Как стать автором
Обновить
9.98

CTF *

Командные соревнования по инфобезу в формате CTF

Сначала показывать
Порог рейтинга
Уровень сложности

Flare-On 11: Task 7 (2024) – Анализ и криптовзлом

Уровень сложностиСредний
Время на прочтение39 мин
Количество просмотров294

В этом разборе подробно рассматривается решение седьмого задания, сочетающего реверс-инжиниринг и анализ .NET Native AOT-приложения, создание FLIRT-сигнатур и криптоанализ эллиптической кривой.
Порядок генераторной точки оказался составным, что позволило применить метод Полига–Хеллмана и восстановить приватные ключи. После расшифровки сетевого трафика был извлечён флаг.
Эта задача удачно объединяет технический анализ исполняемого файла с практическим применением методов криптоанализа.

Читать далее

Новости

HackTheBox Labs (Starting Point) — Exploison

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров756

Всем привет!
Это уже 5-й блок заданий из серии Starting Point. В нем вкратце разберем протокол RDP.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Читать далее

Разбор заданий AI CTF на Positive Hack Days Fest. Часть 1

Уровень сложностиСредний
Время на прочтение30 мин
Количество просмотров1.5K

Машинное обучение применяется везде: модели советуют врачам лекарства, помогают банкам ловить мошенников и пишут код вместо программистов. Проблемы с безопасностью в таких системах могут стоить денег, данных и репутации. Поэтому с 2019 года на конференции по безопасности PHDays мы проводим отдельный AI Track, а в рамках него — AI CTF, соревнование по взлому ML-систем.

Месяц назад мы провели AI CTF 2025 и хотим рассказать, какие задания мы придумали для участников, и какие атаки на AI и ML в них нужно было провернуть. На AI CTF 2025 было 14 заданий разного уровня и тематики, и 40 часов на их решение. В первой части мы с авторами разберем 8 заданий — те, что попроще.

Читать далее

HackTheBox Labs (Starting Point) — Redeemer

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров337

Доброго времени суток!

Продолжаем цикл статей по Starting Point платформы HTB Labs. Тут мы поговорим про такую базу данных, как Redis.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Читать далее

HackTheBox Labs (Starting Point) — Dancing

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров662

Доброго времени суток!
В этой статье мы подробно рассмотрим работу с протоколом SMB (Server Message Block) . Мы узнаем, как работать с этим протоколом и в конце попробуем добраться до флага.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Читать далее

HackTheBox Labs (Starting Point) — Fawn

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров551

Доброго времени суток всем!
Это вторая статья из серии Starting Point на HackTheBox. В ней попробуем разобраться в работе FTP-протокола и выполним несложные задачи.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Читать далее

HackTheBox Labs (Starting Point) — Meow

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров998

Начнем цикл статьей по HackTheBox - Starting Point. Где практическим путем обучают основам пентеста.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Читать далее

Анатомия безопасности XMPP

Уровень сложностиСложный
Время на прочтение6 мин
Количество просмотров1.3K

Решал я таски на Root-Me и попалась таска XMPP - authentication. Основная цель таски состояла в том, чтобы по захвату пакетов вытащить пароль, который использовался при аунтефикации и я начал искать документацию к тому, как работает аунтефикация клиента.

Читать далее

HTB Academy — Network Enumeration With NMAP — Решение задач

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров478

Внимание!!!

В статье показано пошаговое решение модуля Network Enumeration with Nmap. Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Будем останавливаться на темах, в которых есть задачи...

Читать далее

HTB Academy — Getting Started — Knowledge Check (Проверка знаний)

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров514

Внимание!!!

В статье показано пошаговое решение модуля Getting Started. Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Я такой же, как и вы, начинающий специалист в сфере пентеста. Не судите слишком строго!

Задание:

1.  Создайте цель, закрепитесь и отправьте содержимое флага user.txt.
2. После получения доступа к цели, повышайте привилегии, чтобы укорениться и представить содержимое флага root.txt.

Читать далее

Cryptohack. Решение Oh SNAP. Атака Флюрера-Мантина-Шамира (Fluhrer, Mantin, Shamir)

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров526

Приветствую, Хабр! В нескольких предыдущих статьях я рассматривал различные режимы шифрования для блочных шифров, постепенно сдвигаясь в сторону режимов, превращающих блочные шифры в потоковые. В новой статье в фокусе будет чисто потоковый шифр - RC4. Я расскажу о самом шифре, а также об атаке FMS и применении её для решения задачи Oh, SNAP с платформы Cryptohack.

Читать далее

Безопасность ИИ на практике: разбор заданий AI CTF на Positive Hack Days Fest 2

Уровень сложностиСложный
Время на прочтение38 мин
Количество просмотров1.7K

Чем больше систем работают на основе машинного обучения, тем критичнее становится вопрос их безопасности. Умные технологии всё больше окружают нас, и сложно отрицать важность этой темы. С 2019 года на конференции PHDays мы проводим соревнование по спортивному хакингу AI CTF, нацеленное на атаки систем, построенных на машинном обучении. Соревнование проходит в рамках AI Track — направления с докладами на Positive Hack Days, где эксперты в области информационной безопасности делятся опытом применения машинного обучения как для offensive, так и для defensive задач. В 2023 году мы поэкспериментировали с форматом, создав квест-рум, где участникам нужно было обойти три фактора защиты, чтобы выбраться. Однако, прислушавшись к многочисленным просьбам сообщества, мы решили вернуться к нашему традиционному формату CTF.

Читать далее

Codeby.Games. CTF TASK «ТЕТРИС»/«TETRIS»

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров599

Приветствую всех любителей CTF и этичного хакинга на стороне Red Team! В этой статье мы рассмотрим прохождение легкого таска "ТЕТРИС", разработанного пентестерами из команды Codeby.Games.

Справка: codeby.games - отечественный условно бесплатный веб-проект, где каждый может попрактиковаться в оттачивании навыков наступательной кибербезопасности. Таски (задания) представлены в широком спектре: начиная от использования методов OSINT и заканчивая компрометацией учебного домена Active Directory. CTF разделяются на три группы - "Легкий", "Средний", "Сложный" в различных категориях. Но подробнее об этом - на официальном сайте проекта.

Задание "Тетрис" находится в категории "Веб". Категория посвящена оттачиванию практических навыков в рамках OWASP Top 10. Цель этого задания - получить доступ к панели администратора веб-приложения и захватить флаг.

Общий план решения CTF выглядит так:

Читать далее

Ближайшие события

Дебаг на Silicon

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров592

В статье рассматривается проблема установки gdb и дебага на Apple Silicon чипах в целом. Анализ с сбор воедино всей информации и подходов , что попробовал автор, помогли прийти к простому решению данной проблемы.

Читать далее

Cobalt Strike: Гайд по использованию

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров4.8K

В данной статье представлен краткий гайд по установке и настройке Cobalt Strike на KaliLinux, а также рассмотрен пример атаки на ПК под управлением OS Windows 10.

Читать далее

Cryptohack. Решение Logon zero

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров838

Приветствую, Хабр! Я к вам возвращаюсь с новой статьёй о режимах шифрования и решении задачи с Cryptohack. Сегодня в центре внимания будет режим CFB-8 и уязвимость CVE-2020–1472.

Читать далее

Cryptohack. Решение CTRIME

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров710

Приветствую, Хабр! Я продолжаю освещать режимы шифрования блочных шифров и сегодня расскажу про режим CTR (Counter), а также разберу решение задачи CTRIME, в которой этот режим используется. При этом в задаче напрямую не используется уязвимость самого режима шифрования, решение будет построено на основе уязвимости CRIME. Впрочем, про уязвимость в CTR я тоже расскажу.

Читать далее

CTF и нейросети: опыт решения задач по кибербезопасности с помощью ИИ

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров2K

Всем привет!
Меня зовут Глеб Санин, аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар». В этой статье я попробовал разобраться, поможет ли ИИ в решении заданий на CTF-турнирах и с какими ограничениями можно столкнуться в моменте.

О будущем использовании ИИ в CTF, как улучшить взаимодействие человека и «машины» и об этике использования ChatGPT подискутируем в комментариях.

Читать далее

Cryptohack. Решение Flipping Cookie, Lazy CBC

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров643

Приветствую, Хабр! В новой статье я продолжаю рассказывать о слабых местах режима шифрования CBC и разбираю ещё парочку задач на CBC с Cryptohack. Конкретно сегодня поговорим о том почему использование ключа в качестве инициализирующего вектора может быть плохой идеей и ещё раз посмотрим на трюк из предыдущей статьи, где мы манипулировали шифротекстом чтобы изменить расшифрованный текст.

Читать далее

Как приготовить обфускацию в JavaScript и не сжечь лабораторию: AST, babel, плагины

Уровень сложностиСредний
Время на прочтение16 мин
Количество просмотров2.7K

Вероятно каждый программист или компания, сталкивались с мыслями о своей крутости или хотя бы крутости своих алгоритмов 😎. Разумеется, в этом случае может возникнуть соответствующее нежелание делиться разработками с широкой аудиторией. Данная проблема минимизируется переносом части кода на сервер (если речь идёт о клиент-серверных приложениях). Однако, такой подход не всегда применим, и порой обстоятельства вынуждают нас оставлять чувствительные участки кода прямо на виду.

В этой статье мы познакомимся, как минимум, с крутым словом, а по возможности с такой техникой как обфускация в контексте языка JavaScript. Реализуем механизмы для скрытия алгоритмов и усложнения обратной разработки кода. Попутно, мы посмотрим что такое AST, и приведём инструменты, с помощью которых можно взаимодействовать с ним для реализации обфускации.

Читать далее
1
23 ...