Райтапы по CTF{2026}

Завтра мы официально анонсируем Flipper One на всю аудиторию За 5 лет этот проект несколько раз полностью переосмысливался с нуля и сейчас мы впервые готовы о нем рассказать подробно. Это очень сложный проект как экономически так и технически. Мы решили перепридумать целую кучу подсистем, от железа до того как люди пользуются Линуксом. Объем того на что мы замахнулись просто пугает. Откровенно, я не знаю получится ли у нас сделать то что мы задумали, потому что шанс обосраться очень высокий, но по крайней мере это будет интересно #flipperone

⚠️ Промпты больше не дают преимущества Ещё недавно казалось, что если ты умеешь нормально формулировать запросы к нейронкам, то у тебя уже есть сильный AI-навык. Сейчас это просто база. ⚡Следующий уровень – это настоящая автоматизация, агенты и система. Когда нейросеть не просто отвечает на вопрос, а работает внутри цепочки: - обрабатывает результаты сканирования - помогает анализировать инфраструктуру, - строит гипотезы атак, - проверять код, готовить PoC и собирать отчёт. 🗓 21 мая в 19:00 МСК будет вебинар от CyberED и Сергея Зыбнева «Похек» на тему использования AI в пентесте. Думаю, полезно будет вообще всем. Приходите обязательно послушать, я сам пойду Ссылка на регистрацию [клик] 🖱 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

😎😎HTB Interactive: как быстро понять актуальные техники по машинам 0xdf собрал интерактивный cheatsheet по HTB-машинам, где удобно смотреть свежие боксы, их ОС, даты релиза и наборы техник/тегов, которые реально понадобятся при решении. Это полезный формат для быстрого ориентирования: не полный walkthrough, а карта по вектору атаки, уязвимостям и типовым инструментам. Что особенно удобно в этом списке: - можно фильтровать машины по сложности: Easy, Medium, Hard, Insane; - у каждой машины есть дата релиза и ретира, что помогает понимать актуальность техники; - рядом перечислены ключевые теги, по которым сразу видно направление исследования: например, web, AD, SQL, LFI, RCE, Docker, Kerberos, reverse engineering. По сути, это отличный справочник для подготовки к HTB и смежным практикам: быстро находишь коробку, смотришь стек технологий и начинаешь с правильных инструментов и гипотез. Например, у Pterodactyl видны ноды вроде nginx, php-fpm, Laravel, directory traversal, file read, LFI, pearcmd и RCE — уже по одному этому набору понятно, где искать слабое место 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

Продолжаем серию райтапов с CyberDefenders #bluteam #soc #forensic 🔥Rhadamanthys Платформа: CyberDefenders Автор @kontsevaya_ym Ссылка на райтап [клик] 🖱 • Инструменты: Event Log Explorer, DB Browser for SQLite, Registry Explorer, EvtxECmd, FTK Imager, PECmd • Темы: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Collection • Задача: расследование активности инфостилера Rhadamanthys — анализ артефактов системы, логов событий, реестра и пользовательской активности 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

Друзья! Всем привет! Хорошие новости, я еду на ЦИПР, в Нижний Новгород с 18 по 22 мая, по университетам читать Кибербез-ликбез по CTF и как соревнования помогают стартовать в карьере! Список университетов где буду пока уточняется, но точно 21.05 буду в ВШЭ Короче, я бы хотел студентикам рассказать про ваши кейсы. Как CTF помог вам найти работу. Буду очень рад вашим личным историям в комментариях под этим постом. Спасибо! ❤️ PS, если что, вашу историю можно рассказать и мне в личке @freenameruuuu 💬Канал & Чат & Бот с тасками| 📺RUTUBE | 📺YouTube

Где легально ломать LLM: 5 онлайн-площадок и локальные лабы #ai_security #llm #prompt_injection #bugbounty #ai Prompt injection - это не фокус из серии "заставь бота сказать пароль". В OWASP Top 10 for LLM Applications это LLM01:2025, то есть базовый риск LLM-приложений. Ниже - легальные CTF/lab-среды для тренировки. 1. HackAPrompt ТЫК Соревновательная AI hacking platform: prompt injection, jailbreak, adversarial prompting, leaderboard, tracks. В support-разделе HackAPrompt указано больше $100k призового фонда. Минус: формат больше contest/gamified, чем enterprise pentest lab. 2. Lakera Gandalf ТЫК Классика для secret extraction и prompt leakage. Цель простая: заставить Gandalf раскрыть пароль на каждом уровне. Дальше защиты становятся жестче, и быстро становится видно, почему один system prompt не является security boundary. Минус: тренирует в основном extraction/leakage. 3. PortSwigger Web Security Academy: Web LLM attacks ТЫК Самый прикладной вариант, если цель - AI bug bounty или pentest. PortSwigger разбирает LLM как часть web-приложения: доступ к данным, API, tool/function calls, indirect prompt injection, insecure output handling. Минус: нужен web security контекст и местами Burp Suite. Но это скорее плюс, если не хочется заниматься AI security в вакууме. 4. Tensor Trust ТЫК Игра про attack/defense: защищаешь свой prompt и пытаешься пробить чужой. Полезно как research-песочница, но submissions могут публиковаться, поэтому не вводите приватные данные. 5. Prompt Airlines by Wiz ТЫК AI CTF про customer support chatbot фиктивной авиакомпании. Нужно манипулировать ботом, чтобы получить fictional free ticket. Хороший первый заход в business-logic bypass через LLM. Минус: один бизнес-сценарий без глубокой инфраструктуры. Локальные лабы Основной кандидат - AIGoat: open-source playground для LLM red teaming, который покрывает prompt injection, RAG poisoning, jailbreak chains и OWASP LLM Top 10. Тут важно не запутаться: под названием AIGoat живут несколько вариантов: ➡️ AISecurityConsortium/AIGoat - полноценный playground с attack labs, CTF challenges и progressive defenses. ➡️ orcasecurity-research/AIGoat - deliberately vulnerable AI infrastructure от Orca Security. ➡️ dhammon/ai-goat - локальные vulnerable LLM CTF challenges. ⚡️NEW Онлайн + локально: OWASP FinBot CTF ТЫК Отдельно спасибо Евгению HiveTrace за упоминание новой лабы OWASP FinBot CTF в рамках OWASP GenAI Security Project. По сути, это "Juice Shop for Agentic AI": специально уязвимая многоагентная платформа для финтех-решений/управления поставщиками. Что тренировать: prompt injection, policy bypass, tool misuse, data exfiltration, privilege escalation, RCE через agent/tool interactions и MCP-сценарии. Плюс в том, что FinBot можно проходить онлайн без настройки, а можно поднять локально из GitHub: GenAI-Security-Project/finbot-ctf. Это уже ближе к реальным agentic AI системам, чем классические "вытащи пароль из чатбота" задачки. Мой порядок прохождения: подписаться на @poxek_ai -> PortSwigger Web LLM attacks -> Gandalf -> Prompt Airlines -> HackAPrompt -> Tensor Trust -> OWASP FinBot CTF онлайн/локально -> AIGoat локально. Если цель именно AI bug bounty / pentest with AI, я бы не начинал с бесконечных jailbreak-листов. Быстрый прогресс дадут Gandalf и HackAPrompt, но реальную переносимость в web-пентест лучше качает PortSwigger. Потому что в жизни LLM обычно опасен не сам по себе, а когда ему дали доступ к API, данным и действиям. Использовать только в рамках самих задач, CTF/lab-сред и локальных стендов. "Я просто проверял чатбот банка" - это не responsible disclosure, а плохой план. 🌚 @poxek_ai

#Web #АльфаЦТФ2026 Студ-трек 📆Расписание Швепса Автор @server36 Ссылка на райтап [клик] 🖱 💬Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

#Web #АльфаЦТФ2026 Студ-трек 🥷Охота на инсайдера Автор @server36 Ссылка на райтап [клик] 🖱 💬Канал & Чат & Бот с тасками| 📺RUTUBE | 📺 YouTube

#Web #АльфаЦТФ2026 Студ-трек 🧗Трейлсы Автор @server36 Ссылка на райтап [клик] 🖱 💬Канал & Чат & Бот с тасками| 📺RUTUBE | 📺YouTube

Мы тут больше про ML, но чтобы что-то делать в ИБ приходится разбираться как там всё устроено. SOC, аналитики, ночные смены, вот это всё. И как-то поймали себя на мысли: читать про MITRE и смотреть отчёты про APT-кампании — это понятно. А вот попробовать на собственной шкуре, каково это — сидеть в три ночи и думать «это атака через запуск PowerShell из ворда у бухгалтера или просто кто-то макросы открыл» — ну такое, попробовать особо негде. Поэтому Тимур Смирнов сел и сделал маленькую браузерную игру — Dwell Time. Три ночные смены, 30 алертов, ты SOC-аналитик первой линии. Тыкаешь что делать: разрешить, заблокировать, эскалировать или копнуть дальше. В конце говорят, где налажал и дают ссылки почитать про каждую технику, чтобы реально что-то выучить. Игра пока совсем простая, уровня «вход в SOC». Но если зайдёт — хочется докрутить до прикладной штуки, которая покрывала бы и threat hunting, и pentest, и detection engineering. Чтобы можно было постепенно прокачиваться по разным сферам ИБ через один сюжет в игровой форме🎮 Бесплатно, в браузере, минут на 15-20. Если попробуете — интересно ваше мнение. Что зашло, что не понятно, какие сферы ИБ хотелось бы видеть дальше. Пишите в комменты. https://sucky-charm.itch.io/dwell-time

🔒 AD4ALL — офлайн тренировка AD Обычно Attack Defense CTF считаются закрытой тусовкой для хардкорных команд, попасть на которую у новичков нет шансов. Мы решили это исправить и сделать ивент, отобраться на который может любая команда. К участию приглашаются команды любого уровня навыков: старички смогут размяться, а начинающие — наконец-то понять, как в это играют. Все, что нужно сделать, это заполнить анкету и дождаться приглашения — мы проводим отбор по командам, чтобы соблюсти баланс. ⚫ Участвовать может команда любой возрастной категории ⚫ Состав команды: от 3 до 5 человек ⚫ По итогам заявок будет отобрано 16 команд ⚫ Будет пицца 🍕, а топ команд ждут призы! 🗺️ Соревнование пройдет на площадке Университета МИСИС, по адресу Ленинский проспект, 4. 📆 Ждем отобранные команды 16 мая! Вас будут ждать 8 часов увлекательного геймплея Прием заявок завершится 11 мая, поэтому не пропустите! ➡️ ПОДАЧА ЗАЯВКИ ⭐ Чат участников

#bluteam #soc #forensic 🔥Maranhao Платформа: CyberDefenders Автор @kontsevaya_ym Ссылка на райтап [клик] 🖱 • Инструменты: Event Log Explorer, DB Browser for SQLite, Registry Explorer, EvtxECmd, FTK Imager, PECmd • Темы: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Collection • Задача: расследование троянизированного установщика игры — анализ истории браузера, логов, веток реестра и артефактов файловой системы 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

Привет участникам S6 от платформы ACLabs.pro! Хотите получить сертификаты о прохождении соревнования? Тогда загляните в свой личный кабинет 👉 https://aclabs.pro/profile Там вы найдёте дальнейшие инструкции😎 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

🚩 SaveWalterWhite — Aclabs.pro - WriteUP 🌐 Площадка: Aclabs.pro 📂 Категории: Web | RFI | RCE | PrivEsc | Docker 🐧 ОС: Linux 🔥 Сложность: Medium В этом райтапе добавил маппинг по митре, через attack-navigator отдельной таблицей (изображение), а также оценку уязвимостей по CVSS. 🔗 Читать райтап: https://github.com/alfabuster/Aclabs-pro-Writeups/blob/main/CTF%206%20Season/SaveWalterWhite/SaveWalterWhite.md #Web #Linux #RFI #aclabs.pro 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

#АльфаЦТФ2026 CTF-трек 💜Хак на лавандовом Автор @mixinspace Ссылка на райтап [клик] 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

#Stegano #АльфаЦТФ2026 Теги: easy CTF-трек 👁 Скрытай таск Автор: @freenameruuuu На входе имеем текст под спойлером Используем дешифратор [клик] Исходники дешифратора [клик] 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

#web #АльфаЦТФ2026 Теги: hard, JS CTF-трек 🚠 Фуникулёр врагам Кубани Автор: @rkc015 Ссылка на райтап [клик] 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

Если ждете ещё райтапов с альфы понаставьте под этот пост огонечков пожалуйста мне нужно мотивацию поднять 💪

#web #АльфаЦТФ2026 Теги: easy IT-трек 😐 Плюсвайбер Автор: @mayb3_s0m3t1m3 Ссылка на райтап [клик] 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube

#linux #АльфаЦТФ2026 Теги: ssh, bash IT-трек ⭐️ Новая куртка Автор: @mayb3_s0m3t1m3 Ссылка на райтап [клик] 💬 Канал & Чат & Бот с тасками| 📺 RUTUBE | 📺 YouTube