السلام عليكم ورحمة الله وبركاته
في هذا المقال سأشارككم جزء من تجربتي مع أول CTF مصري ادخله مع فريق متكامل خلال هذه السنه:
يسمي الـICMTC CTF 2024 التابع للكلية الفنية العسكرية المصرية :
في هذا الـCTF لم ادخل كمتسابق رسمي نظرًا لأني لست في كلية تقنية تمكنني من التسجيل بشكل رسمي فيها بل دخلت عن طريق دعوه احد أصدقائي لي لأن أكون عضوًا في فريقة، قبلت الدعوة وكانت أوّل دعوة رسمية و فرصة أحصل عليها من صديق لي في تحدي كبير جدا يضم عدد من طلاب الكليات التقنية الذين يأخذون من نفس المنهج الذي يتم اختبارهم فيه من قبل الكلية الفنية العسكرية و كانت مساهمة جيده من الدولة المصرية في مجالات التقنية و استمتعت كثيرا اثناء دخولي للتحدي و اثناء سير الوقت و الي اعجبني بصراحة وقتها كان نظام الموضوع و حماية منصة الCTF نفسها بالرغم من وجود بعض الأخطاء الي كان المفروض المنظمين ينتبهوا لهت لكن كانت تجربة ممتعة اثناء استكشافي اليها و محاولة حل التحديات بأفضل ما لدي و كانت لحظات مصيرية قليلة تفصلنا عن الخسارة لكن استطعنا بفضل الله الحصول علي مركز ممتاز بين اول 10 فرق في هذا التحدي الذي هو علي مستوي دولة كاملة بحجم مصر وهذا شرف كبير لي ان أكون عضوا في تحدي كبير مثل هذا .
طبعا كان الـCTF مقسم الي اقسام كثيرة و من اهم الأقسام التي كانت موجودة كان الـWEB و الـForensics الي كانت معلقة عليهم نقاط كثيرة جدا وفي هذا المقال سنتناول فيه تحدي من تحديات الـWeb الي كان دوري اني اراعي قسم الويب بشكل كامل لكن في وقت لاحق انتقلت الي الـForensics و الذي كانت تحدياته جميلة و معقدة بشكل كبير لكن بفضل الله سبحانه و تعالى قد تمكنت من حل الكثير من الأسئلة و التحديات التي كانت تعتبر صعبة نوعًا ما أو تحتاج أن تفكر خارج الصندوق بشكل كبير
والآن دعونا ننتقل من المقدمة الى تفاصيل أوَّل تحدي عند دخولي للمنصة :
عند دخولي الي المنصة كان قد تبقى اقل من 24 ساعة قبل انتهاء التحديات فبدأت بشكل مباشر علي قسم الـWeb Exploitation و الذي وجدت فيه تحدي يسمي Compare
تفاصيل تحدي Compare :
عند دخولي الي الـCard الخاصة بالتحدي كان مطلوبا مني جلب الـFlag و كان هناك جملة معينة كوصف للتحدي و في نهايتها كان يوجد رابط التحدي
التحدي كان عبارة عن موقع الكتروني تظهر فيه بعض اكواد الـPHP وفيها شروط معينه و بشكل مباشر توقعت انها قد تكون الـBack-end الخاص بالموقع و التحدي هو اختبار لمدى تعمقك في مجال الـWeb Development و فهمك للثغرات الأمنية و طرق تحقيقك للشروط المطلوبة للإصلاح الCondition و تنفيذ اكشن معين اثناء القيام بالتعامل مع الريكويستات الخاصة بالموقع و تلاعبك بمكونات الـBackend و الذي كان يعتمد علي المهارة البحتة
طبعا بما اني كنت شخص Full Stack Php Developer فلم يأخذ الكود وقت طويل مني لكي افهمه و ابدأ في تحليله بشكل صحيح
هذا هو الكود الذي كان في الواجهة الأساسية الخاصة بالموقع :
حسنا بعد ان حللت الكود ببساطة سأشرح لكم النتائج بشكل قد يعطيكم نظرة مختلفة لهذا الكود السحري الذي من النظرة الاولي ممكن تشوفو ملئ بالتناقضات و غير صحيح لكنه اعمق بكثير مما تتخيل و اوضح مما تري
1. لنبدأ مع بداية الكود وهي افتتاح للغة البرمجة عن طريق الـPHP Tag التي توضح لنا ان الكود المكتوب هو عبارة عن كود PHP و التي هي `php?>`
2. ثم بعدها نري ان المبرمج استخدم الـInclude لاستدعاء اكواد من ملف اخر يسمي flag.php فوظيفة هذة الـFunction تستخدم لاستحضار كود من ملف معين الي ملف اخر بغرض استخدام متغيراته و وظائفه في مكان اخر
3. في السطر الثالث نرى انه بدأ في استخدام Condition و استخدم الـFunction التي تدعي isset و التي تستخدم ببساطة للتعرف علي ان الشيء تم إدخاله بالفعل او تم استقباله من قبل السيرفر بعدما تم ارسالة فتاتي بنتيجة من الاثنين اما True او False اذا تم استخدامها في حالة الـ Condition وتلك تعني تستخدم من قبلها كالاتي `اذا كان الناتج عبارة عن True ابدأ ببساطة في ادخالي الي قواعد الشرط و اذا كانت False ابدأ في ادخالي الي الي خانه الElse وهذا في حالة الريكويستات التي من نوع GET فقط و التي تكون علي هيئة براميترات في الـURL نفسة` لنرجع الي حالتنا الان وهي اذا كان ذالك الشرط الذي شرحناه ينطبق علي البراميتر الذي اسمه "p1" ابدأ في ادخالي الي الـFunctions الرئيسية الخاصه بالشرط المطلوب كما وضحنا لكم .
حسنا لنأخذ استراحه قليلة ثم نستكمل الباقي في المقال القادم ليكون الجزء الثاني باذن الله
لا تنسونا من صالح دعواتكم بالخير مع تحياتي
كان معكم في هذا المقال اخوكم طه صاحب قناة Technology Makers
قناتي على منصة تلغرام :
قناتي على اليوتيوب :
www.youtube.com
في هذا المقال سأشارككم جزء من تجربتي مع أول CTF مصري ادخله مع فريق متكامل خلال هذه السنه:
يسمي الـICMTC CTF 2024 التابع للكلية الفنية العسكرية المصرية :
في هذا الـCTF لم ادخل كمتسابق رسمي نظرًا لأني لست في كلية تقنية تمكنني من التسجيل بشكل رسمي فيها بل دخلت عن طريق دعوه احد أصدقائي لي لأن أكون عضوًا في فريقة، قبلت الدعوة وكانت أوّل دعوة رسمية و فرصة أحصل عليها من صديق لي في تحدي كبير جدا يضم عدد من طلاب الكليات التقنية الذين يأخذون من نفس المنهج الذي يتم اختبارهم فيه من قبل الكلية الفنية العسكرية و كانت مساهمة جيده من الدولة المصرية في مجالات التقنية و استمتعت كثيرا اثناء دخولي للتحدي و اثناء سير الوقت و الي اعجبني بصراحة وقتها كان نظام الموضوع و حماية منصة الCTF نفسها بالرغم من وجود بعض الأخطاء الي كان المفروض المنظمين ينتبهوا لهت لكن كانت تجربة ممتعة اثناء استكشافي اليها و محاولة حل التحديات بأفضل ما لدي و كانت لحظات مصيرية قليلة تفصلنا عن الخسارة لكن استطعنا بفضل الله الحصول علي مركز ممتاز بين اول 10 فرق في هذا التحدي الذي هو علي مستوي دولة كاملة بحجم مصر وهذا شرف كبير لي ان أكون عضوا في تحدي كبير مثل هذا .
طبعا كان الـCTF مقسم الي اقسام كثيرة و من اهم الأقسام التي كانت موجودة كان الـWEB و الـForensics الي كانت معلقة عليهم نقاط كثيرة جدا وفي هذا المقال سنتناول فيه تحدي من تحديات الـWeb الي كان دوري اني اراعي قسم الويب بشكل كامل لكن في وقت لاحق انتقلت الي الـForensics و الذي كانت تحدياته جميلة و معقدة بشكل كبير لكن بفضل الله سبحانه و تعالى قد تمكنت من حل الكثير من الأسئلة و التحديات التي كانت تعتبر صعبة نوعًا ما أو تحتاج أن تفكر خارج الصندوق بشكل كبير
والآن دعونا ننتقل من المقدمة الى تفاصيل أوَّل تحدي عند دخولي للمنصة :
عند دخولي الي المنصة كان قد تبقى اقل من 24 ساعة قبل انتهاء التحديات فبدأت بشكل مباشر علي قسم الـWeb Exploitation و الذي وجدت فيه تحدي يسمي Compare
تفاصيل تحدي Compare :
عند دخولي الي الـCard الخاصة بالتحدي كان مطلوبا مني جلب الـFlag و كان هناك جملة معينة كوصف للتحدي و في نهايتها كان يوجد رابط التحدي
التحدي كان عبارة عن موقع الكتروني تظهر فيه بعض اكواد الـPHP وفيها شروط معينه و بشكل مباشر توقعت انها قد تكون الـBack-end الخاص بالموقع و التحدي هو اختبار لمدى تعمقك في مجال الـWeb Development و فهمك للثغرات الأمنية و طرق تحقيقك للشروط المطلوبة للإصلاح الCondition و تنفيذ اكشن معين اثناء القيام بالتعامل مع الريكويستات الخاصة بالموقع و تلاعبك بمكونات الـBackend و الذي كان يعتمد علي المهارة البحتة
طبعا بما اني كنت شخص Full Stack Php Developer فلم يأخذ الكود وقت طويل مني لكي افهمه و ابدأ في تحليله بشكل صحيح
هذا هو الكود الذي كان في الواجهة الأساسية الخاصة بالموقع :
حسنا بعد ان حللت الكود ببساطة سأشرح لكم النتائج بشكل قد يعطيكم نظرة مختلفة لهذا الكود السحري الذي من النظرة الاولي ممكن تشوفو ملئ بالتناقضات و غير صحيح لكنه اعمق بكثير مما تتخيل و اوضح مما تري
1. لنبدأ مع بداية الكود وهي افتتاح للغة البرمجة عن طريق الـPHP Tag التي توضح لنا ان الكود المكتوب هو عبارة عن كود PHP و التي هي `php?>`
2. ثم بعدها نري ان المبرمج استخدم الـInclude لاستدعاء اكواد من ملف اخر يسمي flag.php فوظيفة هذة الـFunction تستخدم لاستحضار كود من ملف معين الي ملف اخر بغرض استخدام متغيراته و وظائفه في مكان اخر
3. في السطر الثالث نرى انه بدأ في استخدام Condition و استخدم الـFunction التي تدعي isset و التي تستخدم ببساطة للتعرف علي ان الشيء تم إدخاله بالفعل او تم استقباله من قبل السيرفر بعدما تم ارسالة فتاتي بنتيجة من الاثنين اما True او False اذا تم استخدامها في حالة الـ Condition وتلك تعني تستخدم من قبلها كالاتي `اذا كان الناتج عبارة عن True ابدأ ببساطة في ادخالي الي قواعد الشرط و اذا كانت False ابدأ في ادخالي الي الي خانه الElse وهذا في حالة الريكويستات التي من نوع GET فقط و التي تكون علي هيئة براميترات في الـURL نفسة` لنرجع الي حالتنا الان وهي اذا كان ذالك الشرط الذي شرحناه ينطبق علي البراميتر الذي اسمه "p1" ابدأ في ادخالي الي الـFunctions الرئيسية الخاصه بالشرط المطلوب كما وضحنا لكم .
حسنا لنأخذ استراحه قليلة ثم نستكمل الباقي في المقال القادم ليكون الجزء الثاني باذن الله
لا تنسونا من صالح دعواتكم بالخير مع تحياتي
كان معكم في هذا المقال اخوكم طه صاحب قناة Technology Makers
قناتي على منصة تلغرام :
قناتي على اليوتيوب :
Technology Makers
مرحبا بكم في قناة صناع التكنلوجيا , تختص هذه القناه في نشر مقاطع تعليميه متخصصه في مجال السايبر سيكيوريتي و البرمجه بشكل خاص و المجالات التقنيه بشكل عام و التوعيه الامنيه بخصوص كل ما هو جديد و حصري ,من قبل صناع محتوي متخصصين في هذه المجالات علي اعلي مستوي من الخبره و بطريقه شرح ممتازه مبسطه...
www.youtube.com
| الجزء الثاني ... |
التعديل الأخير بواسطة المشرف:
