🤔 Хакер-челлендж

Сценарий: обычный пользователь ctfuser на Linux-VM (пароль ctfpass123`). На VM есть устаревшие пакеты и ошибочные конфигурации.

Цель — поднять привилегии до `root и прочитать /root/flag.txt.

Ключевые факты:

* В системе есть несколько SUID-бинарников.

* В `/etc/cron.d/` есть cron, который вызывает скрипт от root; сам скрипт хранится в директории, куда `ctfuser` может писать.

* Работает локальный daemon, слушающий только 127.0.0.1.

* Установлены старые пакеты — возможен известный локальный CVE.

* В домашней директории `ctfuser` есть `backup/old_script.sh` и `.bash_history` с намёками.

❗ Подсказка: начните с enumeration — sudo -l, find / -perm -4000 -type f, просмотрите cron'ы и права на скрипты.

❓ Какой вектор атаки наиболее эффективен для получения root/флага? Голосуйте эмодзи:

🔥 — SUID-эксплойт: найти SUID-бинарник, позволяющий исполнить shell/прочитать файлы root

👾 — Cron + writable script: подменить root-скрипт, который запускается по cron

❤️ — Sudo misconfig: NOPASSWD или небезопасные шаблоны в sudoers дают shell

🐸 Библиотека хакера

#ctf_challenge

😁

🐸 Библиотека хакера

#hack_humor

😺 Великобритания приговорила королеву биткоинов

47-летняя Чжиминь Цянь получила 11 лет 8 месяцев за отмывание крипты из крупнейшей китайской пирамиды.

🎥 Ущерб — 7,3 млрд $, пострадало 130 000 человек. Полиция изъяла 61 000 BTC — крупнейшую криптоконфискацию в истории страны (сейчас ~5,5 млрд фунтов).

Цянь жила в Лондоне под чужим именем, снимала элитный особняк и пыталась отмывать криптовалюту через недвижимость.
Задержали её в 2024 году после семи лет расследования.

Судьба конфискованных биткоинов пока не определена.

📎 Источник

🐸 Библиотека хакера

#patch_notes