Как стать автором
Поиск
Написать публикацию
Обновить
3
Рейтинг

CTF *

Командные соревнования по инфобезу в формате CTF

Статьи Посты Новости Авторы Компании
Сначала показывать
Порог рейтинга
Уровень сложности

«Человек посередине», использующий отозванные сертификаты. Часть 1

Время на прочтение5 мин
Количество просмотров20K
Блог компании НеоБИТИнформационная безопасность*Криптография*CTF*
Что делать, если у вашего сервера утёк закрытый ключ? Вопрос, ставший особенно актуальным после Heartbleed.

Последовательность действий, сразу приходящая в голову:
1. Связаться с удостоверяющим центром.
2. Отозвать сертификат сервера.
3. Перегенерировать ключи.
4. Запросить для сервера новый сертификат.
5. Поднять бокал за успех операции и попытаться жить дальше.

К сожалению, всё не так просто. В этой и следующей статьях мы подробно ответим на следующие вопросы:

  • Какие механизмы проверки статуса сертификатов бывают?
  • Как они реализованы в современных Веб-браузерах?
  • Кто виноват? Почему они реализованы именно так?
  • Что делать? Какие есть перспективы?

Эта статья будет полезна тем, кому интересно разобраться в применяющихся на практике механизмах проверки статуса сертификатов (проверки, является ли сертификат отозванным).

UPD: добавили вторую часть статьи! Прочитать можно тут.
Читать дальше →
Всего голосов 17: ↑14 и ↓3+11
Комментарии8

UFOCTF 2017: декомпилируем Python в задании King Arthur (PPC600)

Время на прочтение7 мин
Количество просмотров7K
Информационная безопасность*Python*CTF*
Из песочницы

Приветствую тебя хабраюзер! Недавно, закончилась ежегодная олимпиада по информационной безопасности UFO CTF 2017. В этой статье будет райтап одного задания из раздела PPC, под названием «King Arthur», за который можно было получить максимальное количество очков — 600.
Читать дальше →
Всего голосов 17: ↑16 и ↓1+15
Комментарии3

Криптовалюта Ethereum: пишем эксплойт под уязвимый умный контракт и получаем токены

Время на прочтение10 мин
Количество просмотров29K
Блог компании НеоБИТИнформационная безопасность*Платежные системы*Занимательные задачкиCTF*
Сколько копий уже сломано в разговорах о криптовалюте? Банки и государственные учреждения спорят о ее правовом статусе, а частные организации придумывают различные способы применения блокчейна. Мы же задумались о безопасности этой технологии и связанных с ней продуктов.

На примере задания NeoQUEST-2017 разбираемся с умными контрактами Ethereum – второй по популярности криптовалюты после Биткойна. Участникам соревнования предстояло написать эксплойт к уязвимому контракту. О том, как это сделать — читаем под катом!
Читать дальше →
Всего голосов 14: ↑13 и ↓1+12
Комментарии6

[NeoQuest2017] 6 планета или «Слишком много всего…»

Время на прочтение4 мин
Количество просмотров2.5K
Информационная безопасность*CTF*
Есть мнение, что после драки кулаками не машут. Но первый в моей жизни ctf NeoQuest2017 показал, что бумажная ИБ от практической отличается достаточно сильно и с ходу флаги взять не получится. Хотя, как оказалось, подобрался я к флагу в плотную.

Итак:

«СЛИШКОМ МНОГО ВСЕГО…»
Эта планета напоминает тропики… Невероятное количество разнообразной флоры и фауны! Наши рюкзаки все заполнялись и заполнялись образцами, а журналы наблюдений – описаниями, а ведь мы только начали исследование планеты! Оглядевшись вокруг, мы поняли, что гораздо эффективнее будет заносить все сведения удаленно сразу в бортовой журнал. Вот только передача данных очень медленная, поэтому нужно грамотно расставить приоритеты.
Читать дальше →
Всего голосов 15: ↑14 и ↓1+13
Комментарии1

Истории

Розовый скафандр, криптовалюта и генномодифицированный iOS: задания online-этапа NeoQUEST-2017 и немного статистики

Время на прочтение7 мин
Количество просмотров4.7K
Блог компании НеоБИТИнформационная безопасность*Занимательные задачкиCTF*
C 1 по 10 марта прошёл online-этап соревнования по кибербезопасности NeoQUEST-2017. Пришло время подвести итоги, поделиться любопытной статистикой прохождения, а также вкратце рассказать про сами задания.
Читать дальше →
Всего голосов 14: ↑14 и ↓0+14
Комментарии2

Что делать если вас заперли в rbash

Время на прочтение2 мин
Количество просмотров9K
Информационная безопасность*CTF*
Из песочницы
Совсем недавно проходил очередной интересный CTF Boston Key Party 2017. Который мы к сожалению не выиграли, но это другая история. А сегодня я бы хотел описать решение одного задания из раздела pwn это «Solitary Confinement (pwn 99)».
Читать дальше →
Всего голосов 26: ↑25 и ↓1+24
Комментарии0

[NeoQuest2017] «МУЛЬТИПАСПОРТ!» и розовый скафандр

Время на прочтение3 мин
Количество просмотров4.4K
Информационная безопасность*Ненормальное программирование*CTF*

Продолжаем серию райтапов заданий из прошедшего соревнования кибербезопасности NeoQuest2017
На этот раз мы рассмотрим пятое задание: ESPION

Задание содержало целых 3 (over200 очков) ключа! По этой причине данное задание стало маст-хэв для тех, кто возжелал оказаться «повыше»
Продолжение внутри
Всего голосов 14: ↑14 и ↓0+14
Комментарии5

NeoQuest 2017: Выбираемся из додекаэдра, не запуская ничего в qemu

Время на прочтение7 мин
Количество просмотров5K
Информационная безопасность*Реверс-инжиниринг*CTF*
Из песочницы

«Затерянные в додекаэдре»


На Земле – египетские пирамиды, а на этой планете – один (зато какой!) гигантский додекаэдр, левитирующий в воздухе на высоте порядка десяти метров. Должно быть, именно в нём и кроется вся загадка этой планеты. Сама фигура как бы приглашает исследовать ее – одна из граней отсутствует, обозначая вход, и оттуда до земли свивает веревочная лестница. Разумеется, мы туда полезли.

«Вот так и пропадают неизвестно куда космические экспедиции…» – уныло говорили мы, уже третий час безуспешно пытаясь выбраться из дурацкого додекаэдра, дверь которого моментально заблокировалась, как только последний из нас забрался внутрь. Выломать дверь не удавалось, единственным выходом было блуждание по лабиринту объемной фигуры. Трудно сказать, сколько прошло времени, но наши поиски увенчались успехом: в одном из закоулков мы обнаружили вполне себе земной древний компьютер! Недовольно урча и подтормаживая, он все-таки загрузился. Всё, что удалось обнаружить – один файлик. Хорошо, что у меня с собой был ноутбук и флешка, я перекинул файл на ноут и стал внимательно его изучать.
Читать дальше →
Всего голосов 18: ↑18 и ↓0+18
Комментарии3

[NeoQuest2017] «В поиске землян» и не только…

Время на прочтение4 мин
Количество просмотров4K
Информационная безопасность*Ненормальное программирование*CTF*

Пару дней назад завершился очередной отборочный online-этап ежегодного соревнования по кибербезопасности — NeoQuest2017. Выражаю особую благодарность организаторам: с каждым годом история всё увлекательнее, а задания сложнее!

А эта статья будет посвящена разбору девятого задания: PARADISOS
Продолжение внутри
Всего голосов 13: ↑13 и ↓0+13
Комментарии5

NeoQuest 2017: Реверс андроид приложения в задании «Почини вождя!»

Время на прочтение9 мин
Количество просмотров9.5K
Информационная безопасность*Разработка под Android*Реверс-инжиниринг*CTF*
Туториал


Всем доброго времени суток, сегодня, 10 марта закончился онлайн этап NeoQuest 2017. Пока жюри подводят итоги и рассылают пригласительные на финал, предлагаю ознакомиться с райтапом одного из заданий: Greenoid за который судя по таблице рейтинга, можно было получить до 85 очков.
Читать дальше →
Всего голосов 23: ↑20 и ↓3+17
Комментарии9

Exploit Exercises: Введение в эксплуатацию бинарных уязвимостей на примере Protostar

Время на прочтение20 мин
Количество просмотров21K
Информационная безопасность*Реверс-инжиниринг*CTF*
Туториал


Всем доброго времени суток. Продолжаем разбор заданий с сайта Exploit Exercises, и сегодня будут рассмотрены основные типы бинарных уязвимостей. Сами задания доступны по ссылке. На этот раз нам доступны 24 уровня, по следующим направлениям:

  • Network programming
  • Byte order
  • Handling sockets
  • Stack overflows
  • Format strings
  • Heap overflows
Читать дальше →
Всего голосов 20: ↑20 и ↓0+20
Комментарии0

Поиск уязвимости методом фаззинга и разработка шеллкода для её эксплуатации

Время на прочтение9 мин
Количество просмотров22K
Блог компании НеоБИТИнформационная безопасность*Занимательные задачкиCTF*
Для поиска уязвимостей все средства хороши, а чем хорош фаззинг? Ответ прост: тем, что он дает возможность проверить, как себя поведёт программа, получившая на вход заведомо некорректные (а зачастую и вообще случайные) данные, которые не всегда входят во множество тестов разработчика.

Некорректное завершение работы программы в ходе фаззинга позволяет сделать предположение о наличии уязвимости.

В этой статье мы:

  • продемонстрируем, как фаззить обработчик JSON-запросов;
  • используя фаззинг, найдём уязвимость переполнения буфера;
  • напишем шеллкод на Ассемблере для эксплуатации найденной уязвимости.

Разбирать будем на примере исходных данных задания прошлого NeoQUEST. Известно, что 64-хбитный Linux-сервер обрабатывает запросы в формате JSON, которые заканчиваются нуль-терминатором (символом с кодом 0). Для получения ключа требуется отправить запрос с верным паролем, при этом доступа к исходным кодам и к бинарнику серверного процесса нет, даны только IP-адрес и порт. В легенде к заданию также было указано, что MD5-хеш правильного пароля содержится где-то в памяти процесса после следующих 5 символов: «hash:». А для того, чтобы вытащить пароль из памяти процесса, необходима возможность удалённого исполнения кода.
Читать дальше →
Всего голосов 41: ↑38 и ↓3+35
Комментарии6

VulnHub: Выкидываем неугодных из IRC в Wallaby's Nightmare

Время на прочтение6 мин
Количество просмотров3.9K
Информационная безопасность*CTF*
Туториал
Всем доброго времени суток, после небольшого перерыва, снова возвращаемся к разбору виртуалок с VulnHub. И на очереди Wallaby's: Nightmare (v1.0.2), как пишет автор, на создание этого boot2root его вдохновили некоторые предыдущие CTF с этого сайта, а вот какие именно, я думаю вы сами сможете догадаться.
Читать дальше →
Всего голосов 16: ↑14 и ↓2+12
Комментарии0

Ближайшие события

Дизайнеры, выбирайте себе компанию по вайбам на Хабр Карьере
Дата15 – 28 апреля
Место
Онлайн
Подробнее в календаре
Вебинар «Истории Dodo Brands и Offprice: как компании мигрировали 1С в облако»
Дата23 апреля
Время11:00
Место
Онлайн
Подробнее в календаре
Вебинар «Информационная архитектура компании»
Дата23 апреля
Время19:00
Место
Онлайн
Подробнее в календаре
Вебинар «Специфика синхронных и асинхронных инсертов в ClickHouse»
Дата23 апреля
Время20:00
Место
Онлайн
Подробнее в календаре
Конференция «Я.Железо»
Дата18 мая
Время14:00 – 23:59
Место
МоскваОнлайн
Подробнее в календаре
Firebird Conf: конференция для разработчиков и администраторов СУБД Firebird
Дата6 июня
Время09:00 – 20:00
Место
Москва
Подробнее в календаре
Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
Подробнее в календаре

Анализ взаимодействия мобильных Android-приложений с API социальных сетей Facebook, Instagram, ВКонтакте

Время на прочтение4 мин
Количество просмотров13K
Блог компании НеоБИТИнформационная безопасность*Занимательные задачкиFacebook API*CTF*
Не секрет, что большинство крупных сервисов на серверной стороне используют какой-либо API (Application Programming Interface) для взаимодействия с различными клиентами.

На «очной ставке» NeoQUEST-2016 Максим Хазов рассказал о различных подходах к определению и использованию скрытого серверного API-функционала на примере таких популярных сервисов, как ВКонтакте, Instagram, Facebook.

В данной статье остановимся на основных моментах доклада и поделимся всеми электронными материалами: видеозаписью выступления, презентацией, а также демонстрациями атак для каждой рассматриваемой социальной сети (всё под катом).

Намекнём: «прогулки» по социальным сетям ещё предстоят участникам NeoQUEST-2017, регистрация на online-этап которого идет полным ходом!
Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии2

Hack.me: Ещё одна площадка для оттачивания навыков в области ИБ

Время на прочтение3 мин
Количество просмотров46K
Информационная безопасность*CTF*
Туториал


Всем доброго времени суток, сегодня не будет VulnHub'a. Сегодня рассмотрим его альтернативу hack.me. На котором содержится не мало интересных площадок для взлома, на различные темы. В этой статье рассмотрим BeachResort. Как пишет автор, это не типичный CTF,
Читать дальше →
Всего голосов 37: ↑34 и ↓3+31
Комментарии11

Регистрация открыта или NeoQUEST, ты просто космос

Время на прочтение3 мин
Количество просмотров3.9K
Блог компании НеоБИТИнформационная безопасность*Занимательные задачкиCTF*
Вжух — и мы уже открыли регистрацию на onine-этап ежегодного соревнования по кибербезопасности NeoQUEST-2017!

В этом году online-этап NeoQUEST пройдёт с 1 по 10 марта: захватим 3 выходных дня! О том, какие задания ждут участников на этот раз, и при чём тут космос — читаем под катом.
Читать дальше →
Всего голосов 13: ↑12 и ↓1+11
Комментарии0

Эй, телевизор, ты что, самый «умный»?

Время на прочтение4 мин
Количество просмотров16K
Блог компании НеоБИТИнформационная безопасность*Занимательные задачкиCTF*
Про опасности использования «умных» телевизоров слышали, наверное, все. Говорят, что они наблюдают за владельцем и прослушивают его разговоры. Но это не тревожит большинство пользователей, которые продолжают спокойно заполнять формы авторизации прямо на экране TV.

Мы решили проверить, реально ли сделать что-то интересное с умным телевизором, не имея физического доступа к нему (спойлер: реально!), и готовы рассказать об этом на примере разбора задания с NeoQUEST!
Читать дальше →
Всего голосов 32: ↑31 и ↓1+30
Комментарии31

VulnHub: Погружаемся в хакинг в стиле сериала Mr. Robot

Время на прочтение2 мин
Количество просмотров28K
Информационная безопасность*CTF*
Туториал


Я думаю многие смотрели сериал Mr. Robot, с каждым сезоном, о нем узнаёт всё больше народу, вот и VulnHub не остался в стороне. И не так уж давно там появилась Boot2Root виртуальная машина Mr-Robot: 1. Её решение, мы сегодня и рассмотрим.

Реверса тут не будет, но будет несколько примеров демонстрирующих, то как из-за не верного назначения прав на критически важные файлы, ваша система может быть взломана. И так, начнём, нужно добыть 3 ключа.
Читать дальше →
Всего голосов 20: ↑17 и ↓3+14
Комментарии0

VulnHub: USV 2016. CTF в Румынии, какие они?

Время на прочтение6 мин
Количество просмотров6.5K
Информационная безопасность*CTF*
Туториал


Всем доброго времени суток, в этой статье рассмотрим решение Румынского CTF-USV 2016, на тему: «Игра престолов». Скачать образ виртуальной машины можно по ссылке с VulnHub.

Если вам интересно как проходят межвузовские CTF в Румынии, прошу под кат
Читать дальше →
Всего голосов 9: ↑8 и ↓1+7
Комментарии0

VulnHub: Реверсим всё что можно в DC416 Baffle

Время на прочтение37 мин
Количество просмотров5.6K
Информационная безопасность*Реверс-инжиниринг*CTF*
Туториал


Всем доброго времени суток, этой статьёй хотелось бы завершить серию DC416, CTF с конференции DefCon Toronto's. Оставив на десерт DC416 Baffle, на мой взгляд, самый интересный и хардкорный квест, предоставленный командой VulnHub.

Внимание! Впереди будет много реверса и бинарной эксплуатации!

Если вы к этому не готовы, то рекомендую для начала ознакомиться с предыдущими райтапами:


Читать дальше →
Всего голосов 17: ↑17 и ↓0+17
Комментарии0
12 ...
1213
14
15161718

Вклад авторов

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr