Mekan Bairyev - MrCyberSec
Mekan Bairyev - MrCyberSec
Hello, MrCyberSec is here!
On this channel I publish videos on various topics in the field of cybersecurity.
I also participate in various CTFs and develop a community of cybersecurity engineers at MadDevs.io
Subscribe to the channel and look for me on other platforms using the links below
Пікірлер
Взрослый дядька, очень умный, уж умнее меня точно. Но почему пароль не хранить на отдельной строчке, чтобы при копировании не париться с возможными пробелами, попавшими под движение мышки? Некоторые вообще логин/пароль прямо в теле письма пересылают, среди текста! Ну вставьте логин на отдельную строчку, и пароль тоже- самим ведь удобнее будет копировать! Да, письмо визуально получится больше, но ведь удобнее с файлом будет работать
А когда у бинарника есть капабилити на обход проверки прав, можно ли просто через него запустить шелл с обходом проверки прав через LD_PRELOAD?
MrCyberSec, спасибо Вам огромное за подобный контент, очень интересно!🤟
Аее! по делу ничего не скажу, но в целом подача звук фонк заебись 🤘🏼
мемотавр останется вечно в нашей памяти, за решение спасибо - поломал мозг над ней в соревновании но понял что я не вывезу - не силен я в вебе.
Привет всем. Я новичок в ctf. Сам работаю джавистом. Хотелось бы узнать, всегда ли дают исходники?
пользуешься Burp Suit платным или фрее?
Голос - ASMR, контент - великолепный
Голос - ASMR, контент - великолепный
@MrCyberSec Привет, отличный контент, надеюсь его будет больше! Пасхалка в конце это ссылка на видео Rick Astley - Never Gonna Give You Up?
Мекан, спасибо за ролик и за задачку в конце ;) Здорово придумано!
За пасхалку - отдельное спасибо 🤣👍
"сложный уровень" - пароли открытым текстом в каждом файле)))
Что за бред, как вай фай может перехватить твой пароль по зашифрованному соединению между браузером и сервером
Я понимаю, что человек вправе сам выбирать и вправе меняться, но считаю нужным сказать, что раньше (без музыки и со старой причёской) было лучше.
Превьюшка - топ)
Очень нравилась комба кепка + попугай
За фонк на фоне отдельный лайк :)
Класс!
Мекан, уж сильно бил по голове фонк, либо тише его, либо все таки что то поспокойнее, как у других видео) спасибо за твои видео
Иногда долбящий фонк, а порой медитативный расслабон. В этом весь я, люблю эксперименты:)
А сейчас уже нельзя воравться в эту CTF? Нужна была регистарция и после окончания нет доступа к заданиям?
К сожалению уже нет. Но можно участвовать в других CTF. Нынче почти каждую неделю проходят. Гляньте на ctftime.org
@@MrCyberSec большое спасибо за ссылку, будет полезной :)
Очень интересно, как обычно, но в этот раз как то без огонька объяснение действий.
Что подразумеваете под огоньком?:)
@@MrCyberSec Вялый усталый от всего голос, еще более тихий чем всегда, мало разговоров, практически нет объяснения своих действий и предположений. Пожалуйста, моргните 5 раз в следующем видео, если Тинькоф держит вас в заложниках
@@smartbyte2760 Могу вас понять, но все мы люди, и не всегда у нас есть ресурс быть энергничными:)
Все пляски по ходу с проблемой крутились вокруг ci-collation у СУБД
Непонятно, зачем делать еще какие-то телодвижения (кроме как с целью проиллюстрировать уязвимости), если флаг лежит плэйнтекстом в скрипте создания БД. Спасибо за работу!
С целью проиллюстрировать уязвимость, верно. На продакшн версии таска флаг нам не известен, а исходники в виде докер контейнера даются в самом задании, чтобы мы могли их анализировать и найти уязвимость.
Rick Astley - Never Gonna Give You Up (Official Music Video)
3:20 В init-db ведь уже прописан флаг, точно такой же как и в 12:05, или флаг не работает пока мы не залогинимся под доктора космодинамикова🙃?
В видео код запущен локально, настоящего флага нет в исходниках, он был во время соревнования прописан в базу на рабочем сервере.
@@chasubavil А, понял, спасибо, а я думал че таск то не открывается
@@chasubavil Хм, тогда непонятно, как выйти на нужный логин. Или были исходники, но исключительно без флага?
Да, были исходники в которых прописан мок флаг, чтобы можно было локально потестить, достать флаг, а потом пробовать на продакшн версии таска. Юзернейм тот же.
Гайз, это где нужно обучиться на такую специальность?
Эта специальность называется Информационная Безопасность (или Cyber Security). Обучают где угодно, хоть на курсах, хоть в универе. Если хочешь делать вещи прямо как на видео, советую начать с академии HackTheBox потом перейти в лабу PortSwigger. Поймешь твое - не твое. Но нужен базовый английский.
Мегаимба!
А я чёт не понял, в конце видео флаг тот же что и в init-db, нельзя было его оттуда сразу взять?
Как?
у тебя есть отдельно сайт на котором надо взломать и есть исходники, по исходникам понимаешь как получить тестовый флаг, а потом на реальном сайте делаешь также и получишь финальный
Всегда с удовольствием смотрю твои CTF, так держать! Скинь фонк в ответ, дружище)
Эти треки из библиотеки CapCut. Объеденил в один и экспортнул в mp3. drive.google.com/file/d/1KKbgsXz520KanDIjaO3X--vKvS7U6Bdh/view?usp=sharing
О, интерактивчик подъехал! Давай еще =)
Просто и понятно! Спасибо!
Красиво👍
Mekan, привет! Спасибо большое за видео! Очень интересно, совсем из другой темы IT для меня, поэтому выглядит как запрещённая магия)) Люблю такое)) Есть просьба. Если не сложно, то в моментах как на 4:00-4:10, например, сделай, пожалуйста больше шрифт/приблизь, чтобы текст было крупнее видно. Даже в очках приходится либо ноутбук к носу подносить, либо приглядываться (хотя в очках зрение 1:1) Люблю твои видео, спасибо, что делаешь их!
Спасибо! Да, хорошо, буду делать крупнее)
А безопасный код существует?😁
Только во снах программистов😂
Долго ловил бинарный код в конце видео, чтоб сделать скриншот, благо что мак умеет распознавать текст по скрину, спасибо за Rick Astley - Never Gonna Give You Up
Хехе, круто что вы заморочились и достали рикрол:))
Можно же 0,25 сделать. Можно с телефона снимать и потом по кадрам листать видео. Я так молнии ловил.
Спасибо большое, очень приятно вас смотреть, не останавливайтесь
Лайк за Рика:)
Never gonna give you up Never gonna let you down :D
Круто! Хорошо, что исходники приложения тоже дают. Иначе не понятно как можно было бы догадаться про такую уязвимость... Спасибо большое за красивое решение!
Тоже сначала не понят откуда сорс взялся.
я попался на рикроллинг 😄
Первый нах!
Ничего не понятно, но очень интересно!
Крутяк спасибо тебе большое, за видео, я хоть и дата инженер, но благодаря твоему каналу, стал более серьёзно относится к направлению информационная безопасность.
Очень круто!
1:20 ты чо ща сделал?😂 drive.htb drive.htb? Не ip:http adr, а именно.. лол
Магия монтажа, не иначе..😂
Дэвид блэйн, это ты? А вообще видео топ. Правда мало что ясно простому юзеру, но очень интересно
Скажите, причем тут НТВ
Добра тебе, Уважаемый MrCyberSec! Подскажи пожалуйста, сколько времени ушло в реальности на решение данной задачи? Заранее благодарю!
Приветствую, на самостоятельное решение ушло пару вечеров.
Думал лечь спать под видео. Даже зубы не успел дочистить как видео закончилось)
Сорян:)) Уже снимаю продолжение)
Чувак, проходи все HTB машины, выкладывай видео в закрытой группе, доступ давай по подписке Patreon. Лично подпишусь
Спасибо конечно, но увы, риск не оправдан. Один стук и я в бане:)
@@MrCyberSec Нужно подумать над реализацией) по идее, риск должен быть минимальный или вообще отсутствовать, если видео будет в привате. Для внешнего наблюдателя это может быть оформлено, как обучающие видео для начинающих. Думаю, что для "стука" необходимо будет не только скинуть видео, но и предоставить на него ссылку) а если оно будет в закрытой группе телеграм, например? У тебя большой потенциал для монетизации: и контекст, и подача, всё на уровне. Не теряй шанс) Успехов тебе!