Az élet kódjai

Ez számomra egy nagyon nehéz CTF volt. Több napon keresztül kellett futtatni a programokat, és sok csapda is volt, ami tévútra vezetett. Azért a végére sikerült megoldani. sudo nmap -p- -nP $IP Csak három port volt nyitva, lássuk, milyen szolgáltatások vannak mögötte: sudo nmap -sV -p 22,80,445…

A középkorú férfiak meg szoktak bolondulni. Vesznek egy méregdrága sportkocsit, hogy gyérülő hajukat még egyszer utoljára fújja a szél, esetleg a feleségüket cserélik le egy 20 éves nőre, a ferde pillantásokra meg úgy válaszolnak: mit nézel? Már nagykorú! Habár a feleségem jól van, és sportkocsikat…

Most rendhagyó CTF bemutató következik, mert nem egy, hanem mindjárt két CTF megoldását is bemutatom. Közös bennük, hogy hülyét kell csinálni a nagy nyelvi modellekből. És ez baromi szórakoztató. Ennyit régen nevettem CTF megoldás közben. Evil-GPT A virtuális gép elindítása után az nc-vel tudunk…

Kaptam egy újabb béna levelet, amit az UPS nevében küldtek, hogy csomagom van. A megszólítás az email címem volt, a kinézete még csak nem is hasonlított az UPS-re, és döglött linkek voltak benne. Majdnem letöröltem, de ekkor észrevettem benne valamit. Az adathalász link ugyanis valami érdekességet…

A CTF indító oldala mellett a Tomcat logót lehet látni, amiből sejtheti az ember, hogy miféle feladatot kell megoldani. Az első lépés az nmap, ami meg is erősíti a feltevésünket. Rövid keresgélés után a 8.5.5-ös Tomcathez találhatunk egy rakás sebezhetőséget. A legtöbb valamilyen hibás…

Idén is elmentem a budapesti BSides-ra, sőt a tavalyi Hacktivity fiaskó után már laptopot is vittem. A kiállítók száma erősen visszaesett, már csak a legkeményebbek képviseltették magukat. Ketten. Az előadások viszont ígéretesnek tűntek, ezért rögtön be is ültem rájuk. Az első előadásban, amit…

Közeleg a Húsvét. A hallgatók már a vonatjegyeket foglalják a hazaútra, az egyetemi dolgozók a szabadságukkal toldják meg hosszú hétvégét, hogy minél több időt szentelhessenek családjuknak. Mindenki a csokinyulak, sonkák és festett tojások megemelkedett fogyasztására készül. Én meg a Revision-t…

Először feltérképezzük a rendszert a jó öreg nmap-el: nmap -p- -Pn $IP Eredményül megkapjuk a 22-es SSH portot, a 80-as webet és a 3306-os porton a MySQL-t. Az adatbázishoz nem lehet csatlakozni, az SSH-hoz még nincs elég információnk, marad a web. A webes felületen először egy logó jelenik meg,…

Ez egy nagyon megkavart CTF volt, sok csapdával és kerülő utakkal. Először a szokásos felderítést végeztem. Első lépésként csak egy gyors keresés, hogy legyen min gondolkodni, amíg a teljes keresés lefut. nmap -Pn --top-ports 100 $IPnmap -Pn -p- $IP Mindkét keresés ugyan azt az eredményt…

Az interneten fellelhető adatok egy része könnyen letölthető. Ezek HTML-be vannak ágyazva, esetleg már eleve valami könnyen emészthető fájlként ülnek a szerveren és egy link mutat rájuk. Ebben az esetben a wget vagy curl segítségével simán megszerezhetjük a nekünk kellő információt. Csakhogy egyes…

Annak idején, ha az ember meg akart tanulni hekkelni, különböző warez oldalakat, underground fórumokat, és hasonlókat bújt (vagy feltette a nagy kérdést a prog.hu-n). Manapság pedig egész ipar épül rá. Ha van elég pénzed, megtanulhatod azt, ami régen tiltott, de ingyenes volt. Érdekes, hogyan…

Legutóbb azon voltam kiakadva, hogy már az adathalász levelek sem a régiek. Csupa primitív, hátulgombolós módszerrel van tele az egyetemi levelezésem. Nem tudom, van-e összefüggés a poszttal (remélem nincs), de most kaptam pár valamire való phising emailt. Nézzük is meg, mire képesek. Serverless…

Ez egy elég nehezen induló CTF volt. A leírás szerint John IoT eszközöket tesztel, amikor valami szokatlanra lesz figyelmes a hálózati kommunikációban. A nagy meglepetés akkor jött, amikor a szokásos nmap keresésekkel egyetlen nyitott portot sem találtam. Elég reménytelennek tűnt, hogy meg tudom…

Naponta tucatjával jönnek az egyetemi levelezőrendszerre az adathalász levelek. De olyan szinten primitív módszereket használnak, hogy az már fáj. (Néha arra gondolok valójában ezek az IT részleg felmérései, hogy milyen a felhasználók tudatossága.) A legbénább módszer, amikor az adatokat egy…

A BSides után nem volt kétséges, hogy a Haktivity-re is elmegyek. Ez egy nagyobb szabású rendezvény volt, négy teremben folytak párhuzamosan a szemináriumok és workshop-ok. Egy külön teremben pedig valami hackerspace is volt. A kiállítók között nem volt olyan, aki most érdekelt volna. Egyedül az…

Ez most egy kriptográfiai kihívás volt. Kriptográfiában nem vagyok jártas, de ezt a feladatot meg tudtam csinálni. Először kapunk egy forráskódot. Ez egy szerver, ami az egyik változójában tartalmaz egy flag-et (a forráskód nem tartalmazza az éles szerver flag-jét, azt majd nekünk kell kitalálni),…

Azt hihetnénk, hogy a ChatGPT, Google Translate korában már nagy fordítási hibákat nem vétenek a csaló email-ekben, de ez nem így van. Vagy csak lusták, mint a föld, nem tudom. Eheti spamünkben Nyugat Afrikából próbálnak információt kiszedni belőlem. A legjobb mondatokat összegyűjtöttem: "Ezúton…

Ez egy nem semmi CTF volt. Először szokás szerint végigscanneltem a portokat: nmap -sS -Pn --top-ports 100 -sV $IP Csak a 22-es és a 80-as volt nyitva. A weboldal semmi különöset nem tartalmaz. Az első kérdés, hogy van-e alternatív hostname. Ezt viszonylag könnyen megtaláljuk az oldal tetején egy…

A hollywood-i filmekből ismerős lehet a következő helyzet: Az éjszaka közepén egy elsötétített szobában napszemüveges csávó hekkel ezerrel, amikor rájön, hogy másvalaki is hekkeli a rendszert. És akkor nagyon nyomogatják a billentyűket, hogy megtudják, ki a jobb. Ezt a helyzetet igyekszik…

Hétfőn furcsa levél jelent meg az egyetemi emailcímemen. Látszólag a Nemzeti Egészségbiztositási Alapkezelőtől, aláírás vagy bármi más nélkül. Az üzenet feladója a igazolt.jelentkezo. A levél gond nélkül átment az egyetem víruskeresőjén, még a plecsnit is megkapta, hogy biztonságos. Ráadásul mintha…

Ha sikerül segítség nélkül megoldani egy CTF-et, az tök jó. Ha közben még jól is lehet szórakozni, az még jobb. A Jack-of-all-Trades pont egy ilyen feladat. Először végigszkenneltem a portokat: sudo nmap -sS -Pn -sV --top-ports 100 $IP Csak két port volt nyitva. A 22-es és a 80-as, de a…

Ez egy nagyon könnyed törős feladat volt, magam is meglepődtem, hogy még én is meg tudtam csinálni segítség nélkül. Az első kérdés, hány nyitott port van. Ha valaki elég szemfüles, a többi kérdésből ki tudja találni, de azért álljon itt az nmap parancs: nmap -sS -Pn -A -sV --top-ports 10 $IP A…

Gondoltam egyet és elmentem az idei BSides-ra. Párhuzamosan több konferencia is zajlott a helyszínen, ezért először nem találtam meg a megfelelő termet, de kiszúrtam néhány hosszú hajú, Linux pólós, hátizsákos embert, és rögtön tudtam, hogy őket kell követni, pedig még nem is láttam az…

Akkor közkívánatra jöjjön egy újabb CTF. Ez nem volt kimondottan nehéz, de nagyon megbonyolították. Először csak egy felületes port scannert futtattam, hogy gyorsan lássam a lényeget. Két port volt csak nyitva, egy ssh és egy web, mindkettő a megszokott helyen. A web esetén nem voltak könnyen…

Ez egy nagyon tanúságos CTF volt. Megmutatta, hogy hiába a felkészültség, hiába az eszközök ismerete, nagyon könnyű elsikkadni a megoldás felett. A virtuális gép indítása után ellenőriztem a nyitott portokat nmap-el. Kettő volt nyitva, a 22-es és a 80-as. A weboldal csak az alap Apache oldal volt.…