь к чату турнира, чтобы не пропустить старт, и разберите кейс, как это делают в расследованиях на миллионы: t.iss.one/CyberEd_CTF_chat
Готовы проверить, как далеко вы продвинулись в форензике?
23 мая стартует новый этап турнира One Task of the Month — и на этот раз всё по-взрослому: вы берете на себя роль эксперта по цифровой криминалистике и проводите настоящее расследование инцидента.
Задачу подготовили специалисты из сообщества Authority — будет не просто “посканить”, а действительно подумать, как работает форензика в бою.
🚩 Отправляем флаг на нашем сайте: one-task.cyber-ed.ru
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Standoff 365
Теперь не кажется... Кибербитва Standoff 15 началась! 🔥
Привет вам передает Иван Булавин (aka BooL), CPO Standoff. Увидеть все своими глазами ты сможешь уже завтра в «Лужниках» на PHDays Fest (но не забудь билет, без него не пустят).
Следить за ходом кибербитвы можно на сайте. Итогами дня будем делиться в нашем канале.
Привет вам передает Иван Булавин (aka BooL), CPO Standoff. Увидеть все своими глазами ты сможешь уже завтра в «Лужниках» на PHDays Fest (но не забудь билет, без него не пустят).
Следить за ходом кибербитвы можно на сайте. Итогами дня будем делиться в нашем канале.
🔥5
Со стороны Red Team – THREAT x LaCringe – объединение состава LaCringe с их друзьями
SmartApes — новоиспеченный состав, уже проявивший себя в финале международных игр.
Со стороны синих выступают FEFU EXE1sior.
Пожелаем ребятам удачи!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22🔥5⚡2
Forwarded from antiSOCial
Итак, я к вам с лютым подгоном 😎
Мой хороший друг и сокомандник Валера @d1sgr4c3 выступал вчера на пыхе с докладиком на тему перехвата управления в ядре Linux👾
Если не видели, то вот 👉👈
Выступление: https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&searchString=%D0%92%D0%B0%D0%BB%D0%B5%D1%80&talk-id=2290
Потыкаться самому: https://github.com/d1sgr4c3/boffer
Мой хороший друг и сокомандник Валера @d1sgr4c3 выступал вчера на пыхе с докладиком на тему перехвата управления в ядре Linux
Если не видели, то вот 👉👈
Выступление: https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&searchString=%D0%92%D0%B0%D0%BB%D0%B5%D1%80&talk-id=2290
Потыкаться самому: https://github.com/d1sgr4c3/boffer
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4🔥3
Немного запоздалый репортаж с арены Standoff 15.
Вот вам фотокарточки инфраструктуры, которую мы старательно ломали последние 4 дня😈
Вот вам фотокарточки инфраструктуры, которую мы старательно ломали последние 4 дня
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17🍌1
Forwarded from Standoff 365
🏁 Итоги кибербитвы Standoff 15
Четыре дня противостояния завершились. Победители — награждены, бесценный опыт — получен!
🏆 Команды, разделившие призовой фонд в $50 000
1️⃣ Семикратным чемпионом кибербитвы Standoff стала DreamTeam (195 388 баллов). Приз за первое место — $20 000
2️⃣ FR13NDS & RHACKERS (127 466 баллов) — $10 000
3️⃣ Dataeli&only_f4st (103 870 баллов) — $5000
4️⃣ Cyb7rC0d3# (101 128 баллов) — $2500
5️⃣ cR4․sh (97 893 балла) — $2000
6️⃣ SPbCTF (89 219 баллов) — $1500
7️⃣ T.H.R.E.A.T. x LaCringe (67 745 баллов) — $1000
8️⃣ ChiLL Chain (58 540 баллов) — $500
Еще 7500 $ распределено между победителями специальных номинаций от жюри и технической команды кибербитвы.
За четыре дня 31 команда атакующих реализовала 383 критических события, из них 61 уникальное (почти половина из 123 возможных), и обнаружила 924 уязвимости (для сравнения: на Standoff 13 на прошлом PHDays Fest — 241).
Результаты защитников
Семь отраслей виртуального Государства F защищали 12 команд, 4 из которых работали в режиме реагирования (отмечены 🛡).
🛢 Нефтегаз
• BB (25 расследований, 98 обнаруженных инцидентов)
• Ctrl+Alt+Defend (57 расследований, 302 обнаруженных инцидента)
• LogCrushers (13 расследований, 72 обнаруженных инцидента)
• RubyTeam (5 расследований, 109 обнаруженных инцидентов)
✈️ Авиация
• IDDQD Junior (46 расследований, 190 обнаруженных инцидентов)
• ReKad Team (39 расследований, 121 обнаруженный инцидент)
• Жаным }|{aHblm (51 расследование, 132 обнаруженных инцидента)
🏦 Банковский сектор
• B0dyContainS (70 расследований, 21 обнаруженный инцидент)
🏙 Городская среда
🛡 Grep_Tribe (37 расследований, 186 обнаруженных инцидентов, из которых 143 предотвращены)
🚚 Логистика
🛡 Your_shell_not_pass (3 расследования, 53 обнаруженных инцидента, из которых 48 предотвращены)
🏭 Металлургия
🛡 Busy Beavers (20 расследований, 119 обнаруженных инцидентов, из которых 69 предотвращены)
🔌 Энергетика
🛡 GreenWallTeam АО «Гринатом» (13 расследований, 355 обнаруженных инцидентов, из которых 175 предотвращены)
Подробнее об итогах — на нашем сайте.
Четыре дня противостояния завершились. Победители — награждены, бесценный опыт — получен!
🏆 Команды, разделившие призовой фонд в $50 000
1️⃣ Семикратным чемпионом кибербитвы Standoff стала DreamTeam (195 388 баллов). Приз за первое место — $20 000
2️⃣ FR13NDS & RHACKERS (127 466 баллов) — $10 000
3️⃣ Dataeli&only_f4st (103 870 баллов) — $5000
4️⃣ Cyb7rC0d3# (101 128 баллов) — $2500
5️⃣ cR4․sh (97 893 балла) — $2000
6️⃣ SPbCTF (89 219 баллов) — $1500
7️⃣ T.H.R.E.A.T. x LaCringe (67 745 баллов) — $1000
8️⃣ ChiLL Chain (58 540 баллов) — $500
Еще 7500 $ распределено между победителями специальных номинаций от жюри и технической команды кибербитвы.
За четыре дня 31 команда атакующих реализовала 383 критических события, из них 61 уникальное (почти половина из 123 возможных), и обнаружила 924 уязвимости (для сравнения: на Standoff 13 на прошлом PHDays Fest — 241).
Результаты защитников
Семь отраслей виртуального Государства F защищали 12 команд, 4 из которых работали в режиме реагирования (отмечены 🛡).
🛢 Нефтегаз
• BB (25 расследований, 98 обнаруженных инцидентов)
• Ctrl+Alt+Defend (57 расследований, 302 обнаруженных инцидента)
• LogCrushers (13 расследований, 72 обнаруженных инцидента)
• RubyTeam (5 расследований, 109 обнаруженных инцидентов)
✈️ Авиация
• IDDQD Junior (46 расследований, 190 обнаруженных инцидентов)
• ReKad Team (39 расследований, 121 обнаруженный инцидент)
• Жаным }|{aHblm (51 расследование, 132 обнаруженных инцидента)
🏦 Банковский сектор
• B0dyContainS (70 расследований, 21 обнаруженный инцидент)
🏙 Городская среда
🛡 Grep_Tribe (37 расследований, 186 обнаруженных инцидентов, из которых 143 предотвращены)
🚚 Логистика
🛡 Your_shell_not_pass (3 расследования, 53 обнаруженных инцидента, из которых 48 предотвращены)
🏭 Металлургия
🛡 Busy Beavers (20 расследований, 119 обнаруженных инцидентов, из которых 69 предотвращены)
🔌 Энергетика
🛡 GreenWallTeam АО «Гринатом» (13 расследований, 355 обнаруженных инцидентов, из которых 175 предотвращены)
Подробнее об итогах — на нашем сайте.
🔥6
В пятницу прошел отборочный этап соревнований FarEast CTF 2025.
По его итогам сразу две команды ДВФУ прошли в финальную стадию:
- EXE.1sior- l3g3nd4ry t4bl3 #7 Следующий семестр у ребят начнется с поездки на финал
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12❤🔥6🍌4🦄1