Winja CTF is an initiative by nullcon, they already posted a few interesting quizzes, quiz#2 was about android Reverse Engineering, my friend did a good job and actually won the quiz, so check the amazing writeup — winja ctfquiz#2 — writeup

What Quiz#3 is about?

In quiz#3 they provided CognitoIdentify’s PoolId and region. To be honest when I started this challenge, had no idea what it was but it gave me a perfect oportunity to learnt it.

Amazon Cognito

Amazon Cognito is a user identity and data synchronization service that makes it easy for developers to manage user data for their apps across multiple mobiles…


https://www.hackthebox.eu/home/machines/profile/222

This is a write-up on how I solved OpenAdmin from HacktheBox.

Hack the Box is an online platform to test and advance your skills in penetration testing and cybersecurity.

about this box:

OpenAdmin is a relatively easy, super simple and straightforward box. Totally recommended for newbies. The user part was so funny for me, root takes about 1 minute. So, let’s get hands dirty!

Recon:

Use Nmap to scan the target ports:


This is a write-up on how I solved Registry from HackTheBox.

Hack the Box is an online platform to test and advance your skills in penetration testing and cybersecurity.

About this box:

One of my favorite boxes from HackTheBox, very real-world applicable. There are lots of steps, but it’s very straightforward and you probably have already found your next step before you know how to use it, we will see a lot of common mistakes.

Actually, Registry was my first Hard level box.

Recon:

Use Nmap to scan the target ports:


https://www.hackthebox.eu/home/machines/profile/207

This is a write-up on how I solved Bitlab from HacktheBox.

Hack the Box is an online platform to test and advance your skills in penetration testing and cybersecurity.

about this box:

Bitlab is a medium difficulty box. Bitlab was such a good and fun box because it demonstrated real-life setups and vulnerabilities not because of old versions but because of how boxes are setup (over permission-binaries, reconfigured or over-exposed network services, people sticking keys in places they really should not be, etc).

Recon:

Use Nmap to scan the target ports:


This is a write-up on how I solved craft from HacktheBox.

Hack the Box is an online platform to test and advance your skills in penetration testing and cybersecurity.

About this box:

One of my favorite boxes from HackTheBox, very real-world applicable. There are lots of steps, but it’s very straightforward and you probably have already found your next step before you know how to use it, we will see a lot of common mistakes, this one really forces you to understand all the pieces of the web-app it is running in order to get user. So it feels very real.

Actually, Craft…


გამარჯობა, დღეს განვიხილავ კიბერ ოლიმპიადის მორიგი კატეგორიის Pentest-ის ერთ-ერთ სავარჯიშოს, Gunmarket-ს და ვეცდები, თითოეული ნაბიჯი დეტალურად ავხსნა.

უკვე განხილული კატეგორიები თუ გაინტერესებს, შეგიძლია გაეცნოთ:

Pcap Analysishttps://bit.ly/2M9L7f0

რა არის Buffer Overflow ?- https://bit.ly/2GZbNLr

Log analysis https://bit.ly/2HntEMc

აღნიშნულ დავალებაში განვიხილავთ ისეთ თემებს, როგორებიცაა:

  • პორტების სკანირება
  • Salted პაროლების გატეხვა JohnTheRipper ის საშუალებით.
  • ცუდი cookie based authentication- ის მაგალითს
  • დირექტორიების ენუმერაციას
  • WPScan ის გამოყენება და მისი დახმარებით ავტორიზაციაზე გვერდის ავლა.
  • Webshell

კიბერ ოლიმპიადაზე გამოყენებული სავარჯიშოები შეგიძლიათ cyber-lab — ზე იხილოთ.

მაშ ასე, ამოცანის პირობა შემდეგია:

მოცემული გვაქვს ორი კითხვა, რომლებიც 2 გასაღების პოვნას გვავალებს.

მოდი დავიწყოთ პირველი გასაღების ძებნა.

nmap -sC…


ვაგრძელებთ კიბერ ოლიმპიადის(cybercube) ამოცანების განხილვას, თუ წინა 2 სტატია არ გინახავს, შეგიძლია მათ გაეცნო:

Pcap Analysishttps://bit.ly/2M9L7f0

რა არის Buffer Overflow ?- https://bit.ly/2GZbNLr

დღეს განვიხილავ ერთ-ერთი კატეგორიის, ლოგ ფაილების ანალიზის, რამდენიმე ამოცანას და ვეცდები, თითოეული ნაბიჯი დეტალურად ავხსნა.

კიბერ ოლიმპიადაზე გამოყენებული სავარჯიშოები შეგიძლიათ cyber-lab — ზე იხილოთ.

მოდი ჩვენი პირველი ამოცანა იყოს userpro, რომლის პირობაც შემდეგია:

მოცემული გვაქვს Apache-ის Log ფაილი, მოდი მისი ანალიზისთვის არ გამოვიყენოთ უკვე არსებულები ხელსაწყოები და ჩვენით დავწეროთ პატარა სკრიპტი.

მაშ ასე, მოვიმარჯვოთ ჩვენი საყვარელი ედიტორები და გავხსნათ Log ფაილი.

ჩვენი Log ფაილი შემდეგნაირად გამოიყურება:


საქართველოში ყოველწლიურად ტარტდება კიბერ ოლიმპიადა(cybercube), რომელიც რამდენიმე ტიპის სავარჯიშოს მოიცავს.

დღეს განვიხილავ ერთ-ერთი კატეგორიის, ქსელური ნაკადის ანალიზის, რამდენიმე ამოცანას და ვეცდები, თითოეული ნაბიჯი დეტალურად ავხსნა.

კიბერ ოლიმპიადაზე გამოყენებული სავარჯიშოები შეგიძლიათ cyber-lab — ზე იხილოთ.

ჩვენი პირველი ამოცანა იქნება Heist2, რომლის პირობაც შემდეგია:

მოცემული გვაქვს PCAPNG ფაილი, რომელზე სამუშაოდაც, Heist2 ის მაგალითზე, wireshark-ს გამოვიყენებ, ის იდეალური ხელსაწყოა ქსელური ნაკადის ანალიზისთვის. wireshark ის დაყენება ძალიან მარტივია, ყველა პლატფორმაზეა ხელმისაწვდომი.

wireshark — ის დაყენების შემდეგ გახსენით ამოცანა. ის შემდეგნაირად გამოიყურება:


buffer

რა არის buffer-ი?

ეს არის გაშვებული პროგრამის მეხსიერების ადგილი, რომელიც წინასწარ არის რეზერვირებული და გამოიყენება დროებითი მონაცემების შესანახად. buffer-ი წარმოიქმნება პროგრამის გაშვებისას, ინახება RAM-ში ხოლო ნადგურდება პროგრამის გათიშვის დროს.

მაგალითად, გვაქვს პროგრამა, რომელიც მომხარებელს ეკითხება სახელს, ინახავს მას ცვალდში სახელად ‘username’ და აბრუნებს — ‘Hello username’.


15 მაის, საქართველოში ჩატარდა პირველი, პროგრამული უზრუნველყოფის უსაფრთხოებაზე ორიენტირებული არაკომერციული ორგანიზაციის — OWASP ის შეხვედრა, სადაც განხილული იყო ისეთი თემები, როგორიცაა : Application Security Verification Standard (ASVS), OWASP top 10 და ა.შ.

ხოლო დღის ბოლოს ჩატარდა CTF, რომელიც 3 სავარჯისოსა და 9 კითხვას მოიცავდა. სავარჯიშოები კი განხილული თემებიდან იყო შედგენილი.

დღეს განვიხილავ ამ სავარჯიშოებს და ვეცდები ყველაფერი გარკვევით ავხსნა. დასპოილერება თუ არ გინდათ, გირჩევთ არ წაიკითხოთ.

დავიწყოთ კიბერ ჰიგიენის საკითხით.

THE.GOV.GE

აღსანიშნავია ის ფაქტი, რომ ეს სავარჯიშო OWASP ის შეხვედრამდეც იყო Cyber-lab.tech — ზე მაგრამ არავის არ ქონდა ამოხსნილი.

ამოცანის პირობა შემდეგია:

Aleksi Kistauri

Born at a very young age.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store