Перед началом разбора хочу отметить, что это один из моих первых writeup'ов в рамках сезонного ивента Season of the Gacha на HackTheBox. Машина Gavel оказалась весьма интересной и познавательной, но также она заставляет немного приложить усилий, терпения и логики. Не скажу, что у меня не было проблем с прохождением, но я думаю, что испытал внутреннее удовлетворение после прохождении, давайте приступим!
Всем привет!
Погружаюсь в новую для себя область AI Security, в связи с чем решил написать несколько обзоров на самые обсуждаемые исследования и статьи по этой теме. Сегодня поговорим про взлом LLM и неожиданные выводы исследования StrongReject.
2 октября 2025 года состоятся Студенческий день форума по информационной безопасности и ИТ GIS DAYS (Global Information Security Days). Насыщенная программа включала в себя Киберарену, CTF-соревнования, доклады партнёров мероприятия, мастер-классы, концерт. Студенты знакомились с представителями вузов на стендах, общались с ведущими экспертами в сфере ИБ, получали подарки за участие в различных активностях и слушали музыкальный проект компании «Газинформсервис». Более 1500 молодых специалистов заполнили пространство «Севкабель Порта» в Санкт-Петербурге, показав высокий интерес к мероприятию.
Всем привет! Меня зовут Ян, я старший специалист по пентестам в компании Xilant. Сегодня предлагаю вместе разобраться с довольно сложным CTF-заданием, посвящённому слепой LDAP-инъекции (Blind LDAP Injection).
Оно будет особенно интересным, ведь его смогли решить всего около 50 человек из примерно 500. Мне удалось получить флаг одним из первых десяти участников — за 2 часа, причём без глубокого опыта работы с LDAP протоколами.
Решение и код лежат также на моём Github (ни один чат-бот не пострадал).
Привет, Хабр! На связи @mirez, в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных в сегменте Standalone на Standoff Hackbase. Нашей целью была система контроля посетителей PassOffice.
Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода.
Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.
Задачка с Offzone 2025 натолкнула на мысль составить свой маленький букет «этюдов» на тему «partial PEM private key» (закрытый ключ с неполной информацией в формате PEM-файла). Будем рассматривать CTF-задачки по восстановлению закрытых ключей популярной криптосистемы RSA.
Привет! Расскажу, как не-хакеру удалось решить CTF таски и залутать призы на сцене главной хакерской конференции OFFZONE.
Меня зовут Пётр Покаместов, я руковожу проектами по пентесту в Singleton Security — общаюсь с клиентами, распределяю загруз коллег, провожу презентации отчётов, а также занимаюсь развитием партнерского направления. Когда есть кислород от проектов - люблю покреативить: сделать компании стикеры и т.д. Постоянно экспериментирую с различными нейронками, так как интересно увидеть возможности, границы, области применения и наблюдать их развитие.
Параллельно преподаю в Бауманке форензику. До прихода в Singleton руководил лабораторией криминалистики и eDiscovery.
C учетом креативных хобби, обожаю ходить на конференции и не мог пропустить Offzone.
Вечером после первого дня офзона пришло уведомление от бота Wildberries, что если хотите — можете решить наши CTF задания и написать коннектор.
Привет хабр!
Про ИИ-агентов сейчас говорят везде, от статей до технических отчётов. Но одно дело теория, и совсем другое практика. Поэтому я решил провести небольшой эксперимент, взять новый инструмент CAI и проверить, справится ли он с популярными учебными задачами по пентесту.
В этой статье расскажу о своём небольшом тесте open-source проекта CAI (Cybersecurity AI) от компании Alias Robotics, анонсированного 28 мая 2025 года.
Эксперты Solar 4RAYS составили CTF-задачи по реверсу, вебу, форензике и OSINT для участников конференции OffZone — профессионалов, студентов и любителей кибербезопасности. Есть те, что решаются за полчаса, а есть те, над которыми придется поломать голову. За правильное решение участники получали валюту — оффкоины, которую могли потом поменять на мерч на стенде «Солара».
Мы хотим поделиться этой возможностью с нашими подписчиками. Готов принять вызов опытных экспертов кибербезопасности и выиграть брендированный подарок от «Солара»? Тогда поспеши: задания доступны до 1 сентября!
Полагаю, что большинство читателей знают, о том, что команда sudo может быть использована для выполнения других команд с правами другого пользователя, которым обычно является root.
В этом разборе подробно рассматривается решение седьмого задания, сочетающего реверс-инжиниринг и анализ .NET Native AOT-приложения, создание FLIRT-сигнатур и криптоанализ эллиптической кривой.
Порядок генераторной точки оказался составным, что позволило применить метод Полига–Хеллмана и восстановить приватные ключи. После расшифровки сетевого трафика был извлечён флаг.
Эта задача удачно объединяет технический анализ исполняемого файла с практическим применением методов криптоанализа.
Всем привет!
Это уже 5-й блок заданий из серии Starting Point. В нем вкратце разберем протокол RDP.
Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Машинное обучение применяется везде: модели советуют врачам лекарства, помогают банкам ловить мошенников и пишут код вместо программистов. Проблемы с безопасностью в таких системах могут стоить денег, данных и репутации. Поэтому с 2019 года на конференции по безопасности PHDays мы проводим отдельный AI Track, а в рамках него — AI CTF, соревнование по взлому ML-систем.
Месяц назад мы провели AI CTF 2025 и хотим рассказать, какие задания мы придумали для участников, и какие атаки на AI и ML в них нужно было провернуть. На AI CTF 2025 было 14 заданий разного уровня и тематики, и 40 часов на их решение. В первой части мы с авторами разберем 8 заданий — те, что попроще.
Доброго времени суток!
Продолжаем цикл статей по Starting Point платформы HTB Labs. Тут мы поговорим про такую базу данных, как Redis.
Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Доброго времени суток!
В этой статье мы подробно рассмотрим работу с протоколом SMB (Server Message Block) . Мы узнаем, как работать с этим протоколом и в конце попробуем добраться до флага.
Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Доброго времени суток всем!
Это вторая статья из серии Starting Point на HackTheBox. В ней попробуем разобраться в работе FTP-протокола и выполним несложные задачи.
Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Начнем цикл статьей по HackTheBox - Starting Point. Где практическим путем обучают основам пентеста.
Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Решал я таски на Root-Me и попалась таска XMPP - authentication. Основная цель таски состояла в том, чтобы по захвату пакетов вытащить пароль, который использовался при аунтефикации и я начал искать документацию к тому, как работает аунтефикация клиента.
Внимание!!!
В статье показано пошаговое решение модуля Network Enumeration with Nmap. Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Будем останавливаться на темах, в которых есть задачи...
Внимание!!!
В статье показано пошаговое решение модуля Getting Started. Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Я такой же, как и вы, начинающий специалист в сфере пентеста. Не судите слишком строго!
Задание:
1. Создайте цель, закрепитесь и отправьте содержимое флага user.txt.
2. После получения доступа к цели, повышайте привилегии, чтобы укорениться и представить содержимое флага root.txt.
