-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Форум информационной безопасности - Codeby.net
CTF 🚩 Статус «Codeby Games» на форуме!
Для ТОП 10 игроков нашей CTF платформы создали ВИП статус на форуме с доступом в Green и Grey разделы на 30 дней. Срез статистики будет в 20:00 в последний день каждого месяца. На следующий день раздаём статусы.
️ Для получения статуса необходимо добавить юзернейм вашего аккаунта на форуме codeby.net в профиль борды.
CTF 🚩 Telegram Premium за Первую Кровь! (Акция завершена)
Призы за First Blood:
Cложные задания - Telegram Premium на 12 мес
Cредние задания - Telegram Premium на 6 мес
Легкие задания - Telegram Premium на 3 мес
Старт марафона 24 июня. Акция действует до конца лета. У каждого есть шанс попробовать себя в роли хакера, присоединяйся!
Обязательное условие участия - в настройках профиля на платформе добавить username своего Telegram аккаунта.Статья Статья про инъекции команд | Command Injection
Введение
Всем привет, сегодня я расскажу о достаточно простой, но интересной на мой взгляд уязвимости. Итак, давайте по порядку. Суть заключается во внедрении команд ОС в поле ввода. Важно отметить разницу между инъекцией кода и инъекцией команды. При инъекции кода хакер вставляет свой код, который в дальнейшем воспроизводится приложением или программой, тогда как командная инъекция может использовать преимущества среды приложения, в которой выполняются системные команды. Эти понятия схожи, но то, что командная инъекция основана на нормальном поведении приложения, часто облегчает ее использование.
Терминология
Внедрение команд ОС - это одна из разновидностей внедрения кода. Её особенностью является выполнение несанкционированных команд операционной системы на...
Всем привет, сегодня я расскажу о достаточно простой, но интересной на мой взгляд уязвимости. Итак, давайте по порядку. Суть заключается во внедрении команд ОС в поле ввода. Важно отметить разницу между инъекцией кода и инъекцией команды. При инъекции кода хакер вставляет свой код, который в дальнейшем воспроизводится приложением или программой, тогда как командная инъекция может использовать преимущества среды приложения, в которой выполняются системные команды. Эти понятия схожи, но то, что командная инъекция основана на нормальном поведении приложения, часто облегчает ее использование.
Внедрение команд ОС - это одна из разновидностей внедрения кода. Её особенностью является выполнение несанкционированных команд операционной системы на...
Школа Suffer injection или как я проходил курс SQLi master
Доброго времени суток, уважаемые форумчане. Прошло 10 дней с момента сдачи экзамена в рамках Suffer SQL injection master - можно выдохнуть и спокойно, без горячки, написать отзыв о курсе да и вообще вспомнить как это было.
Курс длился в общей сложности 3 месяца. С какими мыслями я пришел на курс? Начитавшись отзывов о том, что идти на WAPT без прохождения SQLim - формальное самоубийство, я решил не испытывать судьбу и не лезть вперед батьки в пекло. И не смотря на исключительно положительные отзывы на данный курс, мысли накануне старта были примерно следующие:
CTF Прохождение HackTheBox - Soccer (Linux, Easy)
Приветствую,
Кодебай! Сегодня пройдём Soccer - лёгкую линуксовую машину с площадки HackTheBox. Приятного чтения, друзья 
Разведка
Начинаем, как всегда со сканирования портов, используем флаг
-sC, чтобы использовать стандартные скрипты, -sV, чтобы определить сервисы открытых портов:
Bash:
nmap -sC -sV 10.10.11.194 -oN nmap.out
Bash:
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 ad0d84a3fdcc98a478fef94915dae16d (RSA)
| 256 dfd6a39f68269dfc7c6a0c29e961f00c (ECDSA)
|_ 256 5797565def793c2fcbdb35fff17c615c (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://soccer.htb/...
Статья Освежает иногда, в зной холодная вода. PoC CVE-2022-48422. OnlyOffice 7.3
Ку, киберрекруты. Данная статья посвящена CVE-2022-48422. Данная уязвимость была обнаружена в ONLYOFFICE-DocumentServer-7.3.0 и дает возможность получить привелегии через троянского коня libgcc_s.so.1 в текущем рабочем каталоге, которым может быть любой каталог, в котором находится документ ONLYOFFICE. Однако, в данном чтиве просто попробую получить краш. Думаю, это явялется хорошей практикой для пывна рил кейсов.
Видео 👾 Standoff11 глазами четырехкратных победителей!
Приглашаем вас к просмотру нового ролика, в котором команда Codeby делится впечатлениями и эмоциями от участия в уникальном соревновании Standoff11 (2023)!
Смотреть по ссылке:
Standoff11 глазами четырехкратных победителей!
FAQ Как получить One Level и выше — ранговая система форума
1. One Level — первый уровень доступа к разделам форума. Позволяет просматривать Премиум контент, предоставляет доступ к приватному разделу форума Green Section.
One Level выдается автоматом, на основании анализа активности.
Основные требования для автоматического получения статуса:
Основные требования для автоматического получения статуса:
- У вас не менее 1 сообщения;
- У вас 1 симпатия.
CTF Прохождение HackTheBox - TwoMillion (Linux, Easy)
Приветствую, Кодебай! Сегодня мы пройдём линуксовую машину легкой сложности с
HackTheBox, которая посвящена двум миллионам зарегистрировавшимся пользователям. Приятного чтения Codeby Games CTF
Категории блога
Наши курсы
Наши книги
