Мега-интересный таск. На мой взгляд самый лучший хакер-тест. Тут не надо прогать, не надо никаких спец инструментов только голова, гугл и хакерская смекалка, то есть способность пролезть чрез любую жопу имея минимум средств и возможностей. Итак, легенда: Чувак, спец по IT-Security, имеет свой сервер: >>Click для хранения разных доков и нужных ему кодесов. Вам кровь из носу нужны сканированные доки, которые хранятся, как вы выяснили, у него на этом сервере в папке scans/ в директории home. Сейчас без четверти 24, вам нужно его хакнуть к утру к 9:30 Хак, на мой взгляд сложный(у меня ушло неспешных уикендных размышлений где то два месяца) но в принципе не требует никаких особых навыков и инструментов, кроме браузера, ну и может пару интернет-сервисов. То есть решается прямо на коленке. Подсказки: - сразу хочу предупредить лучше не брутить и скрипткидить – бесполезняк (хотя на счет скрипт киддинга не уверен на 100%, если у кого получиться научите меня). Вообще СИ, брут и скрипт-киддинг это не хак! Надеюсь вы все знаете это, но кто не знает напоминаю. Хак - это решение задачи проникновения используя только свой мозг, а это лучший образец для этого. -Внимательно изучите сайт, там немного интерфейса, но там есть всё чтобы начать взламывать, продолжить и закончить взлом успехом. -Хак многоуровневый, так что не надейтесь найти дыру и тут же захватить флаг в scans/ -Взломать можно. NB Может Егорыч подключиться и даст премию первым 10 хацкерам?
Отличный многоуровневый таск. При знании пыхи, подключении соображалки и оказании внимания деталям, первую часть можно решить достаточно быстро, а вот вторую... Я подумал над ней несколько дней и пока никак. Нет идей как можно обойти пару моментов. Нужно думац. Всем советую попробовать, таск годный. @artkar, спасибо за его освещение
Решил тоже заглянуть на огонёк ТС, без обид, подано неправильно, от того и народу заинтересовавшегося мало. Во первых, в названии написано "CTF from artkar". Человек открывает таск, видит что-то на французком и задаётся вопросом, оно и вправду от @artkar? И резонно спрашивает: И, в свою очередь, не получает хоть каких-то разъяснений Во вторых, легенда вводит в заблуждение. Уверен, что часть людей, которых не смутил первый пункт, забили на этом. Что мешало запостить оригинал? Spoiler: Оригинал В третьих, сильно завысил планку словами: "не брутить и скрипткидить", "на мой взгляд сложный", "самый лучший хакер-тест". Это искусственный цтфный таск, один из многих на этой площадке, без пометок мега-сложный. Задание действительно весёлое, среднего уровня. 90% было пройдено за полчаса, остальное время ушло на гуглёж того, чего по некоторым причинам я просто не знал и эта инфа, к сожалению, мне 100% никогда не пригодится. Итого, чистыми, убито 2 часа времени
Чуваки, а как можно получить разъяснение по таску? Есть ли дедлайн, после которого будет расписано как можно было решить ту или иную проблему?
Разъяснения по таску не предусматривается, я не хозяин и было бы непорядочно выкладывать в паблик, решение задачи которую, некоторая команда, сделала, поддерживает и плюс по которой оценивает скилзы своих контрибьютеров. Поэтому, по этой же причине плиз прошу не выкладывать сюда решения и флаг. Дедлайна тоже нет, первая тройка и этого думаю достаточно для ЧСВ античатовца. Можете,если нужно канешн, регнуться на площадке w3challs.com и ввести туда флаг - получите ТАМ заработанную репу. Мне так показалось, что помимо тупова навыка пентеста, тут необходимо иметь смекалку, то самое пресловутое "мышление хаккера", которое не получишь в университете. То есть без умения правильно анализировать, по обрывкам скудной информации, о перспективном методе проникновения, это задание не пройти. Также есть фальш путь, на который я, например, нарвался и угробил несколько дней бессмысленным анализом. Сама задача на той площадке чуть выше среднего, хотя трудно отнести например деобфускацию питона к сложным, а она у них там одна из сложных, это скорее более специализированная и поэтому деление на "сложность" субъективное, но подача материала именно этой задачи - замечательная. То есть все подсказки для прохождения есть и их только надо увидеть, а для этого - "Hacker's Mindset"
artkar, только между нами срлф не хакер, даже ник несмог хакерский придумать, что такое вообще цэрлэф. не слушай никого. Только свое сердце.
