Злые устройства. Быстрый способ поиска и эксплуатации IoT уязвимостей
Давай вспомним, когда последний раз ты читал новости? Я думаю, что не так давно. А теперь подумай, когда весь мир мог прожить без единого масштабного взлома. Нас постоянно окружают гаджеты и умные девайсы и производители этих устройств не так часто заботятся о их безопасности. Кто-то забывает выпустить свежие патчи или просто перестает поддержку старых моделей. Из-за этого они ставят под угрозу большинство владельцев, потому что современные умные вещи не очень хорошо ладят с безопасностью. Поэтому я предлагаю прогуляться по миру IoT и показать как при помощи простого браузера найти всю необходимую информацию начиная от уязвимости и заканчивая ее эксплоитом.
📌 Читать статью
#pentest #iot #cve
Давай вспомним, когда последний раз ты читал новости? Я думаю, что не так давно. А теперь подумай, когда весь мир мог прожить без единого масштабного взлома. Нас постоянно окружают гаджеты и умные девайсы и производители этих устройств не так часто заботятся о их безопасности. Кто-то забывает выпустить свежие патчи или просто перестает поддержку старых моделей. Из-за этого они ставят под угрозу большинство владельцев, потому что современные умные вещи не очень хорошо ладят с безопасностью. Поэтому я предлагаю прогуляться по миру IoT и показать как при помощи простого браузера найти всю необходимую информацию начиная от уязвимости и заканчивая ее эксплоитом.
📌 Читать статью
#pentest #iot #cve
Я ведь не из робких, всё мне по плечу. Реверс инжиниринг используя radare2. Часть 1
Ку, киберрекруты. Начинаю курс реверса с использованием radare2. В этой серии постов, которую я начинаю с этого, будут рассмотрены основы реверс-инжиниринга с помощью "популярного" фреймворка radare2. Я хочу провести вас через разнообразный набор примеров двоичных файлов, написанных на C, которые будут охватывать наиболее распространенные алгоритмы и структуры данных, которые вы можете найти в программах, так что в конце вы сможете определить их и работать с ними. Это не будет продвинутый/профи курс, но он начнется с самых низов и будет охватывать гораздо больше, чем средний бесплатный курс/учебник.
📌 Читать статью
#reverse #pwn #asm
Ку, киберрекруты. Начинаю курс реверса с использованием radare2. В этой серии постов, которую я начинаю с этого, будут рассмотрены основы реверс-инжиниринга с помощью "популярного" фреймворка radare2. Я хочу провести вас через разнообразный набор примеров двоичных файлов, написанных на C, которые будут охватывать наиболее распространенные алгоритмы и структуры данных, которые вы можете найти в программах, так что в конце вы сможете определить их и работать с ними. Это не будет продвинутый/профи курс, но он начнется с самых низов и будет охватывать гораздо больше, чем средний бесплатный курс/учебник.
📌 Читать статью
#reverse #pwn #asm
Генератор паролей из мнемонических фраз. Делаем скрипт на Python
Генераторы паролей уже давно не являются чем-то редким и эксклюзивным. Тем более, что вы всегда можете воспользоваться своим природным «генератором», то есть мозгом для того, чтобы придумать пароль. Более того, доступно множество как оффлайн, так и онлайн решений для выполнения данной задачи. Но, мне всегда хотелось сделать что-то подобное самостоятельно, чтобы немного понять принцип работы данного продукта. Поэтому я сделал небольшой скрипт на Python, которым хочу с вами поделиться. Может быть он будет кому-то полезен.
📌 Читать статью
#programming #python #password
Генераторы паролей уже давно не являются чем-то редким и эксклюзивным. Тем более, что вы всегда можете воспользоваться своим природным «генератором», то есть мозгом для того, чтобы придумать пароль. Более того, доступно множество как оффлайн, так и онлайн решений для выполнения данной задачи. Но, мне всегда хотелось сделать что-то подобное самостоятельно, чтобы немного понять принцип работы данного продукта. Поэтому я сделал небольшой скрипт на Python, которым хочу с вами поделиться. Может быть он будет кому-то полезен.
📌 Читать статью
#programming #python #password
Приманка хакера. Как создать Honeypot используя Python
Любопытство и жажда получить конфиденциальную информацию становятся фундаментом в большинстве киберпреступлений. Человек очень часто размывает границы дозволенного и уже через некоторое время ему приходится отвечать перед законом. Но бывают ситуации, когда такого не происходит. Тогда приходится копать гораздо глубже, чем просто анализ систем на вирусы. Чтобы не ломать голову в таких ситуациях рекомендуется использовать приманки или скрипты-шпионы, которые активируются при вторжении в систему. В этой статье я расскажу как создать такую программу при помощи Python.
📌 Читать статью
#python #pentest #information
Любопытство и жажда получить конфиденциальную информацию становятся фундаментом в большинстве киберпреступлений. Человек очень часто размывает границы дозволенного и уже через некоторое время ему приходится отвечать перед законом. Но бывают ситуации, когда такого не происходит. Тогда приходится копать гораздо глубже, чем просто анализ систем на вирусы. Чтобы не ломать голову в таких ситуациях рекомендуется использовать приманки или скрипты-шпионы, которые активируются при вторжении в систему. В этой статье я расскажу как создать такую программу при помощи Python.
📌 Читать статью
#python #pentest #information
Смотрим немного базовых уязвимостей в K8S
Всем привет, сегодня хотел бы разобрать самые базовые дыры в Kubernetes (или сокращенно K8S). Но давайте сначала разберемся с базовыми понятиями в K8S.
📌 Читать статью
#pentest #vulnerability #devops
Всем привет, сегодня хотел бы разобрать самые базовые дыры в Kubernetes (или сокращенно K8S). Но давайте сначала разберемся с базовыми понятиями в K8S.
📌 Читать статью
#pentest #vulnerability #devops
Какими инструментами для анализа или мониторинга сетевого трафика вы пользуетесь?
Anonymous Poll
79%
🦈 Wireshark
8%
👁🗨 Intercepter-NG
1%
⚙️ Nagios Core
27%
🔍 tcpdump
13%
🔴 Zabbix
11%
❌ Не пользуюсь
4%
✍️ Другие (напишу в комментариях)
Клиент всегда прав
Здравствуйте, друзья! Я рад представить вам авторский врайтап, который поможет раскрыть тайны таска "Клиент всегда прав / Веб" с платформы Игры Кодебай. Мы рассмотрим уязвимость XSS и научимся использовать её, чтобы получить Cookies администратора. Давайте начнем!
📌 Читать статью
#ctf #writeup #xss
Здравствуйте, друзья! Я рад представить вам авторский врайтап, который поможет раскрыть тайны таска "Клиент всегда прав / Веб" с платформы Игры Кодебай. Мы рассмотрим уязвимость XSS и научимся использовать её, чтобы получить Cookies администратора. Давайте начнем!
📌 Читать статью
#ctf #writeup #xss
📥 [Вы получили инвайт на закрытую тусовку багхантеров] — такую смску вы можете получить от платформы Standoff 365 Bug Bounty, если являетесь ее активным участником (и находите много уязвимостей) .
На прошлой неделе платформа запустила новую движуху — первые priv8 багбаунти-ивенты в России Standoff Hacks. Группа исследователей в закрытом режиме и в экстремально сжатые сроки ломает ранее не исследованный скоуп или уже известный, но с повышенными выплатами.
И уже есть первые результаты: за 5 дней было получено 130 отчетов на 2 программы от 37 багхантеров. Для сравнения: всего с момента запуска платформы (за год) было получено 1650 отчетов.
В таком формате поиска уязвимостей профит есть для всех: багхантеры быстро получают свое вознаграждение, а компании результат, который поможет им укрепить безопасность своих продуктов.
13 мая на ивенте в Москве будут объявлены результаты двухнедельного набега на инфраструктуру компаний, а исследователи разом получат все вознаграждения за найденные уязвимости и классно проведут время (all inclusive) 🤑
Следующий Standoff Hacks пройдет в августе, но уже не в Москве. Прокачивайте свой рейтинг на платформе, чтобы повысить шанс получить инвайт!
На прошлой неделе платформа запустила новую движуху — первые priv8 багбаунти-ивенты в России Standoff Hacks. Группа исследователей в закрытом режиме и в экстремально сжатые сроки ломает ранее не исследованный скоуп или уже известный, но с повышенными выплатами.
И уже есть первые результаты: за 5 дней было получено 130 отчетов на 2 программы от 37 багхантеров. Для сравнения: всего с момента запуска платформы (за год) было получено 1650 отчетов.
В таком формате поиска уязвимостей профит есть для всех: багхантеры быстро получают свое вознаграждение, а компании результат, который поможет им укрепить безопасность своих продуктов.
13 мая на ивенте в Москве будут объявлены результаты двухнедельного набега на инфраструктуру компаний, а исследователи разом получат все вознаграждения за найденные уязвимости и классно проведут время (all inclusive) 🤑
Следующий Standoff Hacks пройдет в августе, но уже не в Москве. Прокачивайте свой рейтинг на платформе, чтобы повысить шанс получить инвайт!
Свободное программное обеспечение. Телефон
Всем привет, практически у каждого из нас есть телефон, средство связи номер 1... а также доносчик номер 1. Для чего он нужен? Звонить? Писать СМС? Очень смешно. Он нужен нам для мессенджеров, соц. сетей, браузера, видео, музыки, новостей, калькулятора и прочего. Телефон может быть даже опаснее компьютера (в плане конфиденциальности), т.к скорее всего вы сидите в нём намного чаще, чем за компьютером, а также телефон имеет камеру, микрофон, отпечаток пальца, лица, трекеры отслеживания положения в пространстве. Ух... По хорошему, я бы разбил телефон к чёрту и выкинул в окно, но в современном мире без него просто невозможно. Поэтому в этой статье я расскажу как я минимизировал свои данные, а также расскажу как получить похожий результат на телефоне на котором стоит обычный Android, без прошивки и выпаивания камеры.
📌 Читать статью
#software #smartphone
Всем привет, практически у каждого из нас есть телефон, средство связи номер 1... а также доносчик номер 1. Для чего он нужен? Звонить? Писать СМС? Очень смешно. Он нужен нам для мессенджеров, соц. сетей, браузера, видео, музыки, новостей, калькулятора и прочего. Телефон может быть даже опаснее компьютера (в плане конфиденциальности), т.к скорее всего вы сидите в нём намного чаще, чем за компьютером, а также телефон имеет камеру, микрофон, отпечаток пальца, лица, трекеры отслеживания положения в пространстве. Ух... По хорошему, я бы разбил телефон к чёрту и выкинул в окно, но в современном мире без него просто невозможно. Поэтому в этой статье я расскажу как я минимизировал свои данные, а также расскажу как получить похожий результат на телефоне на котором стоит обычный Android, без прошивки и выпаивания камеры.
📌 Читать статью
#software #smartphone
Codeby
🏆 Результаты CTF-соревнований "Игры Кодебай" (20-22 апреля) 22 апреля закончился захватывающий трехдневный марафон международных CTF-соревнований "Игры Кодебай". Событие собрало более 1500 талантливых участников и 600 команд из разных уголков мира, специализирующихся…
🔥 Друзья, загрузили видеоролик и фотографии с офлайн-мероприятия (22 апреля), посвящённого CTF-соревнованиям «Игры Кодебай»!
🎥 Видеоролик
🖼 Фотографии
🎥 Видеоролик
🖼 Фотографии
VK Видео
🎥 Игры Кодебай: ролик с мероприятия 22 апреля
Окунитесь в атмосферу напряженной борьбы и насладитесь незабываемыми моментами мероприятия, посвящённого CTF-соревнованиям "Игры Кодебай", которое проходило 22 апреля. Вас ждут яркие моменты, интервью со спикерами, и уникальный взгляд на событие изнутри.
🚩 Новые задания на CTF-платформе «Игры Кодебай»!
🔎 Категория OSINT — задание Аэропорт (при поддержке команды OSINT mindset)
⚙️ Категория Реверс-инжиниринг — задание Классика
🏆 Категория Квесты — задание Сделка с дьяволом
🎰 Категория Развлечения — задание Nokia 3310
🌍 Категория Веб — задание Калькулятор
Приятного хакинга!
💬 Чат CTF
🎰 Категория Развлечения — задание Nokia 3310
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
Получение WHOIS-информации о домене по его IP-адресу с помощью Python
При проведении различного рода исследований связанных с доменами, иногда необходимо узнать информацию WHOIS по их IP-адресу. Безусловно, в интернете существует большое множество сервисов, которые предоставляют данную услугу. Но, что, если вам необходимо проверить большое количество адресов? Иногда у сервисов есть специальный API для выполнения такого рода проверок. Вот только доступ к таким API либо, предоставляется с большими ограничениями, либо является и вовсе платным. В данной статье я попробую сравнить эти две библиотеки, а также мы попробуем получить информацию о whois самостоятельно, путем написания собственных функций для этих целей.
📌 Читать статью
#programming #python #information
При проведении различного рода исследований связанных с доменами, иногда необходимо узнать информацию WHOIS по их IP-адресу. Безусловно, в интернете существует большое множество сервисов, которые предоставляют данную услугу. Но, что, если вам необходимо проверить большое количество адресов? Иногда у сервисов есть специальный API для выполнения такого рода проверок. Вот только доступ к таким API либо, предоставляется с большими ограничениями, либо является и вовсе платным. В данной статье я попробую сравнить эти две библиотеки, а также мы попробуем получить информацию о whois самостоятельно, путем написания собственных функций для этих целей.
📌 Читать статью
#programming #python #information
Сильный я и ловкий, ветра проучу. Реверс инжиниринг используя radare2. Часть 2
Ку, киберрекруты. Продолжаю курс реверса и использованием radare2. Сегодня мы рассмотрим некоторые простые структуры данных, такие как переменные, поймем, как работают основные условные структуры кода внутри, а также научимся отлаживать с помощью radare2.
📌 Читать статью
#asm #reverse #pwn
Ку, киберрекруты. Продолжаю курс реверса и использованием radare2. Сегодня мы рассмотрим некоторые простые структуры данных, такие как переменные, поймем, как работают основные условные структуры кода внутри, а также научимся отлаживать с помощью radare2.
📌 Читать статью
#asm #reverse #pwn
Avast Anti-Virus CVE-2023-1585 CVE-2023-1587 Privileged file operation abuse: разбор уязвимости
Автор не большой любитель уязвимостей типа Privileged file operation abuse, т.к. довольно специфичные уязвимости. Не всегда приложенные усилия будут равняться результату к сожалению, но не в этот раз). В этот раз мой взгляд упал на Avast, после беглового изучения глаза зацепились за механизм удаления вредоносных программ. Поресервич подобные уязвимости, были найдены подобные исследования от rack911labs и исследование SafeBreach. Моей целью являлось выполнение кода от SYSTEM в результате абьюза механизма удаления вредоносных файлов. Конечно я понимал всю сложность данного ресерча, но как говорится, глаза краснеют, руки делают. Ниже я вы прочитаете какие шаги я делал, чтобы дойти до рабочего POC. Приятного и познавательного чтения)
📌 Читать статью
#antivirus #vulnerability #poc
Автор не большой любитель уязвимостей типа Privileged file operation abuse, т.к. довольно специфичные уязвимости. Не всегда приложенные усилия будут равняться результату к сожалению, но не в этот раз). В этот раз мой взгляд упал на Avast, после беглового изучения глаза зацепились за механизм удаления вредоносных программ. Поресервич подобные уязвимости, были найдены подобные исследования от rack911labs и исследование SafeBreach. Моей целью являлось выполнение кода от SYSTEM в результате абьюза механизма удаления вредоносных файлов. Конечно я понимал всю сложность данного ресерча, но как говорится, глаза краснеют, руки делают. Ниже я вы прочитаете какие шаги я делал, чтобы дойти до рабочего POC. Приятного и познавательного чтения)
📌 Читать статью
#antivirus #vulnerability #poc
Свободное программное обеспечение. Как распознать проприетарное ПО на смартфоне?
Всем привет, в этой статье мы поговорим о том как понять опасно ли приложение или нет. Когда я говорю "опасно", я имею ввиду закрытые компоненты программы, трекеры внутри приложения и разрешения, которые могут быть разрешены без моего ведома. Как проверить приложение на чистоту? На самом деле это достаточно просто, нужно зайти на GitHub или страничку F-Droid и посмотреть на лицензию (она должна быть GNU или Apache). Однако, это не 100% гарант и чтобы убедиться самому в надёжности приложения мы будем использовать программы, которые обнаружат и расскажут нам про трекеры, а также помогут нам их заблокировать!
📌 Читать статью
#software #smartphone #anonymity
Всем привет, в этой статье мы поговорим о том как понять опасно ли приложение или нет. Когда я говорю "опасно", я имею ввиду закрытые компоненты программы, трекеры внутри приложения и разрешения, которые могут быть разрешены без моего ведома. Как проверить приложение на чистоту? На самом деле это достаточно просто, нужно зайти на GitHub или страничку F-Droid и посмотреть на лицензию (она должна быть GNU или Apache). Однако, это не 100% гарант и чтобы убедиться самому в надёжности приложения мы будем использовать программы, которые обнаружат и расскажут нам про трекеры, а также помогут нам их заблокировать!
📌 Читать статью
#software #smartphone #anonymity
Свободное программное обеспечение. Анонимные почтовые клиенты
Всем привет, в этой статье я расскажу про анонимные сервисы электоронной почты. Как уже известно, монополистами в сфере почтовых клиентов выступают такие гиганты, как Mail, Yandex.Mail, Google Mail и прочие, не особо известные. Скорее всего вы используете один из этих почтовых сервисов, а это очень плохо. Не сам факт наличия почты, а то, что вы доверяете свои данные монополистам, которые выступают в качестве лакомого кусочка для хакеров.
📌 Читать статью
#software #opensource #mail
Всем привет, в этой статье я расскажу про анонимные сервисы электоронной почты. Как уже известно, монополистами в сфере почтовых клиентов выступают такие гиганты, как Mail, Yandex.Mail, Google Mail и прочие, не особо известные. Скорее всего вы используете один из этих почтовых сервисов, а это очень плохо. Не сам факт наличия почты, а то, что вы доверяете свои данные монополистам, которые выступают в качестве лакомого кусочка для хакеров.
📌 Читать статью
#software #opensource #mail
Иконка для скрипта Python в трее, всплывающие сообщения и парсинг курса валют
В данной статье я хотел бы сделать обзор на библиотеку, которая позволяет поместить значок приложения в трей, а также добавить к нему контекстное меню с выполнением различных операций при нажатии на них. А также, немного рассказать о новой библиотеке, которая позволяет выводить всплывающие сообщения в трее, как Windows 10, так и Windows 11. Использовать для этих целей мы будем небольшой скрипт на Python, в котором и будет показана работа библиотек.
📌 Читать статью
#programming #python #windows
В данной статье я хотел бы сделать обзор на библиотеку, которая позволяет поместить значок приложения в трей, а также добавить к нему контекстное меню с выполнением различных операций при нажатии на них. А также, немного рассказать о новой библиотеке, которая позволяет выводить всплывающие сообщения в трее, как Windows 10, так и Windows 11. Использовать для этих целей мы будем небольшой скрипт на Python, в котором и будет показана работа библиотек.
📌 Читать статью
#programming #python #windows
Forwarded from RESOLUTE ATTACK
This media is not supported in your browser
VIEW IN TELEGRAM
White Box: Мыслить как хакер. Прямой эфир.
Спикер: Anub1s
👍 Начало трансляции в 19:00
11.05.2023
Разберём такие моменты: как обычный сотрудник с минимальными правами может нанести вред своей организации; инструменты powerview, mimikatz, psexec, техники (но не ограничиваясь) enumerating users, user description property, logon passwords,password vault, over pass the hash, lateral movement,golden ticket, auth kerberoas,LLMNR, smb poisoning, smb poisoning V6.
Также спикер предоставит свой mind map, и несколько CVE. Будут доступны дополнительные материалы из GitHub
Спикер: Anub1s
11.05.2023
Разберём такие моменты: как обычный сотрудник с минимальными правами может нанести вред своей организации; инструменты powerview, mimikatz, psexec, техники (но не ограничиваясь) enumerating users, user description property, logon passwords,password vault, over pass the hash, lateral movement,golden ticket, auth kerberoas,LLMNR, smb poisoning, smb poisoning V6.
Также спикер предоставит свой mind map, и несколько CVE. Будут доступны дополнительные материалы из GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Информация от кота. Обзор программы InfoCat
Вспомни, как давно тебя посещала идея написать крупный проект на каком-либо языке? Такие мысли очень часто прилетают к нам из неоткуда и казалось бы, что в этом такого. Но когда начинаешь думать на сцену выходят подводные камни и другие неприятные проблемы. Они и становятся причиной, по которой все наши идеи остаются не реализоваными. В этот раз я все же хочу рассказать тебе о своем личном проекте на Python, основная задача которого упростить и автоматизировать некоторые системные процессы.
📌 Читать статью
#programming #python #software
Вспомни, как давно тебя посещала идея написать крупный проект на каком-либо языке? Такие мысли очень часто прилетают к нам из неоткуда и казалось бы, что в этом такого. Но когда начинаешь думать на сцену выходят подводные камни и другие неприятные проблемы. Они и становятся причиной, по которой все наши идеи остаются не реализоваными. В этот раз я все же хочу рассказать тебе о своем личном проекте на Python, основная задача которого упростить и автоматизировать некоторые системные процессы.
📌 Читать статью
#programming #python #software
Программирование. Кибербезопасность + Go = ❤️
Всем привет! Подготовил для вас материал по топу библиотек на Golang, которые необходимы вам при безопасной разработке приложений. Топ будет составлен лично по моему мнению, а я не являюсь сеньором-помидором Go-разработчиком, так что не кидайтесь гнилыми тапками.
📌 Читать статью
#programming #go #infosec
Всем привет! Подготовил для вас материал по топу библиотек на Golang, которые необходимы вам при безопасной разработке приложений. Топ будет составлен лично по моему мнению, а я не являюсь сеньором-помидором Go-разработчиком, так что не кидайтесь гнилыми тапками.
📌 Читать статью
#programming #go #infosec
