Forwarded from PRO:PENTEST
Всем привет! Получил новую утилитку от своего товарища, спешу поделиться.
Инструмент для развёртывания forward-прокси в инфраструктуре Yandex Cloud для смены IP-адреса (почти) при каждом запросе.
Документация на русском
Блог-пост на русском
Инструмент для развёртывания forward-прокси в инфраструктуре Yandex Cloud для смены IP-адреса (почти) при каждом запросе.
Документация на русском
Блог-пост на русском
GitHub
ycprox/docs/README_RU.md at main · chlzen/ycprox
A tool for deploying a forward proxy in your Yandex Cloud infrastructure to change your IP address (almost) each request. - chlzen/ycprox
Forwarded from Caster
Новый релиз статьи о принципах работы MITM-атак в Ethernet, IPv4 & IPv6
Caster - Intercept
Genre: Offensive
Sources: caster0x00.com
Release Date: 09 January 2026
Language: English
Difficulty: Medium
Length: 4094 Words
Reading Time: 15 Minutes
Performing: Caster (Alter Ego)
Writing: Mahama Bazarov
Artwork: AI (Reworked by Mahama Bazarov)
Link: https://caster0x00.com/intercept
Caster - Intercept
Genre: Offensive
Sources: caster0x00.com
Release Date: 09 January 2026
Language: English
Difficulty: Medium
Length: 4094 Words
Reading Time: 15 Minutes
Performing: Caster (Alter Ego)
Writing: Mahama Bazarov
Artwork: AI (Reworked by Mahama Bazarov)
Link: https://caster0x00.com/intercept
www.opennet.ru
Новые версии Debian 13.3 и 12.13
Сформировано третье корректирующее обновление дистрибутива Debian 13, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 108 обновлений с устранением проблем со стабильностью и 37 обновлений с устранением…
🔗Ссылка:
https://opennet.ru/64585/
https://opennet.ru/64585/
Хабр
В ПО Samsung Magician для мониторинга SSD устранена уязвимость CVE-2025-57836, позволяющая повысить привилегии в Windows
Разработчики фирменной утилиты Samsung Magician сообщили об устранении уязвимости CVE-2025-57836 , позволяющей выполнять процесс повышения привилегий обычному пользователю в ОС в Windows 11 с помощью...
🔗Ссылка:
https://habr.com/ru/news/983440/
https://habr.com/ru/news/983440/
Forwarded from Whitehat Lab
Обновление невидимого сетевого сниффера, предназначенного для поиска уязвимостей в сетевом оборудовании. Основан на анализе сетевого трафика, поэтому не создает никакого шума в эфире. Построен на библиотеке Scapy.
Данный инструмент будет полезен не только пентестерам, но и инженерам по сетевой безопасности.
Поддерживаемые сетевые протоколы:
MACSec (802.1X AE)
EAPOL (Checking 802.1X versions)
ARP (Host Discovery)
CDP (Cisco Discovery Protocol)
DTP (Dynamic Trunking Protocol)
LLDP (Link Layer Discovery Protocol)
VLAN (802.1Q)
S7COMM (Siemens) (SCADA)
OMRON (SCADA)
TACACS+ (Terminal Access Controller Access Control System Plus)
ModbusTCP (SCADA)
STP (Spanning Tree Protocol)
OSPF (Open Shortest Path First)
EIGRP (Enhanced Interior Gateway Routing Protocol)
BGP (Border Gateway Protocol)
VRRP (Virtual Router Redundancy Protocol)
HSRP (Host Standby Redundancy Protocol)
GLBP (Gateway Load Balancing Protocol)
IGMP (Internet Group Management Protocol)
LLMNR (Link Local Multicast Name Resolution)
NBT-NS (NetBIOS Name Service)
MDNS (Multicast DNS)
DHCP (Dynamic Host Configuration Protocol)
DHCPv6 (Dynamic Host Configuration Protocol v6)
ICMPv6 (Internet Control Message Protocol v6)
SSDP (Simple Service Discovery Protocol)
MNDP (MikroTik Neighbor Discovery Protocol)
SNMP (Simple Network Management Protocol)
В
sudo apt update && sudo apt install above
Работает в двух режимах:
Hot mode - работа непосредственно с сетевым интерфейсом и возможностью включить захват пакетов по таймеру
Cold mode - анализ дампов сетевого трафика
sudo above --interface eth0 --timer 120 --output above.pcap
above --input ospf-md5.cap
#above #sniffer #soft #python #network
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
Мой список инструментов, которыми пользуюсь на постоянной основе. Кто какие использует ?
#pivot #soft #network
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Стабильный релиз Wine 11.0
После года разработки и 25 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API - Wine 11.0, который вобрал в себя более 6300 изменений и 600 исправлений ошибок. Из ключевых достижений в Wine 11.0 выделяется полная поддержка…
🔗Ссылка:
https://opennet.ru/64604/
https://opennet.ru/64604/
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Forwarded from purple shift
Предполагается, что Windows Defender, или Защитник Windows, должен защищать пользователей OC Windows от вредоносных программ. Неудивительно, что злоумышленники ищут способы вырубить этот встроенный антивирус.
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
2) В каталоге
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
В 2025 году появилось несколько новых атак, позволяющих это сделать. Летом мы рассказывали о техниках с использованием уязвимого драйвера (BYOVD). А осенью исследователи из Zero Salarium обнародовали метод отключения Windows Defender без всякого дополнительного ПО — через символическую ссылку (symlink).
Как устроена атака:
Windows Defender хранит свою исполняемую часть в такой папке:
%PROGRAMDATA%\Microsoft\Windows Defender\Platform\[номер_версии]
Каждый раз, когда Defender обновляется, создаётся новая подпапка с номером версии, и служба Defender запускается именно из неё.
Прав Администратора недостаточно для создания и изменения файлов в директориях Defender, в том числе и в директории Platform. Однако администратор может в ней создать другую папку. А также создать символическую ссылку на подконтрольную директорию.
Это приведёт к тому, что после успешной подмены пути Defender начинает использовать файлы из папки под контролем атакующего, что позволяет:
— внедрять свои библиотеки (DLL sideloading);
— исполнять произвольный код в контексте службы Defender;
— изменять или удалять исполняемые файлы Defender;
— просто ломать работу Defender (удаление символической ссылки делает невозможным запуск службы MS Defender).
Проще говоря, злоумышленник может полностью нейтрализовать или контролировать Defender без использования каких-либо сторонних инструментов. Для этого ему нужно:
1) Скопировать последнюю версию Defender из
Platform в другую папку — допустим, в C:\temp\999 2) В каталоге
Platform создать символическую ссылку с именем, соответствующим более поздней версии (например, для текущей версии 4.18.25020.1009-0 дать название 5.18.25020.1009-0). Для этого выполнить команду: mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25020.1009-0" "C:\temp\999"
3) Перезагрузить Windows.
После перезагрузки будет использоваться якобы новая версия Defender, обновятся абсолютные пути в реестре, которые через символическую ссылку будут указывать на директорию
C:\temp\999. Удаление этой ссылки приведет к тому, что Defender перестанет запускаться. Как защищаться:
Поскольку создание символических ссылок не логируется системой, нужно выявлять их создание, отлавливая командные строки с аргументами
mklink, New-SymLink, symboliclink и директорией \Windows Defender\Platform\