ANTICHAT
Страница 1 из 6 1 2 3 4 5 > Последняя »
Показывать 40 сообщений этой темы на одной странице

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Задания/Квесты/CTF/Конкурсы (https://forum.antichat.xyz/forumdisplay.php?f=112)
-   -   Task #6 (https://forum.antichat.xyz/showthread.php?t=469836)

crlf 04.04.2019 21:13
https://i.imgur.com/cmmvX0b.png

Приветствую .

@SkillProgrammer не знает покоя! На этот раз, он разработал систему управления сетевой инфраструктурой, которая необходима нашему заказчику. Предлагаю тебе самому ознакомиться с деталями:

Цитата:
Сообщение от DarkHat
Привет!
Помнится ты говорил, что вашим ребятам любые орехи по зубам. Так вот, появился тут на горизонте чувак, прогер, понтов гнал, ууу, ужас. Разработал он якобы некую систему управления, непрерывная интеграция там, сбор и анализ данных с хостов, система чтения/отправки сообщений и другой полезный функционал. Наш главный заинтересовался, говорит нужно глянуть сорцы, что да как. Ну ты знаешь, он добра не забывает
Начали пробивать, прогер чистый, следов в сети по минимуму. Волею судеб, сконтачились с одним чуваком из его тимы, загнали пару шекелей и он, всё что знал по этому проекту, слил.
Короче, висит dev версия системы где-то на его хосте с бложеком, точнее на 94.X5Y.X5Y.96. Некоторые цифры покромсало, т.к. во время переписки пошли какие-то лаги, после чего он, стукачёк, пропал
Успел сказать ещё, что Skill этот, тот ещё маньяк и в поделки свои флаги вставляет, типа игра с хакерами, дебил. Всего 5 флагов вида {skl_*}, идут по порядку, так что думаю поможет держать направление, не ошибётесь. Ну и что-то про ловушки говорил ещё, отвлечение внимания и тому подобная фигня, сами там по месту разберётесь в общем.
На всё про всё, есть две недели, но я думаю ваши ребята быстрее сделают. Всё, до связи, жду хороших новостей
C ув. DarkHat
Если аббревиатуры и термины вида: Shell Upload, Code/Command Execution, OOB, File Disclosure, SSRF, LFI, Social Engineering, для тебя не просто набор букв, тогда вперёд !

Все вопросы связанные с заданием, оставлять в этой теме. Флаги и способы их получения (!), по мере прохождения, слать мне в ЛС для отслеживания статистики.

133derboard:

- чистый флаг, - с подсказкой, - пропущен (заявку в ЛС).

Прохождение

.

crlf 04.04.2019 21:13
HINTS

Flag #1
  • Похоже, что сообщения читаются с той самой системы, которую нужно получить, но что может выдать её адрес?
  • Сервер находится в RU, поэтому нужно иметь в виду, что приходят по утру часть IP может быть заблокирована РКН, пробуем разные варианты.
  • Он читает все сообщения, а что если попытаться использовать социальную инженерию? Что-то определённо должно получиться!
  • Информация из Referer вполне может нам пригодиться, загоним прогера на сниффер?
  • Возможно изучение следующих материалов поможет в продвижении: 1, 2.

Flag #2
  • Какая странная форма, никакой реакции. Да ну, нафиг её!
  • Стоит осмотреться во всех частях площадки и прошерстить каждый уголок.

Flag #3
  • Говорят, у страха глаза велики... Довольно часто, страшные криптографические велосипеды легко обходятся
  • Неплохим шагом будет изучение проблем безопасности некоторых используемых функций.
  • Мне кажется или эксперты находили нечто подобное в CMS Made Simple?! Хм...
Flag #4
  • Существует несколько видов валидации URL в PHP, стоит попробовать изучить их детальнее.
  • Не мне рассказывать, сколько врапперов поддерживает PHP, они точно все проверены?
Flag #5
  • Эти библиотеки меняются на глазах! Главное не упустить момент с версиями, чтоб не потратить время впустую.
  • Среди кучи деструкторов ничего полезного Похоже, что можно как-то прыгнуть в другой метод... самое время повторить теорию...
  • Есть, как минимум, два варианта решения одной из проблем. Простой и сложный (хайповый).
  • Cтоит покопаться в ресёчах ребят хакнувших PornHub и заглянуть в блог RIPS Tech
  • More coming soon?

Тот_самый_Щуп 05.04.2019 06:18
Этого я давно ждал. Первый таск, который будет вас по ходу прохождения троллить, и издеваться. Пристегните ремни, это будет весело.

Полтора часа гонялся за первым флагом, в итоге... не буду спойлерить, но меня уже чутка полыхает. Иногда это полезно.

Код:
Где точка с запятой в конце? Это вам не пусть говорят питон.

PS: пните горыныча, пусть таск в закреп повесит, а то потсоны то и не знают...

pas9x 05.04.2019 06:45
Ставь лайк если нашёл пасхальное яйцо =)

crlf 05.04.2019 08:39
Цитата:
Сообщение от Gorbachev

Этого я давно ждал. Первый таск, который будет вас по ходу прохождения троллить, и издеваться. Пристегните ремни, это будет весело.
Полтора часа гонялся за первым флагом, в итоге... не буду спойлерить, но меня уже чутка полыхает. Иногда это полезно.
@SkillProgrammer коварная и скользкая личность Но радует, что помимо флагов, местами, он оставил прямые намёки для дальнейших действий

Цитата:
Сообщение от Gorbachev

Код:
Где точка с запятой в конце? Это вам не
пусть говорят
питон.
За это мы его и любим, он прощает многое. ПЫХ ван лав

Цитата:
Сообщение от pas9x

Ставь лайк если нашёл пасхальное яйцо =)
Дéржите верный курс товарищ!

BabaDook 05.04.2019 14:15
Цитата:
Сообщение от crlf

@SkillProgrammer
коварная и скользкая личность
Но радует, что помимо флагов, местами, он оставил прямые намёки для дальнейших действий
За это мы его и любим, он прощает многое. ПЫХ ван лав
Дéржите верный курс товарищ!
@SkillProgrammer, моральный больной , не человек

Jerri 05.04.2019 16:00
404.txt

dooble 05.04.2019 21:05
ТС -крутой.

Причем крутой настолько, что пора начинать гордиться тем, что живешь с ним в одно время, тусуешься на одном форуме и даже можешь порешать его задачки.

Но у этой крутизны есть и обратная сторона, как бы он ни старался сделать понятно и просто, у него все-равно получается круто.

Таск шикарный, но не простой, сходить по ложному пути заметно легче, чем попасть на нужный, хотя вроде все очень логично и правильно.

Поэтому запасайтесь временем, с наскока пройти может и не получиться.

Из хороших новостей - автор не скупится на подсказки, которые вероятно будут и здесь, место во всяком случае уже заготовлено.

Таск достоин всяческих похвал и очень рекомендуется к прохождению.

Скорее всего нужно только выделить достаточно времени, поскольку таск атмосферный и затягивает.

l1ght 06.04.2019 01:56
Цитата:
Сообщение от dooble

ТС -крутой.
Причем крутой настолько, что пора начинать гордиться тем, что живешь с ним в одно время, тусуешься на одном форуме и даже можешь порешать его задачки.
- Эй внучок, пади суда.

- Что деда?

- А ты знаешь с кем твой дед чалился в 2019 на античате ?

- С кем?

- С Crlf !

- Ух ты. А кто это?

- Ну это тот чувак, который рутает серваки тасков через exim и коллекционирует брутальные сегфолты в серверном по

- Ааа

Мне таск тоже очень понравился (хоть и не прошел его до конца ) Я бы сравнил его с интересной книгой: во-первых продуманная сюжетная линия, каретка создал целую историю. Видно, что очень старался и получилось реалистично. Никаких угадаек, везде указатели. Если читать взахлеб, увлекшись сюжетной линией, можно упустить детали. А потом понимаешь, что здесь присутствуют элементы триллера, и приходится возвращаться назад и перечитывать страницу. ТС современный писатель, поэтому в книге затронуты только актуальные темы. Такую книгу жалко ставить на полку, хочется дочитать ее до конца!

- где же "во-вторых", скажет внимательный читатель? этот таск 100% для тебя, Undefined variable: username

Надеюсь автор так же укажет толщину этой книги (сроки на выполнение таска), уж слишком быстро прилетели первые хинты

crlf 06.04.2019 10:12
Есть первый флаг, респектуем @pas9x!

Цитата:
Сообщение от dooble

ТС -крутой.
Цитата:
Сообщение от l1ght

- А ты знаешь с кем твой дед чалился в 2019 на античате ?
Парни, спасибо! Как и договаривались, отработали на все 100, надеюсь все поверили Понедельник 9:00, премия будет ждать вас в бухгалтерии


Время: 00:56
Страница 1 из 6 1 2 3 4 5 > Последняя »
Показывать 40 сообщений этой темы на одной странице