Решаем CTF #0

Всем привет! Это первая статья из серии статей про решение CTF задач. Для совсем новичков объясню что такое CTF, и что в этих статьях будет рассказываться.

CTF - Capture The Flag

Захват флага в компьютерной безопасности — это упражнение, в котором «флаги» тайно прячутся в преднамеренно уязвимых программах или веб-сайтах. Это может быть соревнование или образовательные цели. Участники крадут флаги либо у других участников, либо у организаторов.

По - сути нам необходимо взломать сервер или какое - то приложение и получить приватную информацию - флаг.

Зачем решать CTF задачи? Решение CTF задач - отличный способ получить практику во взломе реальных устройств. Решая эти задачи вы узнаете много различных эксплойтов и методик взлома.

В статьях этой рубрики я буду брать одну или несколько задач с сайтов на подобии root-me.org и подробно описывать процесс решения, объясняя что и зачем я делаю.

Начнём с простого

Возьмём очень простую задачу с root-me за которую даётся 5 баллов (сложность лёгкая, обычно чем больше баллов - тем выше сложность).

Для решения задач вам необходимо зарегистрироваться на root-me.org

Для успешного решения данной задачи необходимо получить флаг(пароль) и ввести его на сайт для валидации решения.

Нажимаем на кнопку "Start the challenge" и приступаем к выполнению.

Шапка сайта нас не интересует она автоматически добавляется самим root-me. Нас интересует форма, которая недоступна. Судя по заголовку задачи "HTML - disabled buttons" не сложно догадаться, что нам надо поработать с html кодом данной страницы и разблокировать кнопки.

Для этого нажимаем сочетание клавиш "Ctrl + Shift + I" и через инспектор находим необходимую форму. Заметим, что у инпута и кнопки есть атрибут disabled, который блокирует возможность взаимодействовать с кнопкой и инпутом соответственно.

Два раза кликаем по атрибуту и стираем его. Теперь мы можем взаимодействовать с формой. Вводим рандомный текст в инпут и нажимаем "Member access".

Мы внутри!

Видим, что код-подтверждение это "HTMLCantStopYou". Вводим его в специальную форму на root-me.

Поздравляю! Сложно назвать это задачей, так как особых скиллов для её решения не требуется, но я взял её для объяснения механики работы с root-me. Так же на этом сайте вы можете найти задачи в которых вам будет необходимо взаимодействовать с удалённым ssh сервером.

Заключение

В этой статье мы познакомились с понятием CTF и решили первую задачу на root-me. Статьи в этой рубрике я планирую делать на основе одной темы на статью, т.е. в одной статье разбирать задачи одного типа(но задачи с увеличивающейся сложностью).