ПРЕДПРОСМОТР *.md

Во время написания любых *.md мне постоянно хочется посмотреть как выглядит текущий файл. Ранее, для этого копировал содержимое и вставлял в dillinger. Костыльно и паршиво.

Позавчера нашёл grip. Скрипт запускает питоновский веб-сервер, подтягивает стили Github и отображает выбранный .md файл, будто бы README.md прямиком из репозитория

#tricks

@ptswarm пошерили читшит с хоткеями для Burp Suite.

Чтобы не потерять, сохраню для себя тут

#BurpSuite

КАК УЧИТЬСЯ С CTF

Уже как пару недель подряд участвую в CTF соревнованиях по выходным, но лишь во время CTF кубка россии, в полночь, решил поискать "как же всё же играть в стф и чему-то учиться".

Нашёл видео от LiveOverflow, рассказывающего методологию решения тасков:
- тыкаешь таск, записываешь свои мысли по решению и "что уже попробовал для решения"
- если решил, то ты крутой.
- если не решил, то жди writeup. по появлению райтапов, находи свой таск и сравнивай решение со своими заметками.
- - изучай технологии, добавляй записи в свои заметки и размышляй "как надо было думать, чтобы дойти до такого"

Сразу же применил и заметил за собой, что во время записывания мыслей при решении таска - мне проще получать общую картинку таска и понимать куда стоит копать.

Ранее я пытался решать стф на основе знаний в голове и своей базе знаний, но не мог сформировать общую картинку.

Полагаю, если постоянно следовать методологии и копить базу решенных тасков + свои мысли, то при встрече с новыми тасками - голова начнёт вспоминать уже встречавшиеся паттерны, решение которых можно будет подсмотреть в своих же заметках

UPD: видео, как ответ на вопрос "как писать заметки во время стф"

#ctf #guide

ИНТУИЦИЯ

Недавно попалось видео о развитие интуиции от какого-то крутого программиста в сфере соревновательного программирования (Colin Galen). Краткий пересказ:
Интуиция является частью быстро работающего мозга, отвечающего за неосознанные решения проблем. Сама интуиция основывается на предыдущем опыте решения проблем. То есть, интуиция отвечает за решение проблемы "как пользоваться новой микроволновкой", основываясь на предыдущем опыте использования микроволновок. Чтобы развить интуицию надо решать больше типовых проблем, строя ментальную карту "паттерн проблемы -> решение".

Автор рассказывает два способа развития интуиция:
- если есть дополнительное время
— читаешь проблему
— пытаешься самостоятельно решить и записываешь свои мысли
— если решил - круто. если не решил - смотри решение
— разбираешь непонятные темы, где ты ошибся и как стоило думать

При следовании варианту выше - ты учишься глубинному пониманию проблемы, способах её решения, так и во время просмотра решения тебя могут постигнуть собственные способы. В таком случае, решения крепче закрепятся в голове и ты прокачаешь навыки обоснования своих мыслей + логику, что позволит выводить собственные решения при нестандартных задачах.

- времени нет
— читаешь проблему
— даешь себе чуть-чуть подумать
— смотришь решение

В последнем варианте в голову загружается "тупой" набор паттернов проблем и решений, с которым можно решить типовые проблемы, но практические невозможно разработать своё решение.

Складывая это с моим осознанием "как играть в стф" получается методичка по становлению более крутым спецом в чём угодно, развивая интуицию через опыт (построение ментальной карты):
- читаешь проблему
- пытаешься самостоятельно решить и записываешь свои мысли
- если решил - круто. если не решил - смотри решение
- разбираешь непонятные темы, где ты ошибся и как стоило думать

Ещё, желательно держать все записи в одном месте, чтобы позже подсматривать решение. Мне помогает в этом Obsidian

#ctf #mindops

Два поста выше можно обобщить в совет по становлению крутым спецом:
- Меньше пизди, больше делай (и записывай свои мысли)

Стоицизм: введение в безмятежность

Лонгрид про стоицизм и несколько простых методов, которые помогают стать сильнее и счастливее. Сам открыл для себя стоицизм год назад, а применять начал лишь в начале лета.

Всего один принцип "не переживать за неконтроллируемое" помогает мне решать CTF, писать посты в канал, спрашивать глупые вопросы и преследовать свои интересы, в незавимости от внешнего мнения. Если тебя беспокоит постоянная тревога, а случайные оскорбления многократно ухудшают настроения - почитай лонгрид, может найдешь что-то для себя.

#mindops

Написал гайд на реверс шелл к локальному компьютеру с помощью ngrok aka ответ на вопрос "как подключиться к локальному компьютеру из внешней сети?"

https://telegra.ph/How-to-reverse-shell-using-ngrok-11-30

Был бы этот гайд был под рукой на прошедшей MireaCTF, то вошли бы в топ 10 команд. Впрочем, как раз для такого и нужен CTF - чтобы заполнять пробелы в знаниях

#ctf #guide

whatis @hackthishit

Меня бесит мерцающий курсор, но больше всего меня бесят статьи и отчеты формата

я впервые вижу это, но знаю точно, что если отправить 0xYAA на предпоследний порт, то получу шелл

Это неидеальный, и порой даже грубый, канал про offense / defense / dev веба, инфры и головы. Здесь будут повторяться недочеты, нестабильные скрипты, объяснения базы, шутки и явные screwups.

Хочу передавать знания, нежели показывать "step-by-step гайд по взлому тостера". хотя, взлом тостера звучит как неплохая статья

Маппинг хэштегов:
#guide = гайды
#tricks = техники
#invite = приглашаю тебя к соучастию в Х

#recon = разведка
#bypass = обходы СЗИ (WAF, AV, etc.)

#web = веб-приложения
#client_side
#server_side

#infra = инфраструктура
#mobile = мобилки, включая #android и #ios

#machineops = оптимизация работы за компом
#lifeops = как я упрощаю / усложняю себе жизнь
#aiops = как пользуюсь ИИ
#mindops = мысли и перестройка мыслительных процессов

#ctf = про захват флага на проде
#tool = занимательные инструменты (мои и чужие)
#ai = контент про ИИ
#teach = как обучать других

#me = инфа обо мне (привет осинтер)

принесла хихик

чисто мы на любой тусовке в попытке посчитать, сколько готовить разные кусочки шашлыка 🐙 до конца не выяснено, сколько точно нужно аналитиков, чтобы мясо было вкусным

@kbacon.irl inst

ПРИМЕР ОТЧЁТА ПО РЕШЕНИЮ CTF

Ранее в канале, расписывал "как учиться с CTF", пересказывая ролик LiveOverflow, суть которого можно свести к "пиши отчёт по ходу решения". Вышло так, что все праздники решал CTF'ки для ШКИБ. Решил 4 задачи (1, 2, 5, 7) из 7. К каждой задаче писал отчёт по ходу решение, одним из которых хочу поделиться.

Отчёт по 7 задаче, суть которой в вызове Reflected XSS. Рекомендую сначала попробовать самостоятельно потыкать. Писал отчёт в Obsidian.

Зачем делюсь?
Чтобы ты мог использовать отчёт в качестве шаблона для своих отчётов или чтобы вдохновился наконец начать описывать ход решения задачки. Самое главное - пиши для себя.

Твои отчёты являются твоим потоком мыслей и должны помогать тебе. Их необязательно разъяснять кому-то. Главное, чтобы ты сам понял, что написал вчера. Этот отчёт изначально писался без мысли, что его будет читать кто-то ещё.

#ctf #guide #web #client_side

В комментариях спрашивали "Где следить за новостями? Будь то сtf'ка, курс или стажировка". В качестве ответа собрал список где сижу и за чем слежу.


Ближайшие CTF / про CTF / чаты по CTF
@ctftimeorg_events
@mephictf
@spbctf
MireaCTF chat

Чаты по offensive безопасности
@WebPwnChat (веб)
RedTeam brazzers chat (инфраструктура)

Каналы ИБ компаний
@Positive_Technologies
@bizone_channel

Текущие наборы на стажировки
PT - https://xn--r1a.website/Positive_Technologies/1318 (до 27 февраля)
DeteAct - https://xn--r1a.website/masterbeched/83 (до 13 марта)


Если знаете ещё - пишите в комментарии

ВОЗМОЖНОСТЬ ВЫСТУПИТЬ С ДОКЛАДОМ

22 апреля состоится CTF конференция от Codeby, с организацией которой я (и ещё пара человек) помогаю, и мы активно ищем докладчиков.

Темы: около CTF'ерские
Время: 30-40 минут
Город: Москва
Вид выступление: крайне желательно оффлайн

Если у вас есть тема для доклада и вы бы хотели выступить - пишите мне @tokiakasus

Даже если у вас нет темы, то просто приходите на CTF от Codeby. Будут плюшки, таски от меня, еда, доклады и прочее.

#ctf #invite

Анонс CTF от Codeby. Быстренько регистрируемся давайте давайте.

Буду на месте как организатор.

​🔥 Друзья, с 20 по 22 апреля пройдут CTF-соревнования «Игры Кодебай»‎!

Мероприятие будет состоять из онлайн и офлайн частей.

👥 Участвовать можно как в команде, так и самостоятельно. Если у вас нет команды - вы сможете создать свою или присоединиться к уже существующей. В команде может быть от 1 до 5 участников.

🏆  Первая тройка победителей (каждый участник команды) получит денежные призы:
1 место - 50.000 рублей на всю команду
2 место - 35.000 рублей на всю команду
3 место - 20.000 рублей на всю команду

Офлайн-встреча пройдёт в завершающий день CTF-соревнований. На ней вы сможете встретиться с другими участниками и спикерами, а также послушать интересные доклады в области ИБ.

💻 Возьмите с собой ноутбук и зарядное устройство на офлайн-часть мероприятия для того, чтобы продолжить решать онлайн-задания!

⏰ Когда:
Онлайн-часть: с 20 по 22 апреля, начало в 10:00
Офлайн-часть: 22 апреля, начало в 10:00

👉 Присоединяйтесь к «Играм Кодебай»‎ и получите море удовольствия и новых знаний!

Спасибо каждому, кто участвовал!

Словами не передать ощущение, когда видишь как участники пробуют разные подходы к решению твоих тасков и обсуждают их в чате, или когда в чате появляется множество сообщений "почему название_моего_таска лежит?".

Всем CTF'ерам (и не только) рекомендую хоть раз поучаствовать в организации и создании тасков. Незабываемый опыт, после которого понимаешь какого "на другой стороне" + обязательно научишься чему-то новому.

Моими тасками были:
- Рейд утечек
- Купоны64
- Переработки стоит держать в секрете
- (на 50%) MagCam3000
— я занимался всем, кроме PHP кода
— сделан вместе с @HelloWorld870 (автор задачи на майнкрафт)

Буду рад послушать твою обратную связь по таскам или организации CTF (кроме минимизации "лежания всего")