# Инструменты для CTF > PTZCTF [ВКонтакте](https://vk.com/ptzctf) ## Метаданные - [CTF Katana](https://github.com/JohnHammond/ctf-katana) – куча-куча тулзов - [github.com/danielmiessler/SecLists](https://github.com/danielmiessler/SecLists) - базы популярных паролей и логинов (псс, пароли [тут](https://github.com/danielmiessler/SecLists/tree/master/Passwords/Common-Credentials)) - [OESIS.org](https://oeis.org) – энциклопедия целочисленных последовательностей - [Magma Calculator](http://magma.maths.usyd.edu.au/calc/) – мощный калькулятор. Для операций с большими числами (и еще полезная функция invert), использовать с RSA - [gmpy2](https://pypi.org/project/gmpy2/) - [aircrack-ng](https://www.aircrack-ng.org/) – перехват, анализ, брутфорс беспроводного трафика ## Криптография - [Morbid (pdf)](https://www.cryptogram.org/downloads/aca.info/ciphers/Morbit.pdf) - [Hello world program in esoteric languages](https://esolangs.org/wiki/Hello_world_program_in_esoteric_languages) - [Атаки на RSA (pdf)](https://math.boisestate.edu/~liljanab/ISAS/course_materials/AttacksRSA.pdf) - [Frequency analysis](https://quipqiup.com/) - [Cipher Identifier and Analyzer](https://www.boxentriq.com/code-breaking/cipher-identifier) - [OTP (OneTimePad)](https://github.com/SpiderLabs/cribdrag) - [CryptoTool](https://cryptool.org/en/ct1-downloads) - [Xortool](https://github.com/hellman/xortool) - [Online xortool](https://wiremask.eu/tools/xor-cracker) - [Сайт с кучей шифров](https://dcode.fr/affine-cipher) - [Decoder](https://www.artlebedev.ru/decoder/) - [Сryptii](https://cryptii.com/) – куча криптохрени для ленивых - [QuickBMS](https://aluigi.altervista.org/quickbms.htm) – расшифровка кучи шифров и форматов файлов. В основном игры. ## Стеганография - [zwsp-steg-js](https://offdev.net/demos/zwsp-steg-js) – можно прятать/доставать текст в тексте в юникоде - [Unisteg](http://mockingeye.com/unistegpy-hiding-text-in-text-using-unicode/) – Hiding Text in Text Using Unicode - [Online GCode Viewer to simulate GCode files](https://ncviewer.com/) - [Ремонт поврежденного изображения JPEG/JPG, GIF, TIFF, BMP, PNG или RAW](https://online.officerecovery.com/ru/restore-corrupted-photo-file-online/) - [QR Code Recovery](https://www.robertxiao.ca/hacking/ctf-writeup/mma2015-qrcode/) - [Zsteg](https://github.com/zed-0xff/zsteg) - [Stegsolve](https://kmb.cybber.ru/stego/stegsolve/main.html) ([Stegsolve on MacOS](https://github.com/tex2e/stegsolve-macos)) - [Spek.cc](https://spek.cc) – Music spectrogram - [DeepSound](https://deepsound.ru.uptodown.com) – извлекает скрытые файлы в музыке - [Audacity](https://audacityteam.org) – обработка аудиофайлов - [010 editor](https://sweetscape.com/010editor) - [HexEditor](https://hex-editor.ru) - [Examples and online tools](https://codeby.net/threads/osnovy-steganografii-v-capture-the-flag.63200) - [Metadata viewer](https://extractmetadata.com) - [Аналог exiftool](http://exif.regex.info/exif.cgi) - [Определение геоданных картинки](https://www.geoimgr.com/) - [Foremost](https://github.com/jonstewart/foremost) – чинит файлы, извлекает скрытыe ## Реверс-инжиниринг ### Информация - [Реверс инжиниринг, intro, Hackerdom](https://ulearn.me/Course/Hackerdom/Vviedieniie_v_Reverse_Engineering_88892f91-997b-4739-a305-ada5ffff7439) - [Реверс инжиниринг, intro, SpbCTF](https://vk.com/wall-114366489_1157) - [Продвинутый реверс инжиниринг, SpbCTF](https://www.youtube.com/playlist?list=PLa75SJqhUGX_BpxSQKv5WNYET_IHcpJq-) ### Ресурсы - [Справочник команд ассемблера](https://isc.tsu.ru/lectures/asm/instructions.html) ### Инструменты - Ida Pro + Hex-Rays - [Cutter](https://github.com/radareorg/cutter) – для реверса, но ОПЕНСУРС!!! powerd by radare2 (+ норм интерфейс в kde) - [Hopper Disassembler](https://hopperapp.com) - дизассемблер под linux, умеет генерировать псевдокод и кушать Mach-O файлы (бинарники MacOS) - [Godot unpacker](https://github.com/tehskai/godot-unpacker) – разбирает .pck файлы игр на Godot - [VTFEdit](https://developer.valvesoftware.com/wiki/VTFEdit) – просмотрщик/редактор файлов ресурсов игр на движке Source (.vtf и .vmt) - [Kali linux](https://www.kali.org/downloads) - [Godbolt](https://godbolt.org/) – веб компилятор+дизассемблер - ptrace, strace, ltrace - [Ghidra](https://www.ghidra-sre.org/) - нельзя скачать из России ## Сеть и веб ### Информация - [SQL Injection FAQ](https://rdot.org/forum/showthread.php?t=124) - [Что на самом деле происходит, когда пользователь вбивает в браузер адрес google.com](https://habrahabr.ru/company/htmlacademy/blog/254825/) - [Простым языком об HTTP](https://habrahabr.ru/post/215117/) - [Telnet](https://ru.wikipedia.org/wiki/Telnet) - [Netcat](https://ru.wikipedia.org/wiki/Netcat) ### Утилиты - [Tor Browser](https://www.torproject.org/download/) - [Wireshark](https://www.wireshark.org/download.html) – анализ сетевого трафика - [PyJWT](https://pypi.org/project/PyJWT/) – либа для работы с Json Web Token. Эксплойты старых версий: 1) Изменить алгоритм с RS на HS и подписать токен публичным ключом. 2) Изменить алгоритм на none (просто текстом) и менять любое поле - [PuTTY](http://www.putty.org/) - telnet, SSH, etc. - [Online hex packet decoder](https://hpd.gasmi.net/) - [Burp](https://portswigger.net/burp) – прокси для веб магии - [RequestBin](https://github.com/Runscope/requestbin) – сервис для приема и просмотра http запросов. Нужно хостить самостоятельно. Специально для вас: requestbin.bitnotes.xyz. Если будет абьюз – придется свернуть. На ctf'ы буду поднимать. - [Path traversal, local file inclusion](https://github.com/D35m0nd142/LFISuite) - [XSS Hunter](https://xsshunter.com/) - [Hydra](https://sectools.org/tool/hydra/) – взлом паролей - [PayloadsAllTheThings (XSS)](https://github.com/swisskyrepo/PayloadsAllTheThings) #### Расширения для браузеров ##### Chromium Based Browsers - [Postman](https://chrome.google.com/webstore/detail/postman/fhbjgbiflinjbdggehcddcbncdddomop) - [Restlet](https://chrome.google.com/webstore/detail/restlet-client-rest-api-t/aejoelaoggembcahagimdiliamlcdmfm) - [Advanced Rest Client](https://chrome.google.com/webstore/detail/advanced-rest-client/hgmloofddffdnphfgcellkdfbfbjeloo) ##### Mozilla Based Browsers - [Httprequester](https://addons.mozilla.org/ru/firefox/addon/httprequester/) - [Restclient](https://addons.mozilla.org/ru/firefox/addon/restclient/) - [Rest-easy](https://addons.mozilla.org/ru/firefox/addon/rest-easy/) ## Администрирование - [Jump Start в PowerShell (часть I)](https://habrahabr.ru/post/242425/) - [Jump Start в PowerShell (часть II)](https://habrahabr.ru/post/242445/) - [010 editor](https://sweetscape.com/010editor) – хороший hex редактор с парсером форматов - [binwalk](https://github.com/ReFirmLabs/binwalk) – разбор файла на куски - [CyberChef](https://gchq.github.io/CyberChef/) – огромный набор различных тузов. The Cyber Swiss Army Knife – a web app for encryption, encoding, compression and data analysis. Разработан GCHQ – британским NSA. ## Recon/OSINT - Видите номер телефона – чекните регистрации в телеге и других соц. сетях. - Видите ip – чекните скачиваемые торренты: iknowwhatyoudownload.com - TinEye, Google Images – reverse image search - [Free BArcode Scanner](https://manateeworks.com/free-barcode-scanner) - [sherlock-project/sherlock](https://github.com/sherlock-project/sherlock) – Поиск пользователей по соцсетям - ## Прочее - [Regex101](https://regex101.com) – конструктор/дебаггер регулярок (с документацией) - [TL – лаунчер для Minecraft](http://vk.com/tl_mc_launcher) – Minecraft ПИРАТКА ([молодой человек говорит, где подделка тлаунчера, а где нет](https://youtu.be/yAEvLwWH85M)) - [Google](https://google.com/search) - [Прямые Руки](https://habr.com/ru/post/339528/) ## Соревнования ### CTFы - [ctftime.org](https://ctftime.org) – календарь предстоящих соревнований ### Wargames / постоянные ctf'ы - [https://overthewire.org/wargames](https://overthewire.org/wargames) - [training.hackerdom.ru](https://training.hackerdom.ru) - [picoctf.com](https://picoctf.com) - [Google CTF](https://capturetheflag.withgoogle.com) - [contest.ptzctf.ru](https://contest.ptzctf.ru) ;-) ## Общие курсы - [Основы компьютерной безопасности, Хакердом](https://ulearn.me/Course/Hackerdom) - [Видео по CTF и IT Sec, LifeOverflow](https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w/featured) - [Видео по CTF и IT Sec, Gynvael из Google и CTF команды DragonSector](https://www.youtube.com/user/GynvaelEN) ## PWN - [Потенциально уязвимые бинари](https://gtfobins.github.io/)