CVE-2020-8958:
Arbitrary OS Command Injection on V-SOL Home Routers
https://www.karansaini.com/os-command-injection-v-sol/
PoC:
https://github.com/qurbat/gpon
Arbitrary OS Command Injection on V-SOL Home Routers
https://www.karansaini.com/os-command-injection-v-sol/
PoC:
https://github.com/qurbat/gpon
Karan Saini
Command injection vulnerability in V-SOL home networking devices
This article details an arbitrary OS command injection vulnerability present in the management portal for several models of GPON home routers manufactured by Guangzhou V-SOLUTION.
Nombre: Ingeniería Social para Pentester
🖇️ Peso: 1.22 GB
🖇️ Idioma: Español
🖇️ Formato: MP4 viene en rar
🖇️ Duración: 3 Horas
🖇️ Descripción: ¿Qué es exactamente? En su sentido más amplio, la Ingeniería Social se basa en la manipulación psicológica, es decir, intenta lograr que las demás personas hagan las cosas que uno quiere que hagan. Se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de viol4r los procedimientos de seguridad.
Poco a poco aprendan si van a lo presurado no entenderan ,suerte quaker.
https://mega.nz/folder/TtwGCArS?fbclid=IwAR1MxYszQmP32W-esQ3ZDn7w8bYohAg7jXSXXU8_YkqWpUQ5PjVZpDFWiGc#HWNLK3I6DtTKl4LAgQYZ9Q
🖇️ Peso: 1.22 GB
🖇️ Idioma: Español
🖇️ Formato: MP4 viene en rar
🖇️ Duración: 3 Horas
🖇️ Descripción: ¿Qué es exactamente? En su sentido más amplio, la Ingeniería Social se basa en la manipulación psicológica, es decir, intenta lograr que las demás personas hagan las cosas que uno quiere que hagan. Se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de viol4r los procedimientos de seguridad.
Poco a poco aprendan si van a lo presurado no entenderan ,suerte quaker.
https://mega.nz/folder/TtwGCArS?fbclid=IwAR1MxYszQmP32W-esQ3ZDn7w8bYohAg7jXSXXU8_YkqWpUQ5PjVZpDFWiGc#HWNLK3I6DtTKl4LAgQYZ9Q
mega.nz
File folder on MEGA
Password Cracking 101: John The Ripper Password Cracking SSH Keys
http://feedproxy.google.com/~r/snifer/~3/zvjL6VdbCoE/password-cracking-101-john-ripper.html
http://feedproxy.google.com/~r/snifer/~3/zvjL6VdbCoE/password-cracking-101-john-ripper.html
Sniferl4Bs
Password Cracking 101: John The Ripper Password Cracking SSH Keys
Esta entrada veremos como realizar un ataque de password Cracking sobre un fichero SSH el cual puede ser obtenido durante un prueba o un des...
Sophos XG Firewall - A Tale of the Unfortunate Re-engineering of an N-Day and the Lucky Find of a 0-Day
https://codewhitesec.blogspot.com/2020/07/sophos-xg-tale-of-unfortunate-re.html?m=1
CVE-2020-15504: Sophos XG RCE (PoC)
https://www.anquanke.com/post/id/210817
https://codewhitesec.blogspot.com/2020/07/sophos-xg-tale-of-unfortunate-re.html?m=1
CVE-2020-15504: Sophos XG RCE (PoC)
https://www.anquanke.com/post/id/210817
Blogspot
CODE WHITE | Blog: Sophos XG - A Tale of the Unfortunate Re-engineering of an N-Day and the Lucky Find of a 0-Day
On April 25, 2020, Sophos published a knowledge base article (KBA) 135412 which warned about a pre-authenticated SQL injection (SQLi) vulne...
Red Team Tactics:
1. Bypassing AppLocker Custom Rules
https://blog.pwn.al/security/applocker/bypass/custom/rules/windows/2018/09/13/applocker-custom-rules-bypass.html
2. Collection of Pentesting Scripts
https://github.com/wintrmvte/Citadel
1. Bypassing AppLocker Custom Rules
https://blog.pwn.al/security/applocker/bypass/custom/rules/windows/2018/09/13/applocker-custom-rules-bypass.html
2. Collection of Pentesting Scripts
https://github.com/wintrmvte/Citadel
0x09AL Security blog
Bypassing AppLocker Custom Rules
Introduction Applocker is becoming one of the most implemented security features in big organizations. Implementing AppLocker reduces your risk dramatically especially for workstations. Unfortunately for the blue-team, there are a lot of custom configurations…
CVE-2020-14645:
Oracle WebLogic Server / Fusion Middleware (component: Core) versions 10.3.6, 12.1.3, 12.2.1.3, 12.2.1.4, 14.1.1 - Unauthenticated network access via IIOP, T3 to compromise Oracle WebLogic Server
PoC
(Weblogic UniversalExtractor JNDI injection getDatabaseMetaData() ):
https://github.com/Y4er/CVE-2020-14645
Oracle WebLogic Server / Fusion Middleware (component: Core) versions 10.3.6, 12.1.3, 12.2.1.3, 12.2.1.4, 14.1.1 - Unauthenticated network access via IIOP, T3 to compromise Oracle WebLogic Server
PoC
(Weblogic UniversalExtractor JNDI injection getDatabaseMetaData() ):
https://github.com/Y4er/CVE-2020-14645
GitHub
GitHub - Y4er/CVE-2020-14645: Weblogic CVE-2020-14645 UniversalExtractor JNDI injection getDatabaseMetaData()
Weblogic CVE-2020-14645 UniversalExtractor JNDI injection getDatabaseMetaData() - Y4er/CVE-2020-14645
Módulo de Eternalblue-Doublepulsar en Metasploit Dockerizado
http://feedproxy.google.com/~r/ElLadoDelMal/~3/UVR8Mb1KkeU/modulo-de-eternalblue-doublepulsar-en.html
http://feedproxy.google.com/~r/ElLadoDelMal/~3/UVR8Mb1KkeU/modulo-de-eternalblue-doublepulsar-en.html
Elladodelmal
Módulo de Eternalblue-Doublepulsar en Metasploit Dockerizado
Blog personal de Chema Alonso, CDCO Telefónica, 0xWord, MyPublicInbox, sobre seguridad, hacking, hackers y Cálico Electrónico.
Active Directory Security:
Active Directory & Enterprise Security, Methods to Secure Active Directory, Attack Methods/Effective Defenses, PowerShell, Tech Notes
https://adsecurity.org/?page_id=4031
Active Directory & Enterprise Security, Methods to Secure Active Directory, Attack Methods/Effective Defenses, PowerShell, Tech Notes
https://adsecurity.org/?page_id=4031
Active Directory & Azure AD/Entra ID Security
Attack Defense & Detection
This page is meant to be a resource for Detecting & Defending against attacks. I provide references for the attacks and a number of defense & detection techniques. Active Directory & Windows Security ATTACK AD Recon Active Directory Recon Without Admin Rights…
Principales vulnerabilidades en un Directorio Activo
https://www.hackplayers.com/2020/07/principales-vulnerabilidades-en-un-DA.html
https://www.hackplayers.com/2020/07/principales-vulnerabilidades-en-un-DA.html
Hackplayers
Principales vulnerabilidades en un Directorio Activo
Todos estamos de acuerdo que asegurar un entorno de Active Directory no es una tarea fácil, siempre hay nuevos requisitos, características...
📃"No confundas un hacker con un ciberdelincuente. No son lo mismo" http://www.vozpopuli.com/tecnologia/Hacker-ciberdelincuente-diferencias_0_1025897578.html
Vozpópuli
No confundas un hacker con un ciberdelincuente. No son lo mismo
Se tiende a confundir a hackers con ciberdelincuentes. Se usan ambos términos para definir a quienes actúan de forma delictiva en Internet. Pero hay un abismo entre ambos conceptos.
Research:
"Abusing Java Remote Protocols in IBM WebSphere" (CVE-2020-4449/4450)
https://www.zerodayinitiative.com/blog/2020/7/20/abusing-java-remote-protocols-in-ibm-websphere
"Abusing Java Remote Protocols in IBM WebSphere" (CVE-2020-4449/4450)
https://www.zerodayinitiative.com/blog/2020/7/20/abusing-java-remote-protocols-in-ibm-websphere
Zero Day Initiative
Zero Day Initiative — Abusing Java Remote Protocols in IBM WebSphere
Back in April of this year, a researcher named tint0 submitted two bugs in IBM WebSphere to the ZDI program. One was an information disclosure vulnerability while the other could lead to remote code execution (RCE). This blog covers ZDI-20-689 /CVE-2020…
Shadow Attacks:
Hiding and Replacing Content in Signed PDFs (CVE-2020-9592/9596)
https://pdf-insecurity.org
Report and Exploits:
https://pdf-insecurity.org/signature-shadow/downloads.html
Attacks on PDF Signatures:
https://pdf-insecurity.org/signature/signature.html
Hiding and Replacing Content in Signed PDFs (CVE-2020-9592/9596)
https://pdf-insecurity.org
Report and Exploits:
https://pdf-insecurity.org/signature-shadow/downloads.html
Attacks on PDF Signatures:
https://pdf-insecurity.org/signature/signature.html
📃 "WAF: cortafuegos que evitan incendios en tu web" 7/6/18 https://www.incibe.es/protege-tu-empresa/blog/waf-cortafuegos-evitan-incendios-tu-web
Los riesgos más críticos según owasp
1️⃣ Inyección
2️⃣ Pérdida de autenticación
3️⃣ Exposición de datos sensibles
4️⃣ XEE o Entidades externas de XML
5️⃣ Pérdida del control de accesos
6️⃣ Configuración de seguridad incorrecta
7️⃣ XSS o secuencia de comandos en sitios cruzados
8️⃣ Deserialización insegura
9️⃣ Componentes con vulnerabilidades conocidas
🔟 Registro y monitoreo insuficientes
Los riesgos más críticos según owasp
1️⃣ Inyección
2️⃣ Pérdida de autenticación
3️⃣ Exposición de datos sensibles
4️⃣ XEE o Entidades externas de XML
5️⃣ Pérdida del control de accesos
6️⃣ Configuración de seguridad incorrecta
7️⃣ XSS o secuencia de comandos en sitios cruzados
8️⃣ Deserialización insegura
9️⃣ Componentes con vulnerabilidades conocidas
🔟 Registro y monitoreo insuficientes
📃 "La mitad de las aplicaciones de banca móvil son vulnerables" Positive Technologies https://blog.segu-info.com.ar/2020/06/la-mitad-de-las-aplicaciones-de-banca.html