Featured Threads Archive
-
Antichat CTF Team Write-up PHDays 2016 PhpSoCute
PhpSoCute
http://php.hackquest.phdays.com:88/
Дан какой-то бложек, с виду wordpress.
Доступны урлы: index.php -> index.html, wp-admin.html
Dirbuster нашел pi.php который показывает нам phpinfo.
После некоторого фазинга было понятно, что есть некий include или даже читалка файлов для запросов которые оканчиваются на html
http://php.hackquest.phdays.com:88/pi.php/1html
Такой запрос нам показал интересный параметр PATH_TRANSLATED - redirect:/t3mp473l04d3r.php
При обращении к этому файлу - 500 ошибка, видимо надо передавать какие-то гет параметры чтобы читать файлы, но это нам не нужно.
Пробуем doubleencode
Попробуем опуститься на директорию ниже ..%252f и проитать файл index.php -PHP:<?php
@header("Location: index.html");
?>
Читаем /etc/passwd... -
День рождения Antichat 27.05.2002
Прошло 16 лет с создания форума Античат. Всех поздравляю с этой датой, хотя и не круглой. -
Task # Task #1
Task #1
Начинаем серию заданий, подобранных специально для общего раздела форума.
Не столько для проверки знаний и умений, сколько для привыкания и освоения такой интересной части форума, как задания.
Пока они будут очень простыми, минимум кода, чтобы начинать решать можно было без особой подготовки, даже со словарем (типа http://php.net/).
Тем не менее готового ответа в этом словаре нет, придется найти его.
Задание:
-
Archive - Архив Для тех, кто только что зарегистрировался!
Добро пожаловать на наш форум.
- У нас есть только один раздел, в котором вы можете писать без премодерирования это раздел Песочница : http://forum.antichat.ru/forums/189/ .
- Во всех остальных разделах все ваши сообщения проходят премодерацию.
- В раделах Финансовые задачи/Социальные сети вам писать запрещено.
- На форуме существует репутация, чтоб ее получить необходимо писать посты, которые смогут оценить, те кто находится у нас в группах.
- Чтоб стать полноправным участником форума вам нужно набрать +5 репутации.
- У вас есть ровно месяц, на что чтоб проявить себя на форуме. Если в течении месяца от вас не будет никакой активности на форума, ваш аккаунт будет удален.
На сегодняшний момент не актуально. -
[NO OFFENCE] - Интервью с Kaimi
[NO OFFENCE]
Друзья, пока везде коронавирус, карантин и режим ЧС, у нас новое интервью с крутым хакером, программистом и пентестером - Сергей Белов aka Kaimi.
Мы с ним наговорили на целый час, и разговаривали еще больше вне записи.
Обсудили очень многое, путь, который прошел Kaimi, с чего начинал.
Как повлиял форум antichat и его комьюнити.
И много еще всяческих интересностей.
Спасибо Сергею, а вам приятного просмотра!
-
Новогодний видеоконкурс [2016-2017]
Всем привет, команда античата приготовила для вас приятный новогодний сюрприз.
Как и несколько лет назад мы решили провести видео конкурс. Участвовать может любой желающий. Для этого нужно ознакомиться с правилами и отправить готовую работу принимающему. Каждый, принявший участие, получит статус "Кинематографист" на форуме.
Тематика видеоконкурса - практическая информационная безопасность.
Заявки на участие будет принимать @psihoz26 (в личные сообщения или по email [email protected]) с 1 ноября 2016 года по 28 февраля 2017 года. Все видео будут опубликованы 1 марта и жюри сможет начать начислять вам баллы. Следить за решениями жюри вы сможете в реальном времени, посещая страницу голосования. Как только будут собраны все голоса, мы опубликуем результаты и разошлем поздравления победителям. Призы будут высланы 15 марта.
Ваши работы будут оценивать известные специалисты по информационной безопасности!
Правила участия в видео... -
️ ️✅ Не Antichat.me . Битва за Antichat - Часть II
️ ️✅ После первой части ( тут первая часть ), многие, возможно, для себя уже сделали выводы. Во второй части я попробую разъяснить тем, кто не вникал в переписку, о том, как я вижу данную ситуацию.
История начинается примерно с 2014 года. В этом время Antichat усиленно атаковали фейковыми страницами, подделывая контакты гарантов и собирая пароли пользователей. Доменов было много и разных, среди них был и artichat.ru, и anticnat.ru. Был в том числе и домен antichat.me . Я занимался тем, что писал абузы на эти домены хостингам и на всякие ресурсы, предназначенные для блокировки опасных страниц пользователю.
-
Таски. Как правильно: таскливо, или тасклёво?
Всем привет.
Есть пара мыслей, которыми хочу поделиться.
Не хочется делать это в болталке, потом почистим.
Обратил внимание, что увеличивается информационный разрыв между пабликом и группами.
В группах заметно развитие, а в публичных разделах особенно-то и нечем заняться и неначто посмотреть.
Болталка и коммерция живы, а в тематических разделах более менее жива тема SQLi, ну и вопросы по уязвимостям.
Но с приходом фреймворков, SQLi уходят в небытие, да и ковырять только скули - надоедает.
Уровни паблика и групп разделены некоторой полосой, в которой ничего не происходит.
Отдельные персы преодолевают ее самостоятельно и становятся заметны для того, чтобы получить приглашение в Lvl8.
И не то, чтобы это было трудным делом, профильной информации уже не просто много, ее навалом.
Читай, развивайся.
Но вот готовой дороги (или лестницы, если говорим об уровнях), по которой, если пойти, то там оставлены примеры, трюки тех, кто проходил раньше - нет пока. Чтобы развитие было постепенным и... -
Task # Task #5
Привет, античатовец! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.
Дело в том, что мой
Сайт: http://task5.antichat.com
Взломали неизвестные хакеры, а я не могу понять как!
Возможно именно ты, %username% мне поможешь.
Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего 6, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.
Все шеллы удалены, осталось найти уязвимости!
Задание:
-
Task # Task #4
Многие ждали этот таск раньше, но в связи с плотной нагрузкой не было времени из концепта сделать что то целостное. Наконец,на неделе появилось свободное окно и я реализовал задуманное. Отдельно хочу поблагодарить за ценные советы @dooble . Итак,перейдем непосредственно к таску. На этот раз нам предстоит поискать уязвимости на сайте SpaceX, который представляет из себя галерею. В основе таска лежит реальная уязвимость, которая не так очевидна на первый взгляд. Так что (первый хинт) внимательно изучайте все,что найдете.
Задание:
-
Task # Task #6
Приветствую <?=$username?>.
@SkillProgrammer не знает покоя! На этот раз, он разработал систему управления сетевой инфраструктурой, которая необходима нашему заказчику. Предлагаю тебе самому ознакомиться с деталями:
-
Task # Task #8
Добьем тему.
Предлагается найти RCE для не очень частой, но довольно тупиковой ситуации, когда есть "голая" LFI, без возможности заливки файлов, без доступа к логам или чему-либо полезному, сессия не стартована.
В конце прошлого года известные китайцы (тайванцы) показали, что задача решаема.
И не то, чтобы решение было "кривое", нормальное решение, но мы сделаем круче.
Сможем обойти более сложную проблему , когда проверяется расширение файла, или даже конкретное имя, или еще и путь до файла.
Для минимизации времени на поиски вариантов все скрипты с сайта убраны, оставлен только один (и почищен) - не промахнетесь.
В нем строка:
Code:if(isset($_GET['f']) && basename($_GET['f'])==='test.php') include($_GET['f']);
Code:open_basedir /var/www/:/var/lib/php/sessions:/tmp
Задание:... -
Конкурс Новогодний конкурс 2019. Креативное поздравление.
Тема конкурса.
Креативное новогоднее поздравление пользователей Античата 2019.
Правила конкурса:
1. Поздравление может быть стихами, рисунками, словами, видео и т. д. Как угодно, чем угодно.
2. Поздравление должен быть именно к Античату или его пользователям.
3. Поздравление должно быть максимально не банальным. Вам надо проявить свой креатив, свою выдумку.
4.... -
Task # Task #2
Новогодние праздники подходят к концу.Времени для отдыха было вполне достаточно,поэтому предлагаю начать возвращаться к работе с небольшой разминки, а именно с решения данного таска.
Задание:
Правила простые, они исторически сложились на площадках античата и рдота:
-
Task # Task #12
Задача: есть параметр уязвимый к RCE, но провести полноценную атаку мешают фильтры, которые сводят угрозу выполнения произвольного кода к минимуму.
На сайте есть врайтабельная папка. Вам предлагается обойти фильтры, выполнить произвольный PHP код и залить "шелла" в эту самую врайтабельную папку.
Таск основан на реальных фильтрах mod_security, с некоторыми авторскими модификациями
Решением будет считаться код, с помощью которого можно будет залить "шелла" во врайтабельную папку.
Отдельно выполненные команды типа phpinfo() - не считаются.
Брутить и сканить ничего не нужно.
Сложность и креативность решения будет оцениваться отдельно. Данный таск можно пройти разными вариантами исполнения.
Срок:
две недели.
Таргет:
http://task12.antichat.com
Правила остаются... -
Поздравляем Isis а с победой в PHDays HackQuest 2016.
Сегодня заканчивается HackQuest на phdays.ru. Вот уже почти неделю идет битва. Isis по сути досрочно выиграл конкурс. Поздравляем его с победой и с призом.
P.s. Не забываем подписываться на наш канал Youtube. Только подписчики увидят, как я его ломаю. -
Task # Task #3
Скорее всего это последнее задание из конкретно простых.
Немного сменим направление, чистый веб и никакого программирования.
Задание не придумано, а основано на реальных событиях, поэтому легенда будет такая:
Вас попросили проверить сайт, который вероятно взломали и навешали зловредных js.
Сайт восстановили из чистой копии и попросили найти место, через которое могли его взломать.
Задание:
Сайт: http://task3.antichat.com
Найти уязвимость на сайте, индикатором правильности поиска будет служить флаг md5, но присылать в ПМ форума нужно не его, а само прохождение.
Срок:
две недели.
Прошли:
crlf
l1ght
Gorbachev... -
Новогодние Сиськи Античата 2018 !!!
Друзья и товарищи, дамы и господа, мальчики и девочки наконец,
объявляется Новогодний конкурс по теме Новогодние Сиськи Античата 2018 !!!
Правила конкурса будут очень просты:
1. Вы выкладываете в посте этой темы фотографию, где должно присутствовать сочетание сисек (или одной сиськи) -... -
Task # Task #10
Пока остаемся в рамках простых заданий, можно ковырять всем.
Задание искусственно можно разбить на два этапа:
- найти дыру
- проэксплуатировать
Вторая часть - чисто технология, изобретать не надо, все известно, ну может не часто использовалась.
В первой части заметная эвристическая составляющая, на любителя.
Брутить и сканить ничего не нужно (просто бесполезно), внимательность и аккуратность вырулят.
Задание:
Таргет: http://task10.antichat.com/
Найти и прочитать флаг.
Ответы присылайте в ПМ форума, интересует не флаг, а прохождение.
Срок:
две недели.
Правила остаются прежними:
В теме не флудим, подсказки разрешены только от ТС.
Прошли:...
Page 1 of 2