CTF *

Как автоматизировать распознавание текста с изображений?

В открытых источниках часто встречаются изображения с ценным текстом — скриншоты рабочих столов и приложений, фотографии таблиц, чеков, рукописных заметок и т.д. Сбор обычного текста автоматизировать легко, но с текстом на картинках начинаются сложности.

Раньше в моём арсенале был только pytesseract (Python-библиотека для распознавания текста). Она работала, но с серьёзными ограничениями:
➖Плохо справлялась с разными шрифтами
➖Теряла точность на низкокачественных изображениях
➖Путала языки, если текст был мультиязычным

Сейчас появились LLM-модели, которые справляются с этой задачей гораздо лучше, но если у вас нет мощного железа, запустить их локально не получится.

В профильных каналах регулярно пишут: «Вышла модель Х, которая показывает отличные результаты. OSINT-еры больше не нужны!», но никто не дает гайдов, как с этими моделями работать. Сегодня я это исправлю.

Обзор моделей для OCR
Прошерстив не один десяток источников, я выделил две наиболее популярные на текущий момент модели:
1️⃣ GPT-4 mini — высокая точность, но платная.
2️⃣ Google Gemini 2.0 Flash — высокая точность + бесплатный лимит.

Выбор без раздумий пал на Gemini. На момент публикации бесплатные лимиты от Google следующие:
✔️ 15 запросов в минуту
✔️ 1 млн токенов в минуту (ввод + вывод)
✔️ 1 500 запросов в сутки

Как взаимодействовать с Gemini?
1️⃣ Получаем API-ключ в Google AI Studio
2️⃣ Через API отправляем изображение в base64 + промпт
3️⃣ Получаем распознанный текст в ответе

Но есть важный нюанс: сервис не работает с российскими IP

Что делать, если Gemini недоступна?
Если у вас по какой-то причине нет возможности получить доступ к серверам Google AI Studio, то можно воспользоваться сервисами, которые предоставляют доступ к различным open-source моделям. Например, DeepInfra.
Плюсы:
✔️ Нет блокировок по геолокации
✔️ Гибкая тарификация
Минусы:
✖️ Нет бесплатного тарифа

Примеры скриптов выложил на github (https://github.com/vmtest439/britalb_ocr)

Если вам понравился пост и вы хотите читать больше подобного контента, то можете подписаться на мой авторский Telegram-канал BritLab!

Попробуйте себя в роли этичного хакера на T-CTF 2025

19—20 апреля встречаемся на T-CTF — соревнованиях по кибербезопасности. Вас ждут увлекательные задачи из мира информационной безопасности. Лучшие игроки получат шанс выиграть призы — до 420 000 ₽ на команду.

В этом году игроки перенесутся в Капибаровск. В городе все завязано на технологиях, но из-за лапок капибар инфраструктура постоянно выходит из строя: на Капибарже путают грузы, а в бизнес-центре ломаются лифты. Мы ищем неравнодушных героев — тех, кто сможет помочь капибарам укрепить безопасность города.

• Приглашаем скилловых ИТ-специалистов из разных сфер. На соревнованиях будет две лиги: Лига безопасности для опытных игроков и Лига разработки для тех, кто еще ни разу не участвовал в СTF. Ждем backend- и frontend-разработчиков, аналитиков, SRE- и QA-инженеров и других специалистов, которые хорошо разбираются в коде.

• Участвуйте онлайн или приходите на офлайн-площадки в шести городах России. Для тех, кто хочет погрузиться в атмосферу ИТ-хабов Т-Банка, мы подготовили площадки в Москве, Санкт-Петербурге, Казани, Иннополисе, Екатеринбурге и Новосибирске. На них вас будут ждать рабочие места для выполнения заданий, зоны для отдыха и нетворкинга, вкусная еда и напитки. 

• В T-CTF участвуют командами — если у вас ее нет, мы поможем найти. После регистрации присоединяйтесь к чату в Телеграме: в нем будут единомышленники, которые тоже ищут команду. Еще есть телеграм-бот, где можно посмотреть анкеты участников и объединиться с желающими. В одной команде может быть от одного до трех человек. Чем больше команда, тем выше шансы на победу.

Выбирайте лигу по скиллам, отправляйте заявку и собирайте команду! Регистрация открыта до 18 апреля 23:59.

Зарегистрироваться

CTF-турнир Selectel стартовал!

Первое задание нашего онлайн-соревнования уже доступно для выполнения. Успейте завершить его до 23:59 сегодняшнего дня (по московскому времени). Это вполне реально. По нашим оценкам, вы потратите от 5 до 30 минут.

Если вы спросите, где же ссылка на сам турнир, то вот она.

Заполните форму на сайте, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых — мерч Selectel, печатный комикс «Мультихакер» и не только.

Вирус получил доступ к системе — сможете его остановить? Участвуйте в CTF-турнире от Selectel

С 17 по 21 марта проведем онлайн-соревнование по ИБ, где участникам нужно искать и захватывать «флаги». Последние находятся на преднамеренно уязвимых страницах, в строках кода, URL-адресе и других неочевидных местах.

Регистрируйтесь, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых —мерч Selectel, печатный комикс «Мультихакер» и не только.

Задача о поиске секретной службы

Задача подойдет для специалистов по информационной безопасности и всех, кто интересуется CTF-турнирами.

Условие

Вы давно ищете путь к секретной службе. И вот, наконец, вам удалось перехватить трафик, в котором должен быть ключ к получению ее адреса. Разберите дамп и следуйте верным маршрутом.

Задача

Найдите флаг — строку в формате slcctf{}. 

Чтобы выполнить задание, перейдите на страницу Secret Service и скачайте файл dump.pcap.

Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. А если потребует помощь, ищите ответ в Академии Selectel.

Задача об игре в ветреную погоду

Условие

Добро пожаловать в тир. Здесь игрок, попавший стрелой в центр мишени, может получить награду. Но будьте терпеливы, ведь сегодня ветрено, и стрелу сдувает!

Управлять луком можно с помощью кнопок на сайте или с помощью клавиатуры: кнопками вправо, влево и Enter.

Задача

Перейдите в тир и найдите флаг — строку в формате slcctf{}.

Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. Если трудновато — заглядывайте в Академию Selectel, там найдете пошаговое решение задачи.

Сможете попасть на закрытую вечеринку для специалистов по ИБ?

Попробуйте решить простую задачу с CTF-турнира. Найдите флаг — приглашение на вечеринку.

CTF (Сapture the Flag) — это онлайн-соревнования, на которых участникам нужно первым захватить «флаг».

Условие

На сайте для специалистов по информационной безопасности скоро начнется вечеринка Cyberparty. Но чтобы на нее попасть, требуется достать приглашение — строку в виде slcctf{}.

Не опоздайте, пунш-масла на всех не хватит!

Задача

Найдите флаг — строку в формате slcctf{}.

Если будет сложно, заглядывайте в Академию Selectel — показываем там пошаговое решение задачи.

Ответ на задачу про следы взлома в дампе трафика

Привет, Хабр! Помните задачу о взломе, которую подготовил наш специалист по информационной безопасности? Как и обещали, показываем верные ответы.

Напомним, что в ней было:

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Верные ответы

↓

↓

↓

↓

На каких портах отвечают web-приложения?

80/TCP, 5000/TCP

Какая нагрузка в SQL-инъекции использована для обхода авторизации в первом web-приложении?

‘ or 1 -- -

Какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором web-приложении

Man%27+union+select+1%2Cuser%28%29%2Cdatabase%28%29%2C%28select+GROUP_CONCAT%28login%2C+%27%5Cn%27%2C+password%2C+%27%5Cn%27%29+from+users%29%2C5%2C6%2C7+--+-

Решение задач каких известных приложений отражено в дампе?

bWAPP, OWASP JuiceShop

Интересно, как решить задачу? Показываем пошаговое решение в Академии Selectel.

Задача почти как на CTF-турнире: найдите следы взлома в дампе трафика

Почувствуйте себя участником CTF-турнира. Попробуйте решить задачу от специалиста по информационной безопасности Selectel.

Условие

На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.

Задача

Определите по дампу трафика:

• на каких портах отвечают веб-приложения,

• какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,

• какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,

• решение задач каких известных приложений отражено в дампе?

Файл dump.pcap

Делитесь в комментариях своими вариантами, а мы 27 апреля добавим пост с верным ответом.

Если не хочется ждать, заглядывайте в Академию Selectel. Там пошагово разбираем задачу и показываем решение.

Читайте также

• Самые интересные задачи для безопасников — Джабба одобряет

• Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти

• Безопасность в Docker: от правильной настройки хоста до демона