В прошедшие выходные поиграл в NahamCon CTF.
Это CTF от известного багхантера. В целом как и ожидалось - проходные таски. Есть отзывы о паре годных, что уже обнадеживает.
Я успел порешать первых 7 из 10 веба. Они совсем не отличались особой сложностью, но мне понравилось два задания, которые я приберег для практик студентам.
Это таски с атаками на десериализацию в Python (Pickle) и Node.Js (node-serialize).
Кому интересно наловчиться в поиске и эксплуатацию этих багов, могу порекомендовать врайтапы:
Атаки на десериализацию в node.js:
https://ctftime.org/writeup/21524
Атаки на десериалиазицию в Python:
https://beerpwn.github.io/ctf/2020/NahamCon_CTF/web/Bomarr_Style/
К сожалению кодом огри не делились, но т.к. эксплоиты давали RCE, грех было не взять ;). Если нужно, велкам в ЛС.
Это CTF от известного багхантера. В целом как и ожидалось - проходные таски. Есть отзывы о паре годных, что уже обнадеживает.
Я успел порешать первых 7 из 10 веба. Они совсем не отличались особой сложностью, но мне понравилось два задания, которые я приберег для практик студентам.
Это таски с атаками на десериализацию в Python (Pickle) и Node.Js (node-serialize).
Кому интересно наловчиться в поиске и эксплуатацию этих багов, могу порекомендовать врайтапы:
Атаки на десериализацию в node.js:
https://ctftime.org/writeup/21524
Атаки на десериалиазицию в Python:
https://beerpwn.github.io/ctf/2020/NahamCon_CTF/web/Bomarr_Style/
К сожалению кодом огри не делились, но т.к. эксплоиты давали RCE, грех было не взять ;). Если нужно, велкам в ЛС.