مسابقات هک و نفوذ

در این بلاگ درباره مسابقات هک و نفوذ، امنیت شبکه و نرم‌افزار صحبت می‌شود

مسابقات هک و نفوذ

در این بلاگ درباره مسابقات هک و نفوذ، امنیت شبکه و نرم‌افزار صحبت می‌شود

به نام خدا
CTF‌ - Capture The Flag یا مسابقه گرفتن پرچم، یک مانور شبیه‌سازی شده در فضای سایبری است که در آن هکرها به مقابله با یکدیگر می‌پردازند. در این مسابقه هر تیم تلاش می‌کند از مواضع از پیش تعیین شده در رایانه یا شبکه اختصاصی‌اش دفاع کند. در عین حال به طور همزمان سعی می‌کند که با گذر از سد امنیتی سایر تیم‌ها، پرچم خود را در سیستم‌های آنها نصب کند. هدف از رقابت‌های CTF که طرفداران و علاقه‌مندان بسیاری دارد، فرهنگ‌سازی در زمینه امنیت فضای تبادل اطلاعات، آگاهی‌رسانی در زمینه مخاطرات موجود در فضای اینترنت و شناخت نقاط ضعف و قوت سامانه‌ها و نرم‌افزارهای امنیتی، سیستم عامل‌ها و نرم‌افزارها است. در این بلاگ قصد داریم ضمن آموزش برخی از مهارت‌های لازم برای شرکت در این رقابت‌هاُ اخبار مربوط به این رقابت‌ها را پوشش دهیم.

بایگانی

۱۴ مطلب با موضوع «مسابقات هک و نفوذ ایران» ثبت شده است

  • ۰
  • ۰

  • هکر ایرانی
  • ۰
  • ۰

دور نهایی چهارمین دوره‌ی مسابقه‌ی هک و نفوذ در فضای مجازی با حضور ۱۹ تیم در رده‌ی آزاد و ۶ تیم در رده‌ی دانش آموزی در تاریخ دوشنبه ۲۷ آبان‌‌ماه سال ۹۲ برگزار شد. در مراسم اختتامیه‌ی این رقابت‌ها سه تیم برتر رده‌ی آزاد و دو تیم برتر رده‌ی دانش آموزی معرفی و از آنها تقدیر به عمل آمد. جدول نهایی این رقابت ها در ادامه آمده‌است:

# Team Trivia Cryp Steg For Web Rev Sec Misc bonus Total
1 respina 125 0 340 0 150 340 500 400 0 1,855
2 arch 100 0 100 0 158 310 525 240 0 1,433
3 hithaegl 125 0 0 0 510 0 530 240 0 1,405
3 baghali 125 0 350 0 150 320 0 410 50 1,405
4 dalt0n 125 0 0 0 480 100 200 430 0 1,335
5 jolbakz 25 0 0 0 150 0 560 440 50 1,225
6 neridah 100 0 0 0 150 0 520 420 0 1,190
7 caspian 150 0 105 0 150 320 200 200 0 1,125
8 aaa 50 0 0 0 180 105 540 200 0 1,075
9 geek 75 0 100 0 150 200 0 440 0 965
10 asis 75 240 100 0 0 310 0 220 0 945
11 siftal 125 0 100 0 150 300 0 200 0 875
12 angrymen 25 0 100 120 150 0 0 400 0 795
13 behsazan 125 0 0 0 150 0 200 210 0 685
14 arshida 100 0 100 0 150 100 200 0 0 650
15 daltons 125 360 0 0 165 0 0 0 0 650
16 anonym 75 0 0 0 150 0 200 200 0 625
17 sh4d0w 75 0 100 0 150 0 0 220 0 545
18 rapid8 50 120 0 0 150 0 0 200 0 520
19 fs2080 0 0 0 0 0 0 0 0 0 0

نتایج رده‌ی دانش آموزی

# Team Trivia Crypt Steg For Web Sec Misc Total
1 zed 240 775 390 670 590 220 1,015 3,900
2 koma 240 880 380 625 430 100 650 3,305
3 hidd3n 210 315 380 660 550 100 600 2,815
4 z-f-b-k 240 850 150 200 200 100 300 2,040
5 iribck 210 420 100 445 100 50 300 1,625
6 safe 60 50 105 110 0 0 0 325
منبع
  • هکر ایرانی
  • ۰
  • ۰

یک سایت خوب برای یادگیری اصول اولیه هک، سعی میکنم در آینده درباره‌ی این جور سایت‌ها و مسایلی که توی اون‌ها مطرح می شه بیشتر مطلب بزارم.


www.hackthissite.org

  • هکر ایرانی
  • ۰
  • ۰

سوال داده شده به صورت زیر است:


You need to authenticate with the guard to gain access to the loading bay! Enter the root password from the vault application to retrieve the passkey! This class file is the executable for the vault application.


جواب:

در این سوال یک فایل .Class داده شده است و بیان شده که این برنامه قرار است از ورودی یک پسورد بگیرد و یک کلید را به عنوان خروجی بدهد و از شرکت کننده خواسته شده است که این کلید را بیابد
راه حل: یک راه این است که به کمک برخی ابزارهای موجود کد جاوای متناظر با این فایل را به دست بیاوریم به عنوان مثال می‌توانید به این آدرس رفته و برنامه‌ی jad  را دانلود کنید.



 آنگاه فایل Authenticator.class را در کنار آن کپی کنید و با اجرای دستور زیر در خط فرمان خروجی که فایلی به نام Authenticator.jad  می‌باشد را به دست آورید:


./jad Authenticator.class



محتوای درون آن به این صورت است:

// Decompiled by Jad v1.5.8e. Copyright 2001 Pavel Kouznetsov.
// Jad home page: http://www.geocities.com/kpdus/jad.html
// Decompiler options: packimports(3)
// Source File Name:   Authenticator.java

import java.io.Console;
import java.io.PrintStream;

class Authenticator
{

    public Authenticator()
    {
    }

    public static void main(String args[])
    {
        key = new char[10];
        key[0] = 'j';
        key[1] = 'f';
        key[2] = 'U';
        key[3] = 'D';
        key[4] = 'Y';
        key[5] = 'z';
        key[6] = 'E';
        key[7] = 'J';
        key[8] = 'G';
        key[9] = 'S';
        Console console = System.console();
        for(String s = ""; !s.equals("ThisIsth3mag1calString2731"); s = console.readLine("Enter password:", new Object[0]));
        for(int i = 0; i < key.length; i++)
            System.out.print(key[i]);

        System.out.println("");
    }

    public static char key[];
}


کلید عبارت jfUDYzEJGS می‌باشد

  • هکر ایرانی
  • ۰
  • ۰
فایل پیوست را رمزگشایی نمایید و شخص مورد نظر را بیابید

برای پیدا کردن کلمه رمز فایلهای ورد 2003 از این ابزار که رایگان هست می توان استفاده کرد
http://www.freewordexcelpassword.com/index.php?id=download

رمز فایل :bixodi
جواب نهایی:Astaneh-Asl

  • هکر ایرانی
  • ۰
  • ۰

در جریان یک پرونده سرقت از بانک، پلیس آگاهی تهران بزرگ در حال دنبال کردن فردی مظنون است که در استان اصفهان سکونت دارد. با وجود سرنخ‌هایی که از رایانه یکی از دوستان دستگیر شده این فرد به دست آمده است هنوز شهر دقیق محل سکونت وی مشخص نیست. به ماموران پلیس کمک کنید تا شهر مورد نظر را بیابند (همه حروف را کوچک وارد کنید).

دریافت فایل


جواب: از میان فایل های داده شده تنها یک فایل دارای تگ مکان نما در شهرستان شهرضاست.پرچم به صورت shahreza است.

  • هکر ایرانی
  • ۰
  • ۰

آقای نادری وظیفه‌ی نگه‌داری سایت رایانه‌ای دبیرستان آریا را بر عهده دارد و برای این کار هر روز غیر از پنجشنبه می‌تواند به دبیرستان سر بزند. به تازگی مدیر دبیرستان با یاری یکی از دوستان خود متوجه شده است که وی با دسترسی‌هایی که دارد در روزهایی غیر از روزهای کاری از خدمت دسترسی از راه دور (VNC) به یکی از رایانه‌ها متصل شده و از اینترنت پرسرعت سایت برای دانلود استفاده می‌کند. ولی خودش این ماجرا را انکار می‌کند. پرونده‌‌های رویدادنگاری (log files) مرتبط به شما داده شده است. به مدیر دبیرستان کمک کنید و نام سایتی را که وی در روزی غیر از روزهای کاری خود، شب‌هنگام مشاهده کرده است،

 دریافت فایل


جواب:‌ قدم اول این است که فولدر پنهان را باز کنید و یا دستی (خ مشکل تر) و یا با ابزارهایی مثل پاسکو فایل index.dat آن را پارس کنید  و سایتی را که ۵ شنبه شب ویزیت شده است را وارد کنند:‌
res2.windows.microsoft.com

  • هکر ایرانی
  • ۰
  • ۰

او کیست؟

فردی که در تصویر می‌بینید چه کسی است؟

راه حل: کافی است کمی هنر به خرج بدهید و این فایل را در گوگل سرچ کنید.
جواب:Carl Person


  • هکر ایرانی
  • ۰
  • ۰

راه حل به دست آوردن پرچم:
صفحه اول سوال وب به صورت زیر است:


پس از وارد کردن یک نام کاربر و رمز عبور کاربر صفحه



را مشاهده می کند با نگاه به cookie تنظیم شده برای ورود به این صفحه مشخص است که از دو قسمت تشکیل شده است که قسمت اول hex نام کاربری و قسمت دوم md5 نام کاربری است. برای به دست آوردن پرچم cookie را با مقدار مناسب برای نام کاربری admin تنظیم میکنیم
'sessionid=61646d696e21232f297a57a5a743894a0e4a801fc3'
با بازنشانی صفحه وب با کوکی جدید پرچم نمایش داده می‌شود.
پرچم
e304431069299c36138cfd0cf27a2d57

  • هکر ایرانی
  • ۰
  • ۰

راه حل به دست آوردن پرچم:

راه اول:

صفحه اول سوال وب به صورت زیر است:

که کاربر با کلیک کردن بر روی لینک دریافت صفحه زیر با مشاهده می کند.


که در صورت به دست آوردن کد دسترسی صحیح کاربر می‌تواند به پرچم سوال دست پیدا کند.

با نگاه به Source صفحه وب که در شکل زیر نشان داده شده است

متوجه می‌شویم که برای به دست آوردن کلید باید code ورودی را از فرمول زیر به دست آورد و به پرچم را بدست آورد.

15925=1-63694 * code + 8 * code^2

راه دوم

با جایگزین کردن authenticate جدید به صورت زیر در source صفحه وب cookie مناسب ساخته شده و بدون وارد کردن کد می‌توان به پرچم دست پیدا کرد.

پرچم :

e0c9061b258b03bcb6d774dbbb4e4f17

  • هکر ایرانی