Райтапы по CTF{2026}

#WEB Введение в WebSocket от @cherepawwka, ТОП 15 на платформе Codeby Описание от автора В этой статье мы поговорим о том, что такое веб-сокеты и зачем они нужны, чем они отличаются от других способов обмена информацией между клиентом и сервером, а также напишем простой скрипт на Python🐍 — WebSocket client для решения таска с платформы CodeBy Games🚩 Оригинальный пост 📝 Читать: https://telegra.ph/Intro-to-WebSockets-05-02

Доброе утро! #WEB Таск: Магическая админка от @exited3n На Python

import time
from hashlib import md5


def is_valid_number(hashed_value):
    return all(c.isdigit() for c in hashed_value[2:])


def find_valid_number():
    start_time = time.time()
    i = 0
    while True:
        hashed_value = md5(str(i).encode()).hexdigest()
        hashed_value = md5(hashed_value.encode()).hexdigest()
        if hashed_value[:2] == "0e":
            print(f"{i} {hashed_value}")
            if is_valid_number(hashed_value):
                break
        i += 1
    end_time = time.time()
    execution_time = (end_time - start_time) / 60
    print(f"<b>Total Execution Time:</b> {execution_time:.2f} Mins")


if __name__ == "__main__":
    find_valid_number()

На PHP

<?php
$time_start = microtime(true);
$i = 0;
while (1){
    
    if (substr(md5(md5(strval($i))), 0, 2) === "0e"){
        echo $i;
        echo " ";
        echo md5(md5(strval($i)));
        echo "\n";
        if (ctype_digit(substr(md5(md5(strval($i))), 2))){
            exit();
        }
    }
    $i++;
}

$time_end = microtime(true);
$execution_time = ($time_end - $time_start)/60;
echo '<b>Total Execution Time:</b> '.$execution_time.' Mins';

?>

Увидел, как @AlexanderSuv0rov выложил лист ресурсов с задачками CTF Не могу им не поделиться. Хакайте с удовольствием What Is CTF Sites? CTF Sites is the biggest collection of CTF sites, contains only permanent CTFs. I started this project more for myself in the beginning, like a cheat sheet but then I thought it would be good to make it publicly available, it would help a lot of people. https://ctfsites.github.io/

Разбор задания "Минное поле" с платформы Codeby Games😎 https://telegra.ph/Codeby-Games-Minefield-writeup-09-05 Вернёмся к одной из самых опасных уязвимостей — SSTI. Вслепую поэксплуатируем инъекцию механизма шаблонов Jinja2 в приложении, написанном на Flask🐍, а для получения обратного шелла научимся использовать ngrok🥷 Приятного изучения! #пентест #web #ssti

Друзья, вы выбрали конечно самые сложные и крутые таски! Ждите анонсов, обкашливаем вопросик

​​Очень интересное и удивительно простое быстрое решение без строчки кода! #криптография "Элементарно, Ватсон Tinfoff CTF 2024 От: Max ТОП 100 на платформе Codeby Я выделяю два основных способа решить "Ватсона": посредством программирования и, скажем так, классическим способом с помощью двух цилиндров и ленты из бумаги. К сожалению, и тот, и другой способы достаточно продолжительные по времени. Поскольку речь идет о соревнованиях, мы не можем себе позволить тратить время там, где его тратить вовсе не обязательно. Я опишу третий способ: быстрое решение с помощью онлайн-сервиса. Вам наверняка известно, что шифр, который нам дан – это модифицированный вариант скиталы, она же сцитала, она же шифр Древней Спарты, достаточно эффективный для своего времени шифр. Насколько мне известно, первым работу скиталы описал Плутарх. Разумеется, изобретателем этого шифра философ не являлся. В отличие от оригинальной скиталы в ватсоновском варианте используется два цилиндра вместо одного, а также добавлена пара других усложнений. Однако схема решения остается прежней: нужно найти ключ. В оригинальной скитале ключом выступают длина и диаметр цилиндра. В данном случае ключ – это количеств букв на виток. Мы воспользуемся замечательным сеpвиcом dcode.fr. В поиске находим Scytale Cipher, вставляем шифртекст в соответствующее поле, просим сохранить пунктуацию (Keep punctuation and spaces), выбираем опцию Try all possible sizes, то есть запускаем брутфорс-атаку и... видим, что у нас ничего не получилось: все еще нечитаемый текст. Почему так? Потому что мы не указали количество букв на виток – за это отвечает опция Number of letters per turn of band. Я предвижу вопрос: "Сударь, но откуда же я должен знать длину ключа? Вы не рассказали как ее рассчитать!". Есть много способов, я назову самый очевидный: перебор всех возможных вариантов – всех возможных длин. Их не может быть много и в данном случае перебор займет не больше пяти минут, потому что длина ключа – 32 буквы на виток. Результат можно наблюдать на скриншоте. Хочу подчеркнуть, что в картотекe будет присутствовать не один флаг, а несколько. Правильный флаг начинается с "tctf{Cr1...". Строки разбиты, но продолжение флага долго искать не придется, потому что оно располагается на предыдущей строке.

Ребят, хотим подготовить серию райтапов по криптографии, но нам нужна ваша помощь в выборе! Напишите, пожалуйста, в комментах какие таски с codeby вам было бы интересно увидеть? 

Всем доброе утро! Надеюсь всем удалось отлично отдохнуть Если кто вдруг кто не знал, то с 23 по 26 мая будет Positive Hack Days Fest 2. Это киберфестиваль для всех, кто хочет погрузиться в мир кибербеза В прошлом году смотрел проф программу онлайн. В этом году буду офлайн. Если будет желание, познакомиться до/вовремя/после феста и затусить то велком Вот думаю может разыграть три билета на закрытую часть феста среди подписчиков? Ну и конечно же, присылайте ваши райтапы, обязательно опубликуем ❤️

Ребятки, всем хороших выходных! Всем усиленно отдыхать!

И на ночь глядя, хардовый таск с Тинькофф CTF «Сигнал из космоса» https://youtu.be/RDe9VegrRew?si=tjT5jDa8lS7CB9ZT

#Стеганография "Внимательный читатель" Автор: Max https://codeby.games/users/M4x ТОП 100 на платформе Подготовил райтап по таску "Внимательный читатель", который многие ждали Перед нами трактат «О значении и успехе знания, божественного и человеческого» Фрэнсиса Бэкона — человека, чье имя, уверен, знакомо каждому, кто интересуется криптографией. Гуглим оригинал трактата и сравниваем с документом из вложения. Для этого можно воспользоваться как онлайн-сервисами (пример: https[:]//diffcheck[.]io), так и консольной утилитой diff. Становится ясно, что в некоторых словах различаются регистры первых букв, а в некоторых местах вместо одного пробела между словами присутствуют два пробела. Выписываем буквы, регистры, которые различаются, а также выписываем пробелы. Получим длинную строку со строчными и прописными буквами, разделенными пробелами, которую, по понятным причинам, я приведу не полностью: oM savcf Osc pMef tce KSh... Это не шифр, как можно подумать, а банальная «морзянка»: строчные буквы надо заменить на тире, а прописные буквы надо заменить на точки, после чего декодировать, воспользовавшись любым онлайн-сервисом на свой выбор. При декодировании выяснится, что фраза, которая принимается как флаг, написана с ошибкой. Насколько я могу судить, здесь ошибся сам автор таска. Я уверен, что вам не составит труда сообразить, что нужно делать, и все же назову последнее слово (в котором и встречается ошибка) — D1FF3RENCE. Хочу отметить, что это краткая версия райтапа. В ближайшее время на форуме Codeby я опубликую развернутую версию с историческими отсылками, ориентированную на тех немногих из вас, кому интересно погрузиться в историю стеганографии

Сегодня в канале в 18:00 у нас будет супер-экслюзив от ТОП 100 в рейтинге платформы, который так многие ждали. Намекну, что это #Стеганография

Кстати про другие CTF Я был на Тинькофф, мб кто из вас был и пропустил группу с райтапами https://t.me/tinkoffCTFAnswers И вот разбор от оргов https://t.me/tinkoff_ctf/37077

Ребят, админ болеет. Постараюсь к концу недели покидать какие-то свои райтапы, а так же буду очень благодарен если вы поделитесь своими В планах на эта группу: - анонсировать тут разные CTF и кибербез мероприятия - делиться райтапами и развивать уютную ИБ тусовку - возможно оффлайн делать хакспейс для всех Всем спасибо, пошёл дальше болеть и выздоравливать

Ребят, кто-то решал "Чужая память" в категории реверс? Напишите плз

#стеганография Кулити, с гифкой. От @danzyxd Дана гифка, я ее разложил на кадры в Gimp'е, каждый кадр превратился в слой и а названии каждого кадра написано время в течении которого этот кадр показывается. Можно заметить 53-й кадр, который длится 0 мс, качаем его отдельно и закидываем в Stegsolve. В фильтре с инверсией справа сверху видим флаг. 🚩 https://codeby.games

#OSINT Аэропорт: от @freenameruuuu и @dnk33 Ссылка на задание https://telegra.ph/Aehroport-05-05-6 🚩 https://codeby.games

Выполняя таски по OSINT с поиском местонахождения аэропортов я первый делом обращаю внимание на припаркованые самолеты, а точнее на его хвостовую часть. Для идентификации к какой авиакомпании принадлежит самолет можно использовать этот ресурс https://airlinersgallery.smugmug.com/Airline-Tails/Airline-Tails