Вот это уже лучше :)
В среду сыграли CU CTF вместе с
Итог — 1-е. Не помню уже когда такое было.
За 8 часов решили 22 таска, из них 4 FB.
Форза была лёгкой и уцуцугой, в пропорции 50/50.
Победу также обеспечили:
Спасибо им)
Райтапчики здесь.
P.S. — Команда сборной ИБ Москвы 2я))
В среду сыграли CU CTF вместе с
xor eax, eax jmp eax.Итог — 1-е. Не помню уже когда такое было.
За 8 часов решили 22 таска, из них 4 FB.
Форза была лёгкой и уцуцугой, в пропорции 50/50.
Победу также обеспечили:
re
splav
kvasilek
skeleton
Спасибо им)
Райтапчики здесь.
P.S. — Команда сборной ИБ Москвы 2я))
❤5🤡1
Рубрика #копаемся
Решил сдампить процесс chrome.exe и посмотреть, что можно достать из него через «оптографию».
Из интересного:
1. Можно просмотреть открытое изображение, причём если оно открыто как картинка (скриншот 1).
2. Также виден некий url, который был открыт за 5 минут до снятия дампа (скриншот 2).
3. Иконки верхней панели хрома (закладки+расширения). Также виден график, но если бы мы знали что это такое... (скриншот 3).
В отличие дампа chrome из волатилити, в дампе через диспетчер задач нельзя просмотреть скрин рабочего стола. Также основные данные видны не в RGBA, а в RGB и BGR565LE.
Так что для тасков заготовка есть, но на практике пока применений не вижу.
Буду рад предположениям.
Как-то так.
Решил сдампить процесс chrome.exe и посмотреть, что можно достать из него через «оптографию».
Из интересного:
1. Можно просмотреть открытое изображение, причём если оно открыто как картинка (скриншот 1).
2. Также виден некий url, который был открыт за 5 минут до снятия дампа (скриншот 2).
3. Иконки верхней панели хрома (закладки+расширения). Также виден график, но если бы мы знали что это такое... (скриншот 3).
В отличие дампа chrome из волатилити, в дампе через диспетчер задач нельзя просмотреть скрин рабочего стола. Также основные данные видны не в RGBA, а в RGB и BGR565LE.
Так что для тасков заготовка есть, но на практике пока применений не вижу.
Буду рад предположениям.
Как-то так.
❤4👍4
Forwarded from Evening bug reports
HackerOne
HackerOne disclosed on HackerOne: The /reports/:id.json endpoint...
Hi
The.json endpoint of any disclosed report is leaking reporter's email, OTP backup codes, reporter's phone number, "graphql_secret_token", tshirt size all the reporter account's internal details...
The.json endpoint of any disclosed report is leaking reporter's email, OTP backup codes, reporter's phone number, "graphql_secret_token", tshirt size all the reporter account's internal details...
Знакомые из DUCKERZ проводят конкурс проходок на PHD.
Условие одно: как можно быстрее решить все таски на Bug Bounty тематику.
Первые 10 человек получат бесплатные проходки.
Старт намечен на 12:00 11 мая.
Советую поучаствовать :)
Условие одно: как можно быстрее решить все таски на Bug Bounty тематику.
Первые 10 человек получат бесплатные проходки.
Старт намечен на 12:00 11 мая.
Советую поучаствовать :)
Telegram
DUCKERZ
Хочешь поехать на PHDays?
11 мая на нашей платформе будут доступны 4 задания в сотрудничестве со Standoff Bug Bounty 🚩
Первые 10 человек, которые решат все задания, получат бесплатные проходки на PHDays, который пройдет 22-24 мая в «Лужниках» в Москве…
11 мая на нашей платформе будут доступны 4 задания в сотрудничестве со Standoff Bug Bounty 🚩
Первые 10 человек, которые решат все задания, получат бесплатные проходки на PHDays, который пройдет 22-24 мая в «Лужниках» в Москве…
🔥7❤3👍2
На днях наш
Стараюсь балансировать между мемами, наблюдениями, событиями и репостами с других каналов.
Также советую посмотреть и другие медиа из списка, в них много годного контента ;)
https://yangx.top/writeup_ctf/641
k3vg3n_ch попал список развивающихся ИБ каналов по версии @writeup_ctf!Стараюсь балансировать между мемами, наблюдениями, событиями и репостами с других каналов.
Также советую посмотреть и другие медиа из списка, в них много годного контента ;)
https://yangx.top/writeup_ctf/641
Telegram
Райтапы по CTF{2025}
Хочу поддержать крутых ребят, которые качают скиллы в ИБ, делятся знаниями и двигают сообщество вперед. Пусть их каналы найдут своих подписчиков, а авторы видят, что их труд действительно ценят.
Как и обещал — ловите список каналов, которые стоит заценить!…
Как и обещал — ловите список каналов, которые стоит заценить!…
🔥11🤣2
Недавно попался сайт с /.git директорией, которая возвращала 403, однако файлы в ней были доступны.
Нашёл, что для дампа таких гит директорий можно использовать GitHacker.
Утилита автоматически скачает файлы, а также древо изменений и логи.
После этого можно уже анализировать через
#tools@k3vg3n_ch
Нашёл, что для дампа таких гит директорий можно использовать GitHacker.
Утилита автоматически скачает файлы, а также древо изменений и логи.
После этого можно уже анализировать через
git show.#tools@k3vg3n_ch
GitHub
GitHub - WangYihang/GitHacker: 🕷️ A `.git` folder exploiting tool that is able to restore the entire Git repository, including…
🕷️ A `.git` folder exploiting tool that is able to restore the entire Git repository, including stash, common branches and common tags. - WangYihang/GitHacker
Forwarded from PRO:PENTEST
Всем доброго вечера!
На носу ежегодная премия пентестеров. Возникает много вопросов? 👀
Мы для вас заготовили много ответов, приятного просмотра! 🔥
На носу ежегодная премия пентестеров. Возникает много вопросов? 👀
Мы для вас заготовили много ответов, приятного просмотра! 🔥
YouTube
Как устроена премия Pentest Award на самом деле?
Кто придумал Pentest Award? Зачем вообще нужна эта премия? Как выбирают победителей?
Я задавал разные вопросы организаторам — про жюри, кейсы, хантинг участников и участие Авиликса, и многое другое.
Получилось честно, местами неоднозначно, но очень по делу.…
Я задавал разные вопросы организаторам — про жюри, кейсы, хантинг участников и участие Авиликса, и многое другое.
Получилось честно, местами неоднозначно, но очень по делу.…
Увидел пост о том, что ИИ модели могут конкурировать с профессиональными игроками.
Буквально недавно наткнулся на ИИ, который находит уязвимости в гит репозиториях. Решил загрузить в неё сервисы с A/D финала Кубка CTF 2024.
И что получилось? А ничего!) 👍
Ни одна из обнаруженных не соответствует задуманным, все false-positive.
Вайб A/D отменяется, думаем сами.
Буквально недавно наткнулся на ИИ, который находит уязвимости в гит репозиториях. Решил загрузить в неё сервисы с A/D финала Кубка CTF 2024.
И что получилось? А ничего!) 👍
Ни одна из обнаруженных не соответствует задуманным, все false-positive.
Вайб A/D отменяется, думаем сами.
😁9