Featured Threads Archive

Задача: есть параметр уязвимый к RCE, но провести полноценную атаку мешают фильтры, которые сводят угрозу выполнения произвольного кода к минимуму.
На сайте есть врайтабельная папка. Вам предлагается обойти фильтры, выполнить произвольный PHP код и залить "шелла" в эту самую врайтабельную папку.

Таск основан на реальных фильтрах mod_security, с некоторыми авторскими модификациями

Решением будет считаться код, с помощью которого можно будет залить "шелла" во врайтабельную папку.
Отдельно выполненные команды типа phpinfo() - не считаются.
Брутить и сканить ничего не нужно.
Сложность и креативность решения будет оцениваться отдельно. Данный таск можно пройти разными вариантами исполнения.


Срок:
две недели.

Таргет:
http://task12.antichat.com


Правила остаются...

В продолжние темы простых разминочных заданий.
Задача добраться до админки и получить флаг.
Настройки сайта дефолтные.

Кое-что скрыто. Но брутить и сканить ничего не надо.
Щепотка внимательности и смекалки расставит все по своим местам.


Правила:
Срок:
Таргет:

Всем удачи!


Scoreboard:
@gurux13 1,2
@Franky_T 1...

"Камрады, а вот и новое интервью с Омаром Ганиевым, он же beched.
Истории про форумы с блечерами, взлом античата, участие в CTF по миру, денежные призы, математику, как открыть свою компанию и много другое.

Думаю что в среде ИБ Омара знают все, надеюсь будет интересно послушать его историю.

Приятного просмотра!
И не забудьте подписаться, это очень важно!"

"Всем привет! Я Twost и сегодня мы поговорим о безопасности. А поговорим с белым хакером, пентестером и просто отличным парнем с хорошим чувством юмора - Максим aka slider."

[NO OFFENCE]
Друзья, пока везде коронавирус, карантин и режим ЧС, у нас новое интервью с крутым хакером, программистом и пентестером - Сергей Белов aka Kaimi.
Мы с ним наговорили на целый час, и разговаривали еще больше вне записи.
Обсудили очень многое, путь, который прошел Kaimi, с чего начинал.
Как повлиял форум antichat и его комьюнити.
И много еще всяческих интересностей.
Спасибо Сергею, а вам приятного просмотра!

Пока остаемся в рамках простых заданий, можно ковырять всем.

Задание искусственно можно разбить на два этапа:
- найти дыру
- проэксплуатировать

Вторая часть - чисто технология, изобретать не надо, все известно, ну может не часто использовалась.
В первой части заметная эвристическая составляющая, на любителя.

Брутить и сканить ничего не нужно (просто бесполезно), внимательность и аккуратность вырулят.

Задание:
Таргет: http://task10.antichat.com/
Найти и прочитать флаг.
Ответы присылайте в ПМ форума, интересует не флаг, а прохождение.

Срок:
две недели.


Правила остаются прежними:
В теме не флудим, подсказки разрешены только от ТС.


Прошли:...

Предлагаю вам после некоторого перерыва немного размяться перед будущими тасками.
Задание не сложное, если знаешь или встречал - легкая прогулка, и за таск то не посчитаешь.
Если нет - возможно придется немного повтыкать, но решение просто и понятно.
Так что особых проблем возникнуть не должно.


Правила просты и знакомы:
Срок:
Таргет:
И сканеры не нужны, не помогут.
Никаких секретных каталогов, файлов - нет.

По сложившемуся обычаю в первом посту будет закреплена таблица результатов.
Всем удачи!

...

Канал Antichat в Telegram набрал 4000 !!!

Адрес канала https://t.me/antichat

1. В связи с этим открыт доступ в группу Telegram Antichat по ссылке https://t.me/joinchat/DCZM0D4JyODe2E1ErEbSOg

2. В группе Telegram Antichat все были разбанены.

Теперь немного по порядку.

Что это такое?
Зачем это нужно?
По поводу работы площадки обращайтесь к создателям этого ресурса:...

Добьем тему.
Предлагается найти RCE для не очень частой, но довольно тупиковой ситуации, когда есть "голая" LFI, без возможности заливки файлов, без доступа к логам или чему-либо полезному, сессия не стартована.

В конце прошлого года известные китайцы (тайванцы) показали, что задача решаема.
И не то, чтобы решение было "кривое", нормальное решение, но мы сделаем круче.
Сможем обойти более сложную проблему , когда проверяется расширение файла, или даже конкретное имя, или еще и путь до файла.

Для минимизации времени на поиски вариантов все скрипты с сайта убраны, оставлен только один (и почищен) - не промахнетесь.
В нем строка:
Настройки сайта почти дефолтные, но
и порезаны исходящие соединения (без вариантов, инклюд возможен только локальный).

Задание:...

Ну вот пришло и наше время. Теперь нас блокируют. Причину блокировки пока не удалось установить. В ближайшее время судя по всему мы будет доступны на территории России только через прокси или впн. Возможно будут приняты какие-то еще решения.

"В соответствии с частью 7 статьи 15.1 Федерального закона от 27.07.2006
№ 149-ФЗ «Об информации, информационных технологиях и защите информации» уведомляем, что на основании решения суда/уполномоченного федерального органа исполнительной власти (Нижегородский районный суд г.Нижний Новгород - Нижегородская область) от 04.09.2017 № 2-9254/2017 указатель (указатели) страницы (страниц) сайта в сети "Интернет" https://forum.antichat.ru/ включен(ы) в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи 711983-РИ в связи с тем, что...

Таск запускался в группах в 2013 году.
На тот момент это была новая тема, которая, впрочем, работает и сейчас и мы уже слегка касались ее, поэтому трудностей быть не должно.

Задание:
По адресу http://task7.antichat.com/ работают скрипты (исходники приаттачены к посту).
Нужно "залить шелл" в файл db/info.php и выполнить код phpinfo().

Сроки:
Две недели.


Есть несколько способов решения данной задачи.
На Античате известно 2 способа, на рдоте нашли 3.
Соответственно ответы принимаются только от тех, кто пока не видит эти решения, ориентировочно это паблик и lvl8.

Первый способ очень простой, скорее всего найдут все и влет, там несколько вариантов.
Второй чуть сложнее в реализации.
Третий почти не известен и не используется, но он нам очень пригодится в дальнейшем,...

Приветствую <?=$username?>.

@SkillProgrammer не знает покоя! На этот раз, он разработал систему управления сетевой инфраструктурой, которая необходима нашему заказчику. Предлагаю тебе самому ознакомиться с деталями:

Привет, античатовец! Мне сказали здесь собраны лучшие ИБ специалисты, и они смогут мне помочь.

Дело в том, что мой
Сайт: http://task5.antichat.com
Взломали неизвестные хакеры, а я не могу понять как!
Возможно именно ты, %username% мне поможешь.
Злоумышленники ничего не испортили, но сильно наследили: после них остались метки (всего 6, присылай их в личку), обрывки перфокарт и логи обращения к шеллам.
Все шеллы удалены, осталось найти уязвимости!

Задание:

Сроки:

Правила простые, они исторически сложились на площадках античата и рдота:...

Многие ждали этот таск раньше, но в связи с плотной нагрузкой не было времени из концепта сделать что то целостное. Наконец,на неделе появилось свободное окно и я реализовал задуманное. Отдельно хочу поблагодарить за ценные советы @dooble . Итак,перейдем непосредственно к таску. На этот раз нам предстоит поискать уязвимости на сайте SpaceX, который представляет из себя галерею. В основе таска лежит реальная уязвимость, которая не так очевидна на первый взгляд. Так что (первый хинт) внимательно изучайте все,что найдете.

Задание:

Скорее всего это последнее задание из конкретно простых.
Немного сменим направление, чистый веб и никакого программирования.
Задание не придумано, а основано на реальных событиях, поэтому легенда будет такая:
Вас попросили проверить сайт, который вероятно взломали и навешали зловредных js.
Сайт восстановили из чистой копии и попросили найти место, через которое могли его взломать.

Задание:
Сайт: http://task3.antichat.com
Найти уязвимость на сайте, индикатором правильности поиска будет служить флаг md5, но присылать в ПМ форума нужно не его, а само прохождение.

Срок:
две недели.

Прошли:
crlf
l1ght
Gorbachev...

Новогодние праздники подходят к концу.Времени для отдыха было вполне достаточно,поэтому предлагаю начать возвращаться к работе с небольшой разминки, а именно с решения данного таска.

Задание:

Сроки:

Правила простые, они исторически сложились на площадках античата и рдота:
...

Тема конкурса.

Креативное новогоднее поздравление пользователей Античата 2019.


Правила конкурса:

1. Поздравление может быть стихами, рисунками, словами, видео и т. д. Как угодно, чем угодно.
2. Поздравление должен быть именно к Античату или его пользователям.
3. Поздравление должно быть максимально не банальным. Вам надо проявить свой креатив, свою выдумку.
4....

Task #1



Начинаем серию заданий, подобранных специально для общего раздела форума.
Не столько для проверки знаний и умений, сколько для привыкания и освоения такой интересной части форума, как задания.

Пока они будут очень простыми, минимум кода, чтобы начинать решать можно было без особой подготовки, даже со словарем (типа http://php.net/).
Тем не менее готового ответа в этом словаре нет, придется найти его.

Задание:
Срок:
Правила простые, они исторически сложились на площадках античата и рдота:

Всем привет.
Есть пара мыслей, которыми хочу поделиться.
Не хочется делать это в болталке, потом почистим.

Обратил внимание, что увеличивается информационный разрыв между пабликом и группами.
В группах заметно развитие, а в публичных разделах особенно-то и нечем заняться и неначто посмотреть.
Болталка и коммерция живы, а в тематических разделах более менее жива тема SQLi, ну и вопросы по уязвимостям.
Но с приходом фреймворков, SQLi уходят в небытие, да и ковырять только скули - надоедает.

Уровни паблика и групп разделены некоторой полосой, в которой ничего не происходит.
Отдельные персы преодолевают ее самостоятельно и становятся заметны для того, чтобы получить приглашение в Lvl8.
И не то, чтобы это было трудным делом, профильной информации уже не просто много, ее навалом.
Читай, развивайся.
Но вот готовой дороги (или лестницы, если говорим об уровнях), по которой, если пойти, то там оставлены примеры, трюки тех, кто проходил раньше - нет пока. Чтобы развитие было постепенным и...