CTF from artkar

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by artkar, 25 Aug 2018.

  1. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Мега-интересный таск. На мой взгляд самый лучший хакер-тест. Тут не надо прогать, не надо никаких спец инструментов только голова, гугл и хакерская смекалка, то есть способность пролезть чрез любую жопу имея минимум средств и возможностей.

    [​IMG]

    Итак, легенда: Чувак, спец по IT-Security, имеет свой сервер: >>Click для хранения разных доков и нужных ему кодесов. Вам кровь из носу нужны сканированные доки, которые хранятся, как вы выяснили, у него на этом сервере в папке scans/ в директории home. Сейчас без четверти 24, вам нужно его хакнуть к утру к 9:30

    Хак, на мой взгляд сложный(у меня ушло неспешных уикендных размышлений где то два месяца) но в принципе не требует никаких особых навыков и инструментов, кроме браузера, ну и может пару интернет-сервисов. То есть решается прямо на коленке.

    Подсказки:
    - сразу хочу предупредить лучше не брутить и скрипткидить – бесполезняк (хотя на счет скрипт киддинга не уверен на 100%, если у кого получиться научите меня).
    Вообще СИ, брут и скрипт-киддинг это не хак! Надеюсь вы все знаете это, но кто не знает напоминаю. Хак - это решение задачи проникновения используя только свой мозг, а это лучший образец для этого.

    -Внимательно изучите сайт, там немного интерфейса, но там есть всё чтобы начать взламывать, продолжить и закончить взлом успехом.

    -Хак многоуровневый, так что не надейтесь найти дыру и тут же захватить флаг в scans/

    -Взломать можно.

    NB Может Егорыч подключиться и даст премию первым 10 хацкерам?
     
    crabovwik likes this.
  2. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,248
    Reputations:
    148
    Та ладно, World Wide Web Challenges твоя площадка?
     
  3. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Мега-респект!
    =HALK=
    Первый! Уважуха!
     
  4. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Человек с нами с 2008, но почти не известен тут. Халк, кто ты?
     
  5. crabovwik

    crabovwik Member

    Joined:
    15 Nov 2018
    Messages:
    7
    Likes Received:
    11
    Reputations:
    5
    Отличный многоуровневый таск. При знании пыхи, подключении соображалки и оказании внимания деталям, первую часть можно решить достаточно быстро, а вот вторую... :)

    Я подумал над ней несколько дней и пока никак. Нет идей как можно обойти пару моментов. Нужно думац.

    Всем советую попробовать, таск годный.

    @artkar, спасибо за его освещение
     
    dooble and crlf like this.
  6. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    Решил тоже заглянуть на огонёк :) ТС, без обид, подано неправильно, от того и народу заинтересовавшегося мало.

    Во первых, в названии написано "CTF from artkar". Человек открывает таск, видит что-то на французком и задаётся вопросом, оно и вправду от @artkar? И резонно спрашивает:
    И, в свою очередь, не получает хоть каких-то разъяснений :(

    Во вторых, легенда вводит в заблуждение. Уверен, что часть людей, которых не смутил первый пункт, забили на этом. Что мешало запостить оригинал?

    [​IMG]

    В третьих, сильно завысил планку словами: "не брутить и скрипткидить", "на мой взгляд сложный", "самый лучший хакер-тест". Это искусственный цтфный таск, один из многих на этой площадке, без пометок мега-сложный.


    Задание действительно весёлое, среднего уровня. 90% было пройдено за полчаса, остальное время ушло на гуглёж того, чего по некоторым причинам я просто не знал и эта инфа, к сожалению, мне 100% никогда не пригодится. Итого, чистыми, убито 2 часа времени :)

    [​IMG]
     
    grimnir, b3, crabovwik and 2 others like this.
  7. crabovwik

    crabovwik Member

    Joined:
    15 Nov 2018
    Messages:
    7
    Likes Received:
    11
    Reputations:
    5
    Чуваки, а как можно получить разъяснение по таску? Есть ли дедлайн, после которого будет расписано как можно было решить ту или иную проблему?
     
  8. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Разъяснения по таску не предусматривается, я не хозяин и было бы непорядочно выкладывать в паблик, решение задачи которую, некоторая команда, сделала, поддерживает и плюс по которой оценивает скилзы своих контрибьютеров. Поэтому, по этой же причине плиз прошу не выкладывать сюда решения и флаг.

    Дедлайна тоже нет, первая тройка и этого думаю достаточно для ЧСВ античатовца. Можете,если нужно канешн, регнуться на площадке w3challs.com и ввести туда флаг - получите ТАМ заработанную репу.

    Мне так показалось, что помимо тупова навыка пентеста, тут необходимо иметь смекалку, то самое пресловутое "мышление хаккера", которое не получишь в университете.
    То есть без умения правильно анализировать, по обрывкам скудной информации, о перспективном методе проникновения, это задание не пройти. Также есть фальш путь, на который я, например, нарвался и угробил несколько дней бессмысленным анализом. Сама задача на той площадке чуть выше среднего, хотя трудно отнести например деобфускацию питона к сложным, а она у них там одна из сложных, это скорее более специализированная и поэтому деление на "сложность" субъективное, но подача материала именно этой задачи - замечательная. То есть все подсказки для прохождения есть и их только надо увидеть, а для этого - "Hacker's Mindset"
     
    crlf likes this.
  9. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    artkar, только между нами срлф не хакер, даже ник несмог хакерский придумать, что такое вообще цэрлэф. не слушай никого. Только свое сердце.
     
    crlf likes this.