Dragon Sector AMA
Jesteśmy polskim zespołem biorącym udział w rozgrywkach CTF (security/hacking). Zapraszamy do zadawania pytań! Odpowiadamy z kont: @dragonsector, @gynvael i @lympho (ew. dodatkowe wymienimy na stronie w linku). Start 8.1.2015 12:00. Koniec 9.1.2015 10:00
- #
- #
- #
- #
- #
- 306
Komentarze (241)
najlepsze
2. Skąd się znacie?
3. Ile macie lat, jakie wykształcenie, itp?
4. Próbowaliście hackować Wykop?
5. Wykorzystywaliście kiedyś swoje skille niekoniecznie w dobrym celu?
1. Czy rozwalenie strony przed dos/ddos może jakoś pomóc przy wycieku zawartości (bazy itp) ?
2. Istnieją jakieś bardziej h4x0rskie sposoby do sprawdzenia zakresu IP (całej strefy adresów powiązanych) należącego do tej samej 'organizacji' niż numerowanie + i - w ostatnim oktecie ? ;D
3. Czy można wysłać pakiet sieciowy bez enkapsulacji ?
4. Jaki język jest najbardziej uniwersalny i posiada największe możliwości jeśli chodzi o pisane nardzędzi do "testowania" aplikacji
1 - Trudno mi sobie taki wyobrazić, ale nie zajmuję się webem.
2 - whois na netblocku (zdobywasz zakres), zmap/nmap, próbujesz wykminić co siedzi pod wspólnymi routerami (traceroute, mtr -e dla MPLS), takie tam.
3 - Na Ethernet? No, jeżeli wyślesz niepoprawną ramkę to najpewniej ci coś zdropuje po drodze (NIC/Switch). Jak wyślesz poprawny Ethernet, a niepoprawny IPv4/v6, to ci pierwszy router po drodze dropnie.
4
Najdziwniejsze zadanie, z jakim przyszło wam się zmierzyć?
Wasz najtrudniejszy/najgroźniejszy/najbardziej wymagający rywal?
Czym zajmujecie się na codzień?
- Ghost in the Shellcode 2014 - cały CTF był grą MMORPG napisaną w Unity, specjalnie na konkurs. Część zadań polegała na modyfikowaniu klienta gry w celu zdobycia przewagi nad resztą przeciwników. Były tam skarby w stylu modyfikowanie przedmiotu wina, żeby zostać praktycznie niezwyciężalnym na pewien
2) Ile* zgarniacie za 0-day'a?
3) Co Was sklonilo do wyjscia z nory? Slawa? Pieniadze? Czynienie dobra dla spoleczenstwa?
* - srednio
1) Jako team nie szukamy razem błędów w oprogramowaniu OS czy komercyjnym (są chwilowe alianse, ale bardziej związane z faktem że kilku z nas pracuje w jednej firmie), być może kiedyś to zmienimy
2) Osobiście, największe (prywatnie) bounty jakie dostałem to 4x za RCE w IDA-Pro, zaraz potem miła nagroda za kilka razy RCE-like w Firefoksie (także w ich bug bounty)
3) Pasja, "jak mniemam" :)
// jagger
Część z nas pracuje w firmach "internetowych" które są ciągłym obiektem ataku, a nasze zadanie to albo do tego nie dopuścić, albo to powstrzymać (albo już tylko posprzątać:P).
// jagger
1. Co sądzicie o "CTFie" jakim jest/była Cicada 3301( ͡º ͜ʖ͡º). Czy ktoś z Was próbował rozwiązać zagadkę?
2. Pytanie trochę mniej związane z CTFami. Jak oceniacie bezpieczeństwo "polskiego internetu". Pytam Was z perspektywy osób, które oprócz udziału w konkursach robią od czasu do czasu pentesty dla firm i instytucji.
3. Pytanie całkiem niezobowiązujące. Czy panowie z agencji na "2 lub 3 literki" ( ͡
Ja polecam x64_dbg (x64dbg.com). To dość nowy debugger, zrobiony przez ludzi, którzy się na tym znają. Obsługuje i 64 i 32 bitowe aplikacje, jest robiony na podobieństwo ollego, ale zawiera sporo ulepszeń, m.in. możliwość skryptowania. No i jest open-source ;)
No i dodatkowo IDA x64 do analizy statycznej.
// Redford