Несложная задача с CTF-турнира. Будет интересна всем, кто интересуется информационной безопасностью.
Условие Представьте, что вы — дежурный инженер. Вместе с коллегами вы ежедневно фиксируете состояние информационной системы в специальном журнале. Этот документ помогает определять угрозы и вовремя на них реагировать.
Однажды ваши коллеги рассказали, что где-то на странице журнала находится флаг. Но вот где именно — не раскрыли. Попробуйте найти этот флаг без подсказок коллег.
Задача Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://findme.slcctf.fun/.
Делитесь своим решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.
Как автоматизировать распознавание текста с изображений?
В открытых источниках часто встречаются изображения с ценным текстом — скриншоты рабочих столов и приложений, фотографии таблиц, чеков, рукописных заметок и т.д. Сбор обычного текста автоматизировать легко, но с текстом на картинках начинаются сложности.
Раньше в моём арсенале был только pytesseract (Python-библиотека для распознавания текста). Она работала, но с серьёзными ограничениями: ➖Плохо справлялась с разными шрифтами ➖Теряла точность на низкокачественных изображениях ➖Путала языки, если текст был мультиязычным
Сейчас появились LLM-модели, которые справляются с этой задачей гораздо лучше, но если у вас нет мощного железа, запустить их локально не получится.
В профильных каналах регулярно пишут: «Вышла модель Х, которая показывает отличные результаты. OSINT-еры больше не нужны!», но никто не дает гайдов, как с этими моделями работать. Сегодня я это исправлю.
Обзор моделей для OCR Прошерстив не один десяток источников, я выделил две наиболее популярные на текущий момент модели: 1️⃣ GPT-4 mini — высокая точность, но платная. 2️⃣ Google Gemini 2.0 Flash — высокая точность + бесплатный лимит.
Выбор без раздумий пал на Gemini. На момент публикации бесплатные лимиты от Google следующие: ✔️ 15 запросов в минуту ✔️ 1 млн токенов в минуту (ввод + вывод) ✔️ 1 500 запросов в сутки
Как взаимодействовать с Gemini? 1️⃣ Получаем API-ключ в Google AI Studio 2️⃣ Через API отправляем изображение в base64 + промпт 3️⃣ Получаем распознанный текст в ответе
Но есть важный нюанс: сервис не работает с российскими IP
Что делать, если Gemini недоступна? Если у вас по какой-то причине нет возможности получить доступ к серверам Google AI Studio, то можно воспользоваться сервисами, которые предоставляют доступ к различным open-source моделям. Например, DeepInfra. Плюсы: ✔️ Нет блокировок по геолокации ✔️ Гибкая тарификация Минусы: ✖️ Нет бесплатного тарифа
Попробуйте себя в роли этичного хакера на T-CTF 2025
19—20 апреля встречаемся на T-CTF — соревнованиях по кибербезопасности. Вас ждут увлекательные задачи из мира информационной безопасности. Лучшие игроки получат шанс выиграть призы — до 420 000 ₽ на команду.
В этом году игроки перенесутся в Капибаровск. В городе все завязано на технологиях, но из-за лапок капибар инфраструктура постоянно выходит из строя: на Капибарже путают грузы, а в бизнес-центре ломаются лифты. Мы ищем неравнодушных героев — тех, кто сможет помочь капибарам укрепить безопасность города.
Приглашаем скилловых ИТ-специалистов из разных сфер. На соревнованиях будет две лиги: Лига безопасности для опытных игроков и Лига разработки для тех, кто еще ни разу не участвовал в СTF. Ждем backend- и frontend-разработчиков, аналитиков, SRE- и QA-инженеров и других специалистов, которые хорошо разбираются в коде.
Участвуйте онлайн или приходите на офлайн-площадки в шести городах России. Для тех, кто хочет погрузиться в атмосферу ИТ-хабов Т-Банка, мы подготовили площадки в Москве, Санкт-Петербурге, Казани, Иннополисе, Екатеринбурге и Новосибирске. На них вас будут ждать рабочие места для выполнения заданий, зоны для отдыха и нетворкинга, вкусная еда и напитки.
В T-CTF участвуют командами — если у вас ее нет, мы поможем найти. После регистрации присоединяйтесь к чату в Телеграме: в нем будут единомышленники, которые тоже ищут команду. Еще есть телеграм-бот, где можно посмотреть анкеты участников и объединиться с желающими. В одной команде может быть от одного до трех человек. Чем больше команда, тем выше шансы на победу.
Выбирайте лигу по скиллам, отправляйте заявку и собирайте команду! Регистрация открыта до 18 апреля 23:59.
Первое задание нашего онлайн-соревнования уже доступно для выполнения. Успейте завершить его до 23:59 сегодняшнего дня (по московскому времени). Это вполне реально. По нашим оценкам, вы потратите от 5 до 30 минут.
Если вы спросите, где же ссылка на сам турнир, то вот она.
Заполните форму на сайте, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых — мерч Selectel, печатный комикс «Мультихакер» и не только.
Вирус получил доступ к системе — сможете его остановить? Участвуйте в CTF-турнире от Selectel
С 17 по 21 марта проведем онлайн-соревнование по ИБ, где участникам нужно искать и захватывать «флаги». Последние находятся на преднамеренно уязвимых страницах, в строках кода, URL-адресе и других неочевидных местах.
Регистрируйтесь, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых —мерч Selectel, печатный комикс «Мультихакер» и не только.
Задача подойдет для специалистов по информационной безопасности и всех, кто интересуется CTF-турнирами.
Условие
Вы давно ищете путь к секретной службе. И вот, наконец, вам удалось перехватить трафик, в котором должен быть ключ к получению ее адреса. Разберите дамп и следуйте верным маршрутом.
Добро пожаловать в тир. Здесь игрок, попавший стрелой в центр мишени, может получить награду. Но будьте терпеливы, ведь сегодня ветрено, и стрелу сдувает!
Управлять луком можно с помощью кнопок на сайте или с помощью клавиатуры: кнопками вправо, влево и Enter.
Задача
Перейдите в тир и найдите флаг — строку в формате slcctf{}.
Попробуйте решить задачу самостоятельно и делитесь своими идеями в комментариях. Если трудновато — заглядывайте в Академию Selectel, там найдете пошаговое решение задачи.
Сможете попасть на закрытую вечеринку для специалистов по ИБ?
Попробуйте решить простую задачу с CTF-турнира. Найдите флаг — приглашение на вечеринку.
CTF (Сapture the Flag) — это онлайн-соревнования, на которых участникам нужно первым захватить «флаг».
Условие
На сайте для специалистов по информационной безопасности скоро начнется вечеринка Cyberparty. Но чтобы на нее попасть, требуется достать приглашение — строку в виде slcctf{}.
Не опоздайте, пунш-масла на всех не хватит!
Задача
Найдите флаг — строку в формате slcctf{}.
Если будет сложно, заглядывайте в Академию Selectel — показываем там пошаговое решение задачи.
Привет, Хабр! Помните задачу о взломе, которую подготовил наш специалист по информационной безопасности? Как и обещали, показываем верные ответы.
Напомним, что в ней было:
На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.
Определите по дампу трафика:
на каких портах отвечают веб-приложения,
какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,
какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,
решение задач каких известных приложений отражено в дампе?
Задача почти как на CTF-турнире: найдите следы взлома в дампе трафика
Почувствуйте себя участником CTF-турнира. Попробуйте решить задачу от специалиста по информационной безопасности Selectel.
Условие
На одном сервере находятся два уязвимых веб-приложения. В сети этого сервера размещен второй хост, с которого зафиксированы попытки эксплуатации уязвимостей веб-приложений.
Задача
Определите по дампу трафика:
на каких портах отвечают веб-приложения,
какая нагрузка в SQL-инъекции использована для обхода авторизации в первом приложении,
какая нагрузка в SQL-инъекции использована для получения логинов и хэшей паролей во втором приложении,
решение задач каких известных приложений отражено в дампе?
