Не много тем про CTF, а ведь многие именно благодаря этим соревнованиям, начинают интересоваться ИБ и хакингом.
Поэтому предлагаю, делится решениями нестандартных тасков, да и в общем продвигаться в этой области на форуме.

В перспективе собрать командуCodeby, можно даже несколько, уверен команды будут сильными, неплохая возможность колесить по миру и собирать трофеи.Также в перспективе организовать свои CTF игры. Может кому-то покажется, что за детский сад, но было бы не плохо!

Что вы думаете по этому поводу? Может есть что добавить или обхаять?
Ну учитывая, что желающих быть в тусовке CTF, достаточно... То, предлагаю начать со сбора команды.
Для тех, кто имеет хорошие навыки в ИБ, но считает CTF всего лишь тратой времени, приведу пару примеров, которые помогут это опровергнуть:

Соревновательный момент

Новые, интересные знакомства

Путешествие по всему миру

Достаточно высокие призы (Например, недавно проходил CTFZone, Российский и главный приз был 10к USD и много других плюшек, также не маленькие призы даже в онлайн, например 16го состоится WhiteHat Grand Prix 2017 , где за первое место 10к USD)

Постоянное внимание от крутых компаний в области ИБ (но это не всех может заинтересовать)

Прокачивание скилла в ИБ

О нашем любимом Antichat узнают везде ))

И наконец участие в DEFCON'е в Лас-Вегасе
Можно найти и еще плюсы, но это краткий список.

Итак, тех, кто хочет быть в команде, а она у нас будет из 7 человек. В перспективе будем рассматривать и 2ю и 3ю, если желающих будет много.

Немного о вашем опыте в CTF и желании участия:

Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.

Какие категории тасков больше всего любите решать.

Что лучше всего делаете в области ИБ.
Может не все нужные моменты выделил, если что подправьте. Всем Удачи!

Участники команды ( CTFtime.org / rororor ), на данный момент:

r0hack сказал(а):


Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.

Какие категории тасков больше всего любите решать.

Что лучше всего делаете в области ИБ.



Желания много, умения - мало...

С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.

Bidjo111 сказал(а):

Желания много, умения - мало...
С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.


В скором времени будет открыта школа Antichat)
Я уже упоминал на форуме, что обучится вы можете и по online курсам.
1. Stepic
2. Udemy
3. Cybrary
И еще куча.

AL04E сказал(а):

В скором времени будет открыта школа Antichat)
Я уже упоминал на форуме, что обучится вы можете и по online курсам.


Насчет курсов - в процессе.
Ждем школу!

Bidjo111 сказал(а):

Желания много, умения - мало...

С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.



Играя с командой можно расти в разы быстрее.
Цель сбора команды Antichat, не только собрать и гонять на CTF`ах, а также делать свои райтапы и гайды по решению тех или иных видов задач.



asdffs сказал(а):

всем хай. ещё набираете народ в команду? я работаю старшим инжинером по безопасности уже несколько лет. в СТФ играю 4 года подряд. больше всего люблю пвн и реверс, но так же силён в вебе. по работе приходилось работать с разными языками и софтом.
у меня есть команда, но так себе) когда соревнуешься хочется всётаки чтобы команда тоже тянула


Привет, да , конечно еще собираем. Походу дела в первом сообщении буду выкладывать, тех, кто уже в команде.
Думаю стоит написать и о себе в стф. Играю уже 2ой год, если идет игра все остальные дела на автомате приходится откладывать)). Больше всего гоняю с вебом, но также с форезикой и всякими реконами и мисками в случае необходимости.
Если соберется хотя бы человек 4, то планируем уже участвовать на CTF 16го декабря https://grandprix.whitehatvn.com/

Столкнулся с этим заданием на местном ctf, но, к сожалению, не смог его до конца раскрутить..

На web сервере имеется сайт. На сайте есть форма для ввода пароля и загрузки файла. Файл загружается на сервер, только в случае правильного ввода пароля.. изначально пытался перебрать пароли по имеющимся в Kali словарям, но, увы, безуспешно..

затем обнаружил через burpsuite, что в поле cookie содержится переменная вида =/../../etc/passwd. Вбив значение данной переменной в url браузера, был получен доступ к имеющимся пользователям.. однако обращение к /etc/shadow тем же образом не прокатило.

Кроме того, обнаружил, что эта же переменная уязвима к xss, при определенных махинациях, для обхода фильтрации.. однако как использовать эту уязвимость для дальнейшего проникновения я не придумал..

возможно кто-то подскажет возможные варианты развития события или кто-то уже сталкивался с аналогичными заданиями.. буду признателен)))

Bidjo111 сказал(а):

Я так понял, участие в этом конкретном ctf полностью открытое. Может есть кто из новичков, кто бы хотел себя попробовать? Организовали бы еще одну команду...



Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?

asdffs сказал(а):

смотря как апликуха выдаёт файл, можно попробовать залезть через /proc/self/environ предварительно изменив user-agent на инжект веб шела аналогичный способ будет через логи (веб, ссх, и тд)


Как вариант) возможно это сработало бы..



r0hack сказал(а):

И сам таск уже не активен ?


Нет

r0hack сказал(а):

Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?


Как бы это поделикатнее...
Пока не могу сказать, что в какой-то лучше. Знаю, что в крипте и реверсе пока полный ноль...



PingVinich сказал(а):

Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.


Разумно. Но оставьте ветку для новичков.

Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.

PingVinich сказал(а):

Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.


Да, тоже так подумал. Но бывалые ИБшники пока молчат )




Bidjo111 сказал(а):

Разумно. Но оставьте ветку для новичков.


Как я уже и говорил, как минимум будет еще 2ая команда. Но пока что упор будем делать на основную команду. А вы можете, пока усиленно прокачивать скилл и категория нужна, в котором лучше всего получается.


SooLFaa сказал(а):

СТФ команда уже формируется. И формироваться будет только из мемберов закрытых разделов. Для принятия в команду нужно иметь статус не ниже серого. Тему можно считать закрытой.


Ничего себе, а админы были другого мнения на этот счет

СТФ команда уже формируется. И формироваться будет только из мемберов закрытых разделов. Для принятия в команду нужно иметь статус не ниже серого. Тему можно считать закрытой.


r0hack сказал(а):

Ничего себе, а админы были другого мнения на этот счет


Пока админы думали, ребята уже скоорденировались и вместе уже была первая вылозка.

Будем играть тогда 16го в 5 утра в https://grandprix.whitehatvn.com . Отпишитесь, если еще есть желающие, сделаем чат в телеге, и там я вам скину уже инфу...



sinner67 сказал(а):

тык непонятно, будет команда Antichat выступать или нет? Болеть или не болеть?)


Я сам до конца всего не понял ))

r0hack сказал(а):

тогда 16го в 5 утра в https://grandprix.whitehatvn.com

тык непонятно, будет команда Antichat выступать или нет? Болеть или не болеть?)

>Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
Слышал, интересуюсь задачками около 8 месяцев, участия не принимал.

>Какие категории тасков больше всего любите решать.
Крипто\стеганография, веб.

Зачем настраивать ctf платформу для обучения с нуля если есть сотни готовых ctf задач в открытом доступе?
- https://www.vulnhub.com/
- http://ctf.komodosec.com/
- https://www.hellboundhackers.org/
- https://w3challs.com/

aknisi сказал(а):

Нужны ваши дельные советы, как это все лучше провернуть.
Может есть хороший гайд по обеспечению безопасности своего web сервера.


Нужны советы по организации CTF? Ну, например, http://qctf.ru/starter-2018/ дает возможность организовать CTF в твоем городе, задания платформа от них, организация от тебя. Для начала, то что надо!

aknisi сказал(а):

Спасибо за информацию.
Всё было бы круто, но есть одно "но".
В моей стране неразбериха происходит. И если я буду под этим брендом выступать, то меня могут не так понять местные власти. Хотя я лично против всяких политических грязных штучек. Я из Украины. Недалеко от фронта. А ребята на сколько я понял, по российским мероприятиям работают. Поймите меня правильно. А то тут доброжелателей куча
Сейчас с этим прям беда...

UPD.
И они предлагают классический вариант, а нужно в стиле Task-based (jeopardy)
Командное участие не предполагается.


ну у вас есть крутая dcua, они не продвигают у вас там никак ?)
А так можно для начала, самые изичайщие таски придумать, и тестовый провести в межвузовский, например.

Есть ли какие-нибудь площадки на русском языке?

CyberX88 сказал(а):

Есть ли какие-нибудь площадки на русском языке?


http://training.hackerdom.ru/
https://shadowservants.ru/contests

r0hack сказал(а):

http://training.hackerdom.ru/
https://shadowservants.ru/contests

Спасибо!)

Хочу в команду!
Слышали ли вообще о CTF.
-принимал участие из 334 человек занял 71 место.
Сколько лет/месяцев этим занимаетесь.
- 7 месяцев по 14 часов в день.
Какие категории тасков больше всего любите решать.
-веб, сети, администрирование, форензика.
Что лучше всего делаете в области ИБ.
- на данный момент занимаюсь только вебом. Решил не распыляться на все подряд.
Самый главный и обязательный навык в кодексе



aknisi сказал(а):

Комрады, ситуация немного прояснилась.
Всё по порядку:
Скачал и установил на VBOX - Ubuntu Server 17.10.1
Установил CTFd + NGINX (слушает 8080, чтоб конфликтов не было) + uwcgi
Пробросил порты WiFi TP-LINK (теперь можно вбить ip:8080 и попасть на сайт ctf)
Проверил, всё работает.
Теперь собственно нужны технические советы от знатоков для обеспечения безопасности:
Стандартные настройки NGINX и uwsgi не нужно менять для защиты от ddos?
Как лучше настроить WiFi роутер TL-WR740n с открытым портом 8080 в мир? (Там, вроде, железка позволяет от DoS защитится по минимуму)
Ваши предложения... )
Если насобирается достаточно информации.
Сделаю пошаговую статью для всех желающих! )
Поделюсь своим опытом.
---- Добавлено позже ----
UPD
С nginx немного разобрался. Сегодня за uwsgi возьмусь. По поводу моей модели роутера, на каком-то форуме люди обсуждали такой вопрос. Пришли к выводу, что не получится корректно настроить железку на защиту.
Даже разобрался как можно на своём сервере делать задачи по pwn.
А мне сейчас ваша помощь нужна.
Легких задачек с решением подкиньте, чтобы из можно было использовать в ctf)


организаторов CTF уметь гуглить.
Честно вопросы задаёшь на которые уже есть ответы. Не надо велосипед изобретать.

aknisi сказал(а):

Легких задачек с решением подкиньте, чтобы из можно было использовать в ctf)


С заданиями для Веб, Форензики и Миска могу помочь. Пиши в телеге: @r0r0xx

Интересно, на каких CTF вы принимали участие?) Являюсь одним из организаторов FarEastCTF)

Если этот ctf есть на ctftime, то стоит поискать райтапы там

Добрый день, всем участикам форума. А давайте расширим текущую нашу мини CTF команду и наберем новых участников. Для этого предлагаю всем желающим отписаться ниже. Из них будет составлена команда для ближайших ctf.

BadBlackHat сказал(а):

Добрый день, всем участикам форума. А давайте расширим текущую нашу мини CTF команду и наберем новых участников. Для этого предлагаю всем желающим отписаться ниже. Из них будет составлена команда для ближайших ctf.


я бы попробовал,но сомневаюсь что справлюсь с заданием...если немного поможете, готов поучавствовать.

BadBlackHat сказал(а):

Добрый день, всем участикам форума. А давайте расширим текущую нашу мини CTF команду и наберем новых участников. Для этого предлагаю всем желающим отписаться ниже. Из них будет составлена команда для ближайших ctf.



Можно попробовать.

CyberX88 сказал(а):

я бы попробовал,но сомневаюсь что справлюсь с заданием...если немного поможете, готов поучавствовать.

Привлекаются все желающие. В этом суть, можете попробрвать себя и набраться опыта, играя в команде

Dr.Lafa сказал(а):

Привлекаются все желающие. В этом суть, можете попробрвать себя и набраться опыта, играя в команде


В таком случае я всегда ЗА!

Готов присоединиться.

Готов присоединиться

Я с вами

Есть небольшое знание теории, огромное желание попробовать и такая же огромная неуверенность в моей полезности команде. Но буду несказанно рад, если все же дадите шанс)

прошу ознакомиться с правилами проведения (https://forum.antichat.xyz/threads/1622978/)

cherubot сказал(а):

Есть небольшое знание теории, огромное желание попробовать и такая же огромная неуверенность в моей полезности команде. Но буду несказанно рад, если все же дадите шанс)


в чём проблема попробовать в соло?

cherubot сказал(а):

Есть небольшое знание теории, огромное желание попробовать и такая же огромная неуверенность в моей полезности команде. Но буду несказанно рад, если все же дадите шанс)


Вступай в группу по ссылке

Пиши и меня, хотя вообще не знаю о чем речь, но не попробовав так и не узнаю, а справиться человек может со всем, вопрос времени и мотивации!

Iskus сказал(а):

Пиши и меня, хотя вообще не знаю о чем речь, но не попробовав так и не узнаю, а справиться человек может со всем, вопрос времени и мотивации!


Аналогично, вступай в группу в телеге )
1523467713
Правила участия в соседней теме Newbie Antichat CTF team - продолжение (https://forum.antichat.xyz/threads/1622978/)

тож готов проверить свои знания

Чат в телеграмм тебя ждет, первая вылазка уже завтра

Ребята осталось не так много времени присоединиться к нам. Скажу еще раз лучше один раз попробовать поучаствовать чем смотреть райтапы. Ссылка на группу в Telegram в соседней теме.