Featured Threads Archive

Многие ждали этот таск раньше, но в связи с плотной нагрузкой не было времени из концепта сделать что то целостное. Наконец,на неделе появилось свободное окно и я реализовал задуманное. Отдельно хочу поблагодарить за ценные советы @dooble . Итак,перейдем непосредственно к таску. На этот раз нам предстоит поискать уязвимости на сайте SpaceX, который представляет из себя галерею. В основе таска лежит реальная уязвимость, которая не так очевидна на первый взгляд. Так что (первый хинт) внимательно изучайте все,что найдете.

Задание:

Скорее всего это последнее задание из конкретно простых.
Немного сменим направление, чистый веб и никакого программирования.
Задание не придумано, а основано на реальных событиях, поэтому легенда будет такая:
Вас попросили проверить сайт, который вероятно взломали и навешали зловредных js.
Сайт восстановили из чистой копии и попросили найти место, через которое могли его взломать.

Задание:
Сайт: http://task3.antichat.com
Найти уязвимость на сайте, индикатором правильности поиска будет служить флаг md5, но присылать в ПМ форума нужно не его, а само прохождение.

Срок:
две недели.

Прошли:
crlf
l1ght
Gorbachev...

Новогодние праздники подходят к концу.Времени для отдыха было вполне достаточно,поэтому предлагаю начать возвращаться к работе с небольшой разминки, а именно с решения данного таска.

Задание:

Сроки:

Правила простые, они исторически сложились на площадках античата и рдота:
...

Тема конкурса.

Креативное новогоднее поздравление пользователей Античата 2019.


Правила конкурса:

1. Поздравление может быть стихами, рисунками, словами, видео и т. д. Как угодно, чем угодно.
2. Поздравление должен быть именно к Античату или его пользователям.
3. Поздравление должно быть максимально не банальным. Вам надо проявить свой креатив, свою выдумку.
4....

Task #1



Начинаем серию заданий, подобранных специально для общего раздела форума.
Не столько для проверки знаний и умений, сколько для привыкания и освоения такой интересной части форума, как задания.

Пока они будут очень простыми, минимум кода, чтобы начинать решать можно было без особой подготовки, даже со словарем (типа http://php.net/).
Тем не менее готового ответа в этом словаре нет, придется найти его.

Задание:
Срок:
Правила простые, они исторически сложились на площадках античата и рдота:

Всем привет.
Есть пара мыслей, которыми хочу поделиться.
Не хочется делать это в болталке, потом почистим.

Обратил внимание, что увеличивается информационный разрыв между пабликом и группами.
В группах заметно развитие, а в публичных разделах особенно-то и нечем заняться и неначто посмотреть.
Болталка и коммерция живы, а в тематических разделах более менее жива тема SQLi, ну и вопросы по уязвимостям.
Но с приходом фреймворков, SQLi уходят в небытие, да и ковырять только скули - надоедает.

Уровни паблика и групп разделены некоторой полосой, в которой ничего не происходит.
Отдельные персы преодолевают ее самостоятельно и становятся заметны для того, чтобы получить приглашение в Lvl8.
И не то, чтобы это было трудным делом, профильной информации уже не просто много, ее навалом.
Читай, развивайся.
Но вот готовой дороги (или лестницы, если говорим об уровнях), по которой, если пойти, то там оставлены примеры, трюки тех, кто проходил раньше - нет пока. Чтобы развитие было постепенным и...

Идет конкурс на новый логотип Античата. Участвовать может каждый, также можете писать о том кому что нравится. Адрес конкурса https://www.designcontest.com/logo-design/antichat .

Там можно и голосовать https://www.designcontest.ru/logo-design/antichat/voting/logo-bestb-2/

Прошло 16 лет с создания форума Античат. Всех поздравляю с этой датой, хотя и не круглой.

Общее голосование по статьям.
На его основании будет сделано распределение призового фонда.

У нас участвуют 5 статей:

PowerShell Nishang (Автор: BabaDook)
Продвижение Сайта в Англоязычном Интернете (Автор: Cthulchu)
Реальный IP за Cloud Flare: Сокрытие и Поиск (Автор: Cthulchu)
Анонимный роутер на Raspberry PI (TOR+SOCKS) (Автор: Nova)
Похищение данных с android (Автор: DooD)

Голосование закончится через неделю. Просьба всем прочитать и оценить.

Но предупреждаю о том, что итоговое решение может...

В данный момент на форуме проходят три конкурса.

1. Ежемесячный конкурс статей.

За декабрь в конкурс принято 4 статьи:

PowerShell Nishang (Автор: BabaDook)
Продвижение Сайта в Англоязычном Интернете (Автор: Cthulchu)
Реальный IP за Cloud Flare: Сокрытие и Поиск (Автор: Cthulchu)
Анонимный роутер на Raspberry PI (TOR+SOCKS) (Автор: Nova)

У нас уже есть три автора, поэтому призовой фонд будет разыгран за этом месяце абсолютно точно.
Напоминаю условия конкурса находятся по адресу:...

Друзья и товарищи, дамы и господа, мальчики и девочки наконец,

По многочисленным просьбам "трудящихся" форума Античат в особенности Triton_Mgn и devton
объявляется Новогодний конкурс по теме Новогодние Сиськи Античата 2018 !!!


Правила конкурса будут очень просты:

1. Вы выкладываете в посте этой темы фотографию, где должно присутствовать сочетание сисек (или одной сиськи) -...

Описание конкурса здесь:

Ежемесячный конкурс статей.

В этой теме можно обсудить конкурс. Без флуда.

Объявляется новый Конкурс на лучший видеоролик об ANTICHAT'е: ANTICHAT - FORCE IN ME!, в котором вы можете поучаствовать прямо здесь и сейчас абсолютно бесплатно, но выиграть при этом денежный приз в размере до 300$!

Сроки проведения конкурса:
Конкурс на лучший видеоролик об ANTICHAT'е: ANTICHAT - FORCE IN ME! проходит с сего момента до 1 февраля 2018 года включительно, с подведением результатов в ближайшее время после даты окончания конкурса.

Победители и призы:
В конкурсе на лучший видеоролик об ANTICHAT'е: ANTICHAT - FORCE IN ME!...

️ ️✅ После первой части ( тут первая часть ), многие, возможно, для себя уже сделали выводы. Во второй части я попробую разъяснить тем, кто не вникал в переписку, о том, как я вижу данную ситуацию.

История начинается примерно с 2014 года. В этом время Antichat усиленно атаковали фейковыми страницами, подделывая контакты гарантов и собирая пароли пользователей. Доменов было много и разных, среди них был и artichat.ru, и anticnat.ru. Был в том числе и домен antichat.me . Я занимался тем, что писал абузы на эти домены хостингам и на всякие ресурсы, предназначенные для блокировки опасных страниц пользователю.

Предлагаю всем попробовать себя в роли писателей. Задача простая. Нужно написать "Описание Античата". Описание должно быть официальным, но возможно там и процентов 5 юмора. Это не соревнование. Мне важно видеть картину вашего мира.

Периодически Античат сталкивается с разными атаками. По сути на нас испытывают все, что только возможно. Но этот случай стоит отдельного рассмотрения. Чтобы не быть предвзятым Выкладываю переписку, как есть, без своих комментариев, последовательно. Переводить не буду, есть гугл транслейт. Все комментарии дам во второй части, когда ее напишу.


2 ноября 2014 года
От: Администрация Античат
Кому: [email protected], [email protected]

Dear Sir or Madam,

A website (forum.antichat.me) that you are currently hosting is being used for phishing attack:

http://forum.antichat.me

Please take these pages down.

Original siteforum.antichat.ru

Thank you in advance for your cooperation,
Regards
mailto:[email protected]
http://antichat.ru...

В последнее время участились случаи кидков на форуме. Поэтому желательно прочитать эту тему.

Используются следующие схемы:

1. Подсовывают похожий домен с ссылкой на контакты гарантов.
Настоящая ссылка https://forum.antichat.ru/threads/63165/ . А могут например подсунуть
https://forum.antichat.su/threads/63165/ или скажем https://forum.anlichat.ru/threads/63165/ или типо это вариантов много. Вы туда заходите находите контакты лжегаранта и дальше он вас кидает. Вы, соответсвенно, жалуетесь на гаранта, у которого на самом деле нет этих контактов.

2. Более тупая схема, но тоже работает. Похожий адрес жаббера настоящего гаранта. Работает аналогично первой схемы.

3. Свежая схема. Вам подсовывают скриншот якобы моей переписки с ними, где я им скидываю контакт своей аськи или еще чего. После этого я якобы выступаю гарантом или прошу в долг у них. Естественно к аське на скриншоте я не имею никакого отношения.

Лог переписки, как разводят...

1. На форуме появились новые разделы . Личные форумы. Те, кто в группах могут заказать создание своего форума и полностью им управлять (общие правила Античат для них не отменяются). В названии форума присутствует имя владельца.

2. На форуме новый вид развода. Продавец скидывает скриншот https://prnt.sc/gi65k7 , покупателю, делая вид, что обращается ко мне . В данном случае измененная переписка со мной. Понятное дело, что на аське 555666409 сидит кидала. Который и кидает на деньги.
Поэтому еще раз для всех. Я не являюсь гарантом и не могу быть гарантом. Все гаранты у нас в теме https://forum.antichat.ru/threads/63165/ (проверяйте правильность ссылки по буквам). С гарантом общаться только лично через Личную переписку. И лично от гаранта получать уже другие контакты для связи.

3. На форуме открылся новый раздел Blockchain, Криптовалюты, темы на премодерации. Хорошие статьи и переводы...

Всем привет, команда античата приготовила для вас приятный новогодний сюрприз.
Как и несколько лет назад мы решили провести видео конкурс. Участвовать может любой желающий. Для этого нужно ознакомиться с правилами и отправить готовую работу принимающему. Каждый, принявший участие, получит статус "Кинематографист" на форуме.

Тематика видеоконкурса - практическая информационная безопасность.

Заявки на участие будет принимать @psihoz26 (в личные сообщения или по email [email protected]) с 1 ноября 2016 года по 28 февраля 2017 года. Все видео будут опубликованы 1 марта и жюри сможет начать начислять вам баллы. Следить за решениями жюри вы сможете в реальном времени, посещая страницу голосования. Как только будут собраны все голоса, мы опубликуем результаты и разошлем поздравления победителям. Призы будут высланы 15 марта.

Ваши работы будут оценивать известные специалисты по информационной безопасности!

Правила участия в видео...

PhpSoCute

http://php.hackquest.phdays.com:88/

Дан какой-то бложек, с виду wordpress.
Доступны урлы: index.php -> index.html, wp-admin.html

Dirbuster нашел pi.php который показывает нам phpinfo.

После некоторого фазинга было понятно, что есть некий include или даже читалка файлов для запросов которые оканчиваются на html

http://php.hackquest.phdays.com:88/pi.php/1html
Такой запрос нам показал интересный параметр PATH_TRANSLATED - redirect:/t3mp473l04d3r.php
При обращении к этому файлу - 500 ошибка, видимо надо передавать какие-то гет параметры чтобы читать файлы, но это нам не нужно.

Пробуем doubleencode (%2569 - i), сработало!
Попробуем опуститься на директорию ниже ..%252f и проитать файл index.php - Удача!

Читаем /etc/passwd...