ChOkO

Show de bola hein.. Outras duas coisas que eu curto fazer para evitar aparecer no history: sair com kill -9 $$ enviar os comandos com um espaço na frente (tem uma shellopt que ignora a escrita disso no history) Quem souber mais tricks compartilha ae :)

Eu vi o ippSec mandando essa trick uma vez e parece ser bem maneira. Acredito que tem outras tools mais profissas pra fazer isso hoje em dia, mas eu costumo utilizar esse script pra caçar cron e outras coisas em execução e procurar por oportunidades de escalar privilégios. cat > /tmp/procmon.sh <<'EOF' #!/bin/bash IFS=$'\n' op=$(ps -eo command) while true; do np=$(ps -eo command) diff <(echo "$op") <(echo "$np") sleep 0.1 op=$np done EOF Quando você executar esse procmon.sh é legal dar um grep -v "^´´[0-9]" algo assim, pq vem umas sujeiras também e dá pra filtrar melhor com algo nessa linha. [ ]z! ChOkO

Respondendo às dúvidas do colega: Sim, sempre existirá a possibilidade de explorar vulnerabilidades que permitam executar código no sistema operacional hospedeiro a partir da máquina virtual! Lembre-se não existe 100% seguro. Para treinar basta escolher qualquer um dos CTFs listados nesse post e começar a jogar! Se você nunca jogou um CTF antes eu recomendo começar por estes: Bandit do OverTheWire - excelente para iniciantes, você vai pegar algumas manhas de linha de comando no Linux, além de começar a pesquisar e pensar por conta própria para resolver alguns desafios. PicoCTF - CTF voltado para alunos do ensino médio. Também é possível jogar o do ano de 2018. É bem instrutivo também. SANS Holiday Hack Challenge - Você vai aprender muita coisa de segurança ofensiva e defensiva através desse CTF. Todo final de ano eles soltam um desafio novo e premiam vários participantes. Vale muito a pena! Lembrando que esse mês temos o CTF qualificatório para a DefCon (https://register.oooverflow.io/) e o Pwn2Win (https://pwn2win.party/)! Tente jogar estes para ter uma idéia da pedrada que são CTFs de nível mundial! [ ]z, ChOkO

Mandei no post, bro! O primeiro link do Grupos do Telegram!

Salve galera! Muito obrigado pelo feedback de todos vocês! Vou enviar alguns links que ficaram faltando na palestra e aqueles que estavam nos slides também, blz? Site de educação da HackerOne - neste site existem diversos vídeos educacionais sobre Burp, criptografia e uma introdução de reversing / exploitation. CTF Hacker101 - Possibilita ganhar 1 convite para um programa privado de bug bounty a cada 26 pontos acumulados. Grupo "[<Ø>]" no ctf.hacker101.com - Este é um link para acessar um grupo nosso de brazucas dentro da plataforma. Não é nada demais, mas dá pra ver quem matou qual desafio, quantas dicas pediu, etc. Assim dá pra trocar uma idéia com a pessoa que pode ter resolvido algo que você ainda está em dúvida. # Lembrando, vamos evitar o spoiler galera. É muito difícil dar dicas sem estragar o desafio para a outra pessoa. Quando você dá um spoiler (ex: procura na wordlist X) no fundo você atrapalha a outra pessoa, pois a impedirá de alcançar aquele raciocínio por conta própria das próximas vezes que se deparar com esta situação. # Links e materiais sobre coisas que eu falei durante a palestra # https://youtu.be/GZ6Zk1tP9JU - Sobre o CTF da DefCon com Vito Genovese na DefCon 1 China # https://en.wikipedia.org/wiki/General_Intelligence_and_Security_Service - AIVD # https://github.com/smokeleeteveryday/CTF_WRITEUPS/tree/master/2015/AIVD_CYBERCHALLENGE - Writeup do challenge de contratação da AIVD # https://www.csoonline.com/article/3227910/hackers-create-memorial-for-a-cockroach-named-trevor.html - Trevor Forget - não é mentira da barata 😄 # http://35.204.139.205:5000/ - Desafio do Gynvael que eu resolvi ao vivo sobre CRLF Injection # ctf-br.org/docs - Projeto CTF-BR # CTFs importantes que vão rolar em Maio 2020! # https://register.oooverflow.io/#/ - CTF Qualificatório oficial da DefCon # https://pwn2win.party/ - CTF Pwn2Win do time ELT, recomendadíssimo! # Grupos pt-BR no Telegram # https://t.me/hacknroll - Hack n Roll Academy do Maycon Vitalli, MUITO bom! # https://t.me/bughuntersbr - Bug Hunters Brasil # https://t.me/zero2flag - Zero 2 Flag # https://t.me/ctfplayers - CTF Players (apenas anúncios) # https://t.me/ctfsp - CTF SP # https://t.me/ctfbrasil - CTF Brasil # https://t.me/CTF_FatecOurinhos - CTF Fatec Ourinhos # https://t.me/ctfh4k - CTF-H4k # https://ctf-br.org - Projeto CTF-BR (também disponível no IRC --> irc.freenode.net #ctf-br) # https://t.me/blueteamlibrary - Blue Team Library # Servers de Discord # https://discord.gg/gUK7gb - 0day.rocks (discord do @x0rz)" # https://discord.gg/nwd86e - RWXROB # https://discord.gg/Y6jSQt - CTF-Course - mais foco em exploitation # Diversos CTFs públicos # http://overthewire.org - OverTheWire - possui diversas máquinas diferentes, recomendo iniciar pela Bandit. # https://www.holidayhackchallenge.com/ - SANS Holiday Hack Challenge - Excelente e educativo! # https://www.hackthebox.eu - HackTheBox - Pra quem nunca jogou, comece pelo "Starting Point" # https://picoctf.com - PicoCTF # https://www.vulnhub.com - Vulnhub # https://hackthissite.org - HackThisSite # https://shellterlabs.com/ - ShellterLabs # https://www.root-me.org/ - Root-Me # https://cryptopals.com - Cryptopals - Desafios de Crypto bem legais # https://www.enigmagroup.org/ - Enigma Group # https://try2hack.nl/ - Try2Hack - primeiro CTF que eu joguei na vida hehe :) # https://cmdchallenge.com - CMD Challenge # https://www.hacking-lab.com - Hacking-Lab # https://pwnable.kr - PWNABLE KR # https://pwnable.tw - PWNABLE TW # http://smashthestack.org/wargames.html - SmashTheStack # http://flaws.cloud/ - FLAWS - CTF de AWS # http://flaws2.cloud/ - FLAWS 2 - CTF de AWS # https://capturetheflag.withgoogle.com/ - Google CTF Vamos nos falando e obrigado mais uma vez pelo apoio! [ ]z! ChOkO

Salve galera! Vamos usar esse espaço para a discussão, tirar dúvidas e compartilhar material sobre CTFs e Segurança da Informação, demorou? [ ]z! RTFM[ChOkO] ChOkO_AprendendoInfoSecCTF_MBConf_2020_v2.pdf