PoisonedCredentials — разбор задания с платформы CyberDefenders
Это первый разбор, который мне когда-либо приходилось выкладывать! Задание взято с тренировочной платформы CyberDefenders. Служба безопасности организации обнаружила подозрительную сетевую активность. Предполагается, что в сети могут совершаться атаки, вызывающие отравление LLMNR (локальное...
Три хопа над уровнем неба
Всем привет. Меня зовут Валерий Кузьменков, я аналитик информационной безопасности. О том, чем занимаются аналитики ИБ в Positive Technologies, мы уже рассказывали в этом посте. Я же из тех аналитиков, которые работают с консалтинговыми проектами, поэтому давать прогнозы о том, какие тренды получат...
Устройство кучи для проженных самоваров. Часть 1
В реалиях нашего мира, программисты пользуются ООП и препочитают динамическую память, а не статическую. В нашей жизни, вне CTF, все работает именно в куче, потому что это удобно и практично. Речь пойдет о динамической памяти - куча (heap). Если взглянуть на статистику cvedetails, то можно увидеть,...
Обратный отсчёт пошёл: последний шанс поучаствовать во взломе года
Кого убил Энтони? Время идёт, а правильного ответа до сих пор нет. Это закономерно — никто не обещал, что будет легко. Но моё терпение заканчивается. Я запускаю обратный отсчёт: с этого момента у вас есть ровно сутки, по истечении которых предложение аннулируется. Напоследок хотел сказать лишь...
Раскрой тайну убийства, чтобы присоединиться ко взлому века
Хабр, на этот раз я задумал нечто на самом деле грандиозное – взломать целое государство не пытался еще никто. Детали будут позже, а пока вам нужно знать лишь одно: я ищу помощников. Пройдёте мой тест – получите право присоединиться к команде мечты и пойти на большое дело. Читать дальше →...
Вообще не Noobs: интервью с победителями CyberCamp 2023
В сентябре мы провели CyberCamp 2023, в рамках которого в том числе прошли самые масштабные в России командные соревнования на платформе киберучений. Мы разделили участников на две лиги: корпоративную и студенческую. И в каждой выбрали трех победителей. Команда CyberNoobs заняла первое место в...
CTF как швейцарский нож специалиста
Всем привет, в этой статье мы рассмотрим CTF как некоторый инструмент, в частности такой универсальный швейцарский нож, составляющие которого обозначим следующим образом: 1) CTF как рождение будущего тимлида 2) CTF как шпаргалка HR-у 3) CTF как отладчик руководителя Читать далее...
Экзамен для начинающих. PWN. bookshelf PatriotCTF 2023
Недавно прошел PatriotCTF 2023. Таски хорошие особенно для начинающих. Зацепил меня таск по разделу PWN. Чтобы его решить необходимы знания в: 1. Реверсе 2. ROP-цепочках 3. Базовых понятиях интов 4. Знать что такое переполнение буффера Это экзамен для начинающих, потому что в таске включены все...
Как научить разработчиков писать безопасный код: взгляд хакера
Команды безопасности верят, что создать продукт без уязвимостей можно, внедряя различные инструменты и практики вроде SAST, DAST и WAF. Эти практики помогают выявить уязвимости в уже написанном коде и, возможно, предотвратить их эксплуатацию. Но исправить найденные уязвимости или сделать продукт...
Создание Blockchain CTF: практический опыт
Мы в CyberOK в ходе пентестов очень любим “взламывать” разнообразные инновационные и необычные вещи. Смарт-контракты на блокчейне давно появились на наших радарах, так как они не только предлагают прозрачность, надежность и автоматизацию, но и легко могут стать объектом атак и уязвимостей. В рамках...
Притворись моим покойным дедушкой, или Как пройти квест по взлому спутника
Череп снова в деле! Рассказываем, как прошёл самый крупный CTF (на этот раз космический) от RUVDS. Реальная фотография нашего спутника Если вдруг пропустили — наше космическое событие. Читать дальше →...
Вы были на высоте
Ну что могу сказать… Я впечатлён вашими скиллами, скоростью и командной работой. Взял бы вас себе в напарники, но предпочитаю работать в одиночку. Даже немного неловко, что пришлось использовать вас для отвлечения внимания RUVDS, пока забирал крипту со спутника. Так что теперь вам осталось только...
Хакните спутник и заработайте 0.1 BTC
Привет, Хабр! Вы, наверное, читали, что недавно RUVDS отправили свой спутник-сервер в космос. Это само по себе интересно, но есть ещё одна интересность. Оказывается, он хранит зашифрованные данные от криптокошельков — и я предлагаю вам сыграть в игру, которую мы разработали с Positive Technologies,...
Разбор конкурса Wireless Fuzzy Frenzy на PHDays 12
Приветствую всех технических энтузиастов и отдельно — участников соревнования Wireless Fuzzy Frenzy, которое было проведено в рамках ежегодного фестиваля практической кибербезопасности PHDays 12. Пришла пора раскрыть карты и разобрать детально, с чем пришлось бы столкнуться тебе, если бы ты был в...
Как устроен CTF: соревнование, где каждый может побыть хакером
Совсем скоро пройдет IT’s Tinkoff CTF для ИТ-специалистов. У нас уже готов сайт, где вы можете узнать подробности и зарегистрироваться, но это еще не все. Для тех, кто пока не знаком с таким форматом соревнований, мы подготовили эту статью. В ней мы расскажем, что такое CTF, и разберем тестовое...
Рик, Морти и CTF
Всем здравствуйте! В данной статье будем разбираться с машинкой Pickle Rick с сайта Try Hack Me. В ходе решения разберем достаточно популярные и часто используемые инструменты, которые точно пригодятся начинающему CTFеру, пентестеру и просто интересующемуся безопасностью. На повестке у нас nmap для...
Как прошёл чемпионат RuCTF глазами победителей
Всем привет! На днях закончился пятнадцатый сезон студенческого чемпионата по кибербезопасности RuCTF 2023, который активно поддерживала VK. В чём суть соревнования: в начале игры команды получают идентичные серверы с предустановленным набором уязвимых сервисов. Задача участников — найти...
Writeup HTB machine «Inject» [easy]
Подробный разбор решения HTB машины "Inject" Читать далее...