Форум информационной безопасности - Codeby.net

Самые актуальные материалы по пентесту веб-приложений.

Описание курса - для тех, кто любит узнать на что подписывается
Записаться на курс - если все и так понятно без объяснений
Цена - Бесплатно
Длительность - 5 дней
Доступ к курсу - 365 дней

Авторы курса

• Никита Боровиков
• Магомед Межидов

Программа курса

1. Введение

   1. Установка VMWare
   2. Импорт виртуальной машины
   3. Настройка окуржения
   4. Введение в веб-уязвимости: misconfiguration и IDOR
2. CMD Injection & PHP Code Injection

   1. Обзор уязвимости CMD Injection
   2. Разбор уязвимого кода в файле с CMD Injection
   3. Эксплуатация CMD...

Открыта регистрация на KubanCTF, который пройдет в рамках международной конференции по информационной безопасности KubanCSC, на территории курорта «Газпром Поляна»! Общий призовой фонд составит 1.3 миллиона рублей. Отборочный этап пройдет онлайн по правилам jeopardy. В финале вам предстоит показать свои навыки в defense.

В финал смогут отобраться 7 команд, показавших лучший результат в отборочном онлайн турнире, три команды пройдут с offline битвы в формате jeopardy. В offline будут участвовать студенческие команды с 1 - 5 курс по приглашению ВУЗа. Для отобравшихся команд дополнительно будет оплачено проживание и питание на территории курорта. Приезжайте, будет жарко!

Отборочный этап пройдет 23 сентября. Финал 12 октября в Сочи!

Форма регистрации:

Ссылка скрыта от гостей

Вопросы можно задать: в тг - https://t.me/kubctf
Ссылка на чат...

Бывалый админ, с более чем 20-ти летним стажем, подскажу или помогу по серверным задачам, например :

• Установить или настроить выделенный сервер или vds/vps под оптимальными для Вас версиями linux
• Оптимизировать настройку dedicated server или vds для максимальной производительности
• Оптимизировать производительность mysql и web подсистем
• Переехать на другую панель управления или другой сервер
• Настроить socks/http proxy или vpn, в том числе и double vpn
• Установить или настроить резервное копирование, файрволы и прочее
• Установить или настроить различный софт на ваших linux серверах
• Защититься от DDoS атак, насколько это возможно
• Установить шифрование всей системы или отдельных дисков, можно без ввода пароля при каждой загрузке
• Настроить скрытую или безопасную систему

А еще :

• Просто решаю проблемы с Вашим сервером
• Консультирую (бесплатно по возможности и простым вопросам)
• ...

Введение

​

Всем привет. Весной этого года я успешно сдал экзамен и получил сертификацию .

Изначально ваучер на сдачу данного сертификата я купил в начале лета 2021 года и предполагал, что буду первым, кто его сдаст из СНГ, но, в итоге, данный сертификат я сдал только в марте 2023 года, а пара человек из СНГ его уже сдала. Однако никаких отзывов о данной сертификации я не видел, так что буду хоть первым человеком, кто сделал обзор на данную сертификацию.

Данная сертификация противопоставляется сертификации OSCP, а также очень часто фигурирует в сети как отличная стартовая сертификация для новичков в сфере информационной безопасности.

Так ли это? Давайте разбираться.

Друзья, рады вам сообщить, что 31 августа в 19:00, мы проведём стрим на тему проблем и развития Bug Bounty!

Мы пригласили ведущих экспертов в области Bug Bounty, а также руководителей платформ, чтобы обсудить будущее этой сферы. Узнаем, как начать заниматься багхантингом и послушаем интересные истории о поиске уязвимостей.

У нас в гостях:

• r0hack – Багхантер, руководитель внешних пентестов DeteAct и автор канала BountyOnCoffee;
• Andrew_Levkin – Product Owner BI.ZONE Bug Bounty;
• c0rv4x – Руководитель направления Bug Bounty Standoff 365;
• impact_l - Зависимый исследователь Bug Bounty, автор канала Пост Импакта (участник Google Play Security Reward Program)
• bughunter_circuit – Независимый багхантер, более известный как circuit, автор канала "Багхантер"
• И, конечно же, ваш незаменимый ведущий – puni1337

Мы ждем вас 31 августа в 19:00 по московскому времени!

Смотрите стрим в нашем Youtube канале

Всем привет!​

Сегодня рассмотрим задание "Абсолютная безопасность" из раздела криптографии на Codeby Games.

Итак, приступим!​

Ищем вектор​

Нам дается IP'шник, и три подсказки:

• Возможно проверка на утечку флага является "узким местом"?
• Вы не любите кошек? Да вы просто не умеете их готовить!
• Я думаю стоит накапливать зашифрованные флаги.

Откроем IP. Видим, что он обнаружил контент, который не может обработать браузер.



Поэтому смотрим на вторую подсказку и запускаем netcat (для винды - ncat) и подключаемся: ncat 62.173.140.174 11000

Для взаимодействия у нас есть две команды: "request" и "exit". Если с "exit" все ясно, то с...

Всем привет!​

Решил поделиться с вами подробным описанием решения довольно интересной задачи "random??" из раздела "Реверс-инжиниринг" на платформе Codeby Games.

Исходные данные:
- exe-файл encrypter.exe
- зашифрованный текст flag.crypt

Исходя из логики, нам необходимо разобрать, как же работает программа-шифратор, и эти знания применить для расшифровки шифротекста, в котором скорее всего и спрятан флаг (не просто так же нам его дали). Что ж, приступим.

---

Распаковка​

Для анализа бинарных файлов я (как и многие) предпочитаю IDA Pro. Открываем наш бинарь encrypter.exe и видим какую-то хренотень, а не код программы:



Попробуем запустить наш бинарь - получаем ошибку. Мда, действительно хренотень…

[ATTACH type="full"...

Ку, киберрекруты. Сегодня в планах полный цикл PWN'а (или пывна) бинарного файла для Windows: начнём с фаззинга, далее перейдём к реверсу и, конечно, в конце получим шелл. PWN - эксплуатация уязвимостей, что были допущены во время разработки исполняемых файлов. Бинарь называется Freefloat FTP Server 1.0, которую нашел на