CTF

Xakep #246
ВзломДля начинающих

Где учиться пентесту. Обзор площадок для практики навыков этичного хакера

В этой статье мы выясним, какие площадки позволяют оттачивать мастерство взлома и ценятся специалистами по безопасности. Они позволяют этичным хакерам быть этичными до последнего, при этом не терять хватку, регулярно практиковаться со свежими уязвимостями и оставаться в рамках закона.

Xakep #245
ВзломХардкор

Неправильный CTF. Одноразовые пароли, буйство LDAP-инъекций и трюки c архиватором 7z

Сегодня мы пройдем виртуальную машину CTF с Hack The Box. Машина уязвима к разному типу LDAP-инъекций, использует генератор одноразовых паролей stoken в качестве механизма аутентификации и содержит небрежно написанный скрипт на Bash, с помощью которого мы обманем архиватор 7z и получим root.

Xakep #245

Полет в стратосферу. Ломаем Struts через Action-приложение и мастерим Forward Shell

В этой статье я покажу, как получить рут на виртуалке Stratosphere с CTF-площадки [Hack The Box](https://www.hackthebox.eu/). На этот раз мы повоюем с фреймворком Apache Struts для получения RCE, рассмотрим в действии редко обсуждаемую, но очень полезную концепцию получения удаленной сессии Forward Shell, а также поиграем с угоном библиотеки и эксплуатацией функции `eval()` для скрипта на Python.

Xakep #244
ВзломХардкор

Аппаратный CTF. Легкий способ узнать ключ шифрования, когда у тебя под рукой осциллограф и ноутбук

Хардварные crackme в этом сезоне снова набирают популярность. Их полюбили организаторы профильных конференций, и они все чаще встречаются в тематических конкурсах. В этой статье мы разберем один из реальных прошлогодних примеров и заодно узнаем, как выглядит атака по энергопотреблению на ключ шифрования устройства.

Xakep #244
ВзломХардкор

Великий пакостник. Пробираемся через дебри IPv6 к root-флагу виртуалки с Hack The Box

В этой статье я покажу, как получить права суперпользователя на виртуальной машине Mischief с CTF-площадки Hack The Box. Этот забег даст нам навыки работы с протоколом SNMP, приоткроет завесу тайны IPv6-маршрутизации, поможет разобраться с механизмом распределения прав доступа ACL, а под занавес мы построим и протестируем полноценный ICMP-шелл на Python.

Xakep #243

Укрощение Kerberos. Захватываем Active Directory на виртуальной машине с HackTheBox

В этой статье я покажу, как пройти путь с нуля до полноценного администратора контроллера домена Active Directory, а поможет нам одна из виртуалок, доступных для взлома на CTF-площадке HackTheBox. Пусть это и не самая сложная машина, но овладеть навыками работы с AD крайне важно, если ты собираешься пентестить корпоративные сети.

Xakep #234

Private_problem. Разбираем сложное задание на реверс и форензику с CTFZone 2018

Закончился онлайновый этап ежегодных соревнований CTFZone, которые проходят уже третий год подряд. Лучшие десять команд отборочного тура приглашены на финал CTFZone 2018, который состоится на конференции OFFZONE в ноябре. Здесь же мы разберем одно из наиболее сложных заданий онлайнового этапа — задание на реверс и форензику под названием private_problem.

ICTF 2017. Как команда Bushwhackers из МГУ выиграла международное хакерское соревнование

3–4 марта 2017 года проходили ежегодные соревнования по информационной безопасности iCTF, которые организует команда Shellphish из университета Санта-Барбары (UCSB). Второй год подряд эти соревнования выигрывает наша команда Bushwhackers — команда, из студентов и выпускников факультета вычислительной математики и кибернетики МГУ. Сегодня мы расскажем о том, как это было :).

Xakep #217

Взломай Атлантиду! Распутываем загадки RuCTFE 2016 с командой создателей

Перед тобой шесть сервисов из мира Атлантиды. Каждый из них содержит ключи — флаги. Если найдешь все ключи, то разгадаешь секрет Атлантиды и получишь награду. К счастью, все сервисы уязвимы, содержат различные баги и их можно взломать. В этой статье мы шаг за шагом разберем эксплуатацию уязвимостей сервисов Атлантиды, которые нам приготовила команда HackerDom в рамках RuCTFE!

Xakep #209

CTF: Capture the Flag. Как взлом стал спортивным состязанием

Capture the Flag (CTF) — это игра, в которой участники пытаются захватить флаг противников и защитить свой. Популярной ее сделали командные шутеры вроде Quake и Team Fortress, но в какой-то момент хакерам пришла идея спроецировать CTF на информационную безопасность. О том, как выглядит результат, и пойдет речь в этой статье.

«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
7690 р.
на год
720 р.
на месяц
90 р.
за 1 статью

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook

Еженедельный дайджест

Статьи для подписчиков