Shalom
2017-07-02 22:21

Dla wszystkich fanów p4, mały update. W poprzedni weekend @p4 zajęło 2 miejsce na finałach Nuit du Hack w Paryżu, a w zeszłym tygodniu po 3 dniach zmagań uplasowaliśmy się na 5 pozycji na WCTF w Pekinie (niewiele brakowało do podium, bo mieliśmy 1791p podczas gdy drużyna na miejscu 3 miała 1846p).

https://scontent-cdg2-1.xx.fb[...]7ac9446c64b51&oe=59D2C1AA

#ctf #p4

topik92

Taki stalker jak @Shalom wstawił post na forum prosto ze swojego profilu na fb XD

Bartosz Wójcik
2016-07-14 00:35

Na Zaufanej Trzeciej Stronie pojawił się artykuł jak stworzyć CrackMe na konkurs CTF. CrackMe napisane w C++ wraz z opisami wielu oryginalnych metod zabezpieczeń.

Zachęcam do szukania flagi:

Bezpośredni link do CrackMeZ3S - https://zaufanatrzeciastrona.[...]ploads/2016/07/CrackMeZ3S.zip

lub jeśli jesteś zainteresowany tematyką CTF i inżynierii wstecznej do samej lektury:

https://zaufanatrzeciastrona.[...]ctf-instrukcja-krok-po-kroku/

#crackme #ctf #reversing #z3s

Shalom
2015-12-17 21:53

Takie tam tylko przypomnienie że jutro wieczorem startujemy z CTFem na 4programmers. Nie przegapcie! Nie trzeba być ekspertem od zabezpieczeń ani wielkim hackerem, są zadania dla początkujących oraz zadania dla programistów. Każdy znajdzie coś dla siebie :)

#p4 #ctf #konkurs #nagrody

msm
2015-12-03 14:27

Dobre kilka miesięcy temu opublikowaliśmy z @Revem artykuł w @Magazyn Programista opis naszego rozwiązania jednego z zadań z CONFidence CTF 2015 (w którym braliśmy udział jako p4).

Minęło wystarczająco dużo czasu, i mamy oficjalne pozwolenie na opublikowanie go - co niniejszym czynimy. Jeśli ktoś jest zainteresowany:
https://drive.google.com/file/d/0B4NPWiYAS21gel9fU0MyeVMwb3M/

(Swoją drogą, autorem zadania jest inny forumowicz, @Gynvael Coldwind)

#ctf #p4 #programista

msm

@Hummin: Tak jak @Shalom pisze - CTF trwał z tego co pamiętam jakieś 30 godzin. Ciężko powiedzieć ile nam zajęło samo rozwiązanie zadania, bo wcześniej przez jakiś czas myśleliśmy o nim, patrzyliśmy na nie i nie wiedzieliśmy jak się zabrać za rozwiązywanie. Ale od momentu kiedy postanowiliśmy zrekonstruować oryginalny kod programu z bytecodu - myślę że jakieś 3 godziny.

Rev

@Hummin: A ja dodam, że skończyliśmy rozwiązywać to zadanie o jakiejś 5 na ranem :).

Shalom
2015-10-13 14:03

Ciekawostka, na którą wpadliśmy podczas CTFa w ostatni weekend. PHP ma dwa operatory porównania -> == jak każdy normalny język oraz ===. Różnica między nimi jest taka, że ten pierwszy (którego pewnie użyłoby 95% programistów którzy tylko odświętnie piszą coś w php) wykonuje automatyczną konwersję typów. Niby nie wydaje się to jakieś groźne, ale ta konwersja jest dość zaawansowana. Na przykład string zawierający same liczby jest konwertowany na liczbę, nawet jeśli porównujemy go z innym liczbowym stringiem, więc konwersja zachodzi nawet jeśli nie jest konieczna do wykonania porównania.
Można to wykorzystać w dość ciekawy sposób -> string postaci XeYZV gdzie X,Y,Z,V są liczbami jest automatycznie konwertowany do floata. Jeśli więc za X podstawimy 0 to dostaniemy liczbę 0e.... czyli 0*10^cośtam^ a to zawsze wyniesie 0. Wynika z tego że w PHP porównanie:

"0e1234" == "0e5678"

zwróci nam true. To oznacza że jeśli przypadkiem hash waszego hasła w bazie danych zaczyna sie od 0e i dalej zawiera same liczby to takie porównanie go z dowolnym innym hashem tej postaci zwróci true :)

Zainteresowanych podobnymi ciekawostkami zapraszam do czytania https://github.com/p4-team/ctf :)

#exploit #p4 #php #ctf

Koziołek

@Gynvael Coldwind: o przydatne... szczególnie, jak ktoś mało robi w phpie...