Собираем боевую машину для пентеста с нуля - часть 1
Всем привет! Сегодня мы будем собирать "боевого слона" - Combat Mint. Для пентеста существуют разные специализированные операционные системы, например, Kali Linux, Parrot Security. Однако разнообразие предустановленного софта, как показывает практика, вовсе не является большим плюсом этих дистрибутивов. Дело в том, что в реальности никто не использует даже половину возможностей установленных программ по-умолчанию. А зачем тогда лишний мусор?
📌 Читать далее
#pentest #linux #software
Всем привет! Сегодня мы будем собирать "боевого слона" - Combat Mint. Для пентеста существуют разные специализированные операционные системы, например, Kali Linux, Parrot Security. Однако разнообразие предустановленного софта, как показывает практика, вовсе не является большим плюсом этих дистрибутивов. Дело в том, что в реальности никто не использует даже половину возможностей установленных программ по-умолчанию. А зачем тогда лишний мусор?
📌 Читать далее
#pentest #linux #software
👍10❤🔥4❤3🤣2🔥1
Настраиваем виртуальную android машину для тестирования на проникновение
Виртуальная машина - отличный способ познакомиться с тестированием на проникновение мобильных приложений на базе OS андроид, но для полноценного bug bounty этот способ скорее всего не подойдет. Как бы я ни старался, некоторые apk запускаться отказываются. Так же есть проблемы при взаимодействии с камерой и микрофоном. Плюс довольно большие требования к компьютерному железу. Этот гайд освещает только клиент-серверное взаимодействие.
📌 Читать далее
#android #pentest #software
Виртуальная машина - отличный способ познакомиться с тестированием на проникновение мобильных приложений на базе OS андроид, но для полноценного bug bounty этот способ скорее всего не подойдет. Как бы я ни старался, некоторые apk запускаться отказываются. Так же есть проблемы при взаимодействии с камерой и микрофоном. Плюс довольно большие требования к компьютерному железу. Этот гайд освещает только клиент-серверное взаимодействие.
📌 Читать далее
#android #pentest #software
👍15🔥4❤2
Дополни браузер. Полезные плагины для минимальной анонимности и исследования изображений.
Приветствую всех читателей этой статьи! Сегодня хочу пролить свет на ещё один список полезных и интересных браузерных расширений. В этой статье все плагины ориентированы на минимальную степень анонимизации и конфиденциальности. Так же, как бонус, я решил добавить расширения для анализа изображений, ведь в быстром доступе иметь под рукой анализатор изображений на наличие метаданных довольно неплохо и удобно. Думаю, в данном вопросе эти плагины будут прекрасно подходить и служить.
📌 Читать далее
#browser #extension
Приветствую всех читателей этой статьи! Сегодня хочу пролить свет на ещё один список полезных и интересных браузерных расширений. В этой статье все плагины ориентированы на минимальную степень анонимизации и конфиденциальности. Так же, как бонус, я решил добавить расширения для анализа изображений, ведь в быстром доступе иметь под рукой анализатор изображений на наличие метаданных довольно неплохо и удобно. Думаю, в данном вопросе эти плагины будут прекрасно подходить и служить.
📌 Читать далее
#browser #extension
👍11🔥5🥰2🤣2
Основы компьютерных сетей
Любая компьютерная сеть представляет собой набор взаимосвязанных между собой устройств. В сети может состоять от двух устройств до бесконечного множества. Основной задачей любой сети является взаимораспределенное пользование ресурсами данных, периферийных устройств, либо вычислительной мощности друг друга. Это относится, как к локальной сети, так и к глобальной. Как мы помним из предыдущего раздела, сегодня эти сети довольно тесно переплетаются между собой, и строятся на одних и тех же физических принципах.
📌 Читать далее
#network #information
Любая компьютерная сеть представляет собой набор взаимосвязанных между собой устройств. В сети может состоять от двух устройств до бесконечного множества. Основной задачей любой сети является взаимораспределенное пользование ресурсами данных, периферийных устройств, либо вычислительной мощности друг друга. Это относится, как к локальной сети, так и к глобальной. Как мы помним из предыдущего раздела, сегодня эти сети довольно тесно переплетаются между собой, и строятся на одних и тех же физических принципах.
📌 Читать далее
#network #information
🔥16👍5❤2
Основы шифрования данных 1/2
Доброго времени суток, уважаемые форумчане! Шифрование данных на сегодня является основным методом обеспечения конфиденциальности информации. При взаимодействии с зашифрованными данными важно исключить всевозможные утечки по различным каналам - например, через временные файлы.
📌 Читать далее
#encryption #anonymity #information
Доброго времени суток, уважаемые форумчане! Шифрование данных на сегодня является основным методом обеспечения конфиденциальности информации. При взаимодействии с зашифрованными данными важно исключить всевозможные утечки по различным каналам - например, через временные файлы.
📌 Читать далее
#encryption #anonymity #information
👍12🔥4❤2
ASM – интерфейс защиты данных DPAPI
Все, кто хоть немного дорожит своей информацией, направляют фокус на её защиту. Учитывая эти обстоятельства, начиная ещё с Win-2k инженеры Microsoft ввели в состав своей ОС специальный интерфейс и назвали его "Data-Protection Programming Interface", или коротко DPAPI. В результате, не прибегая к услугам внешних библиотек, у нас появилась возможность защищать свои данные вполне крипткостойким механизмом, причём эти данные могут находиться как на жёстком диске, так и непосредственно в памяти. В состав этого интерфейса входят всего 4 функции, однако практическая его реализация довольно сложна и корнями уходит в нёдра операционной системы, иначе DPAPI не получил-бы столь высокий кредит доверия в высшем обществе. В данной статье рассматриваются технические детали этого интерфейса, и некоторые советы к области его применения.
📌 Читать далее
#asm #security
Все, кто хоть немного дорожит своей информацией, направляют фокус на её защиту. Учитывая эти обстоятельства, начиная ещё с Win-2k инженеры Microsoft ввели в состав своей ОС специальный интерфейс и назвали его "Data-Protection Programming Interface", или коротко DPAPI. В результате, не прибегая к услугам внешних библиотек, у нас появилась возможность защищать свои данные вполне крипткостойким механизмом, причём эти данные могут находиться как на жёстком диске, так и непосредственно в памяти. В состав этого интерфейса входят всего 4 функции, однако практическая его реализация довольно сложна и корнями уходит в нёдра операционной системы, иначе DPAPI не получил-бы столь высокий кредит доверия в высшем обществе. В данной статье рассматриваются технические детали этого интерфейса, и некоторые советы к области его применения.
📌 Читать далее
#asm #security
👍13🔥4
Создание драйвера под Windows. Часть 1: Введение
Для очередного проекта возникла необходимость написать простенький софтверный драйвер под Windows, но так как опыта в написании драйверов у меня примерно столько же, сколько и в балете, я начал исследовать данную тему. В таких делах я предпочитаю начинать с основ, ибо если кидаться сразу на сложные вещи, то можно упустить многие базовые понятия и приёмы, что в дальнейшем только усложнит жизнь.
📌 Читать далее
#programming #driver #software
Для очередного проекта возникла необходимость написать простенький софтверный драйвер под Windows, но так как опыта в написании драйверов у меня примерно столько же, сколько и в балете, я начал исследовать данную тему. В таких делах я предпочитаю начинать с основ, ибо если кидаться сразу на сложные вещи, то можно упустить многие базовые понятия и приёмы, что в дальнейшем только усложнит жизнь.
📌 Читать далее
#programming #driver #software
👍16🔥4
Что такое MVNO?
Приветствую, дамы и господа! Хотя к чему этот апофеоз, читатель? По работе я столкнулся с непонятной аббревиатурой MVNO. На мой вопрос, что это за нецензурная брань, о которой я ранее не слышал, мне очень подробно и доходчиво объяснили. Ну что ж, обсудим следующую концепцию — MVNO (виртуальный оператор мобильной сети) — компания, которая оказывает услуги сотовой связи под своим брендом, но не имеет собственной инфраструктуры и арендует ее у другого оператора.
📌 Читать далее
#mobile #network #information
Приветствую, дамы и господа! Хотя к чему этот апофеоз, читатель? По работе я столкнулся с непонятной аббревиатурой MVNO. На мой вопрос, что это за нецензурная брань, о которой я ранее не слышал, мне очень подробно и доходчиво объяснили. Ну что ж, обсудим следующую концепцию — MVNO (виртуальный оператор мобильной сети) — компания, которая оказывает услуги сотовой связи под своим брендом, но не имеет собственной инфраструктуры и арендует ее у другого оператора.
📌 Читать далее
#mobile #network #information
🔥11👍8❤1😍1
Собираем боевую машину для пентеста с нуля - часть 2
В первой части были подготовительные работы по установке и настройке системы, а теперь займёмся установкой программ. Первое что нас должно интересовать - это установленные языки программирования, даже если ты полный ламер, и не можешь связать пару строк. Всё просто - мы будем пользоваться всевозможными программами, а они как известно пишутся на разных ЯП.
📌 Читать статью
#beginner #linux
В первой части были подготовительные работы по установке и настройке системы, а теперь займёмся установкой программ. Первое что нас должно интересовать - это установленные языки программирования, даже если ты полный ламер, и не можешь связать пару строк. Всё просто - мы будем пользоваться всевозможными программами, а они как известно пишутся на разных ЯП.
📌 Читать статью
#beginner #linux
👍11🔥6❤1👎1🏆1
🚩 Новые задания на платформе Codeby Games!
⚙️ Категория Реверс-инжиниринг — По дороге к Замку Капибар
🔑 Категория Криптография — MACdonalds
🎢 Категория Развлечения — Нулевой байт
Приятного хакинга!
💬 Канал Codeby Games
Приятного хакинга!
💬 Канал Codeby Games
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍2❤1
Создание драйвера под Windows. Часть 2: Как выгрузить драйвер и первый функционал
И снова здравствуйте, пришло время продолжить работу над нашим драйвером. База у нас есть, теперь начнем работать над функционалом. Те, кто повторял за мной в первой статье, могли заметить, что в нашем драйвере отсутствует функция выгрузки. Поэтому, чтобы запустить наш драйвер заново, приходится перезагружать виртуальную машину, что не очень удобно. Мало того, это может быть небезопасно - ведь ядро не будет само удалять драйвер из памяти, он будет там висеть пока система не перезагрузится, что может привести к утечкам памяти. Для данной операции предусмотрена функция DriverUnload, которая принимает в себя указатель на DriverObject и возвращает void.
📌 Читать далее
#programming #driver #software
И снова здравствуйте, пришло время продолжить работу над нашим драйвером. База у нас есть, теперь начнем работать над функционалом. Те, кто повторял за мной в первой статье, могли заметить, что в нашем драйвере отсутствует функция выгрузки. Поэтому, чтобы запустить наш драйвер заново, приходится перезагружать виртуальную машину, что не очень удобно. Мало того, это может быть небезопасно - ведь ядро не будет само удалять драйвер из памяти, он будет там висеть пока система не перезагрузится, что может привести к утечкам памяти. Для данной операции предусмотрена функция DriverUnload, которая принимает в себя указатель на DriverObject и возвращает void.
📌 Читать далее
#programming #driver #software
👍8🔥4
Пять лучших способов получить доступ к вашей беспроводной сети
Во время пентеста, либо услуг Red Team, мне всегда нравится заниматься проблемой получения доступа к хорошо защищенным беспроводным сетям. Red Team неспроста уделяют много внимания беспроводным сетям, и зачастую начинают свой аудит именно с них. Обычные ошибки конфигурации, уязвимости и последовательность общих сетевых атак при выполнении беспроводной оценки могут привести к получению доступа к корпоративной сети за пару часов!
📌 Читать далее
#pentest #wifi #network
Во время пентеста, либо услуг Red Team, мне всегда нравится заниматься проблемой получения доступа к хорошо защищенным беспроводным сетям. Red Team неспроста уделяют много внимания беспроводным сетям, и зачастую начинают свой аудит именно с них. Обычные ошибки конфигурации, уязвимости и последовательность общих сетевых атак при выполнении беспроводной оценки могут привести к получению доступа к корпоративной сети за пару часов!
📌 Читать далее
#pentest #wifi #network
🔥12👍3
Автоматизация или ручное сканирование безопасности компаний: все плюсы и минусы
Здравствуйте, господа, сегодня рассмотрим все плюсы и минусы автоматизации и ручного сканирования безопасности компаний, чтобы не затягивать, давайте рассмотрим план: риск удаленной работы для компаний, виды тестирования и защиты, использование приложений для защиты...
📌 Читать далее
#security #information
Здравствуйте, господа, сегодня рассмотрим все плюсы и минусы автоматизации и ручного сканирования безопасности компаний, чтобы не затягивать, давайте рассмотрим план: риск удаленной работы для компаний, виды тестирования и защиты, использование приложений для защиты...
📌 Читать далее
#security #information
👍10🔥3
Универсальный обход SSL pinning для андроид приложений
Привет всем, в этой статье, я объясню как обойти SSL pinning для андроид приложений используя Frida framework. Я попытаюсь объяснить все в деталях,четко и понятно. В настоящее время большинство приложений реализуют SSL pinning в своем мобильном приложении. Почему же? Давайте рассмотрим, что мы хотим безопасно обмениваться некоторыми данными между нашим устройством и сервером. Сделает ли шифрование транспортного уровня ssl передачу данных безопасной и надежной? Ну, тут есть подвох.
📌 Читать далее
#android #ssl #bypass
Привет всем, в этой статье, я объясню как обойти SSL pinning для андроид приложений используя Frida framework. Я попытаюсь объяснить все в деталях,четко и понятно. В настоящее время большинство приложений реализуют SSL pinning в своем мобильном приложении. Почему же? Давайте рассмотрим, что мы хотим безопасно обмениваться некоторыми данными между нашим устройством и сервером. Сделает ли шифрование транспортного уровня ssl передачу данных безопасной и надежной? Ну, тут есть подвох.
📌 Читать далее
#android #ssl #bypass
👍12🔥5👎1
Фаззинг веб-приложений на практике
Одна из стадий аудита веб-приложений – это, как известно, фаззинг. В данной статье я хочу рассказать о практической стороне фаззинга, показать, как это работает, и как искать баги, используя данную технику тестирования веб-приложений. Также рассмотрю некоторые средства автоматизации и программу “Fuzzer”, которая призвана частично автоматизировать процесс фаззинга веб-приложения. Статья будет полезна для специалистов уровня Junior.
📌 Читать далее
#beginner #pentest
Одна из стадий аудита веб-приложений – это, как известно, фаззинг. В данной статье я хочу рассказать о практической стороне фаззинга, показать, как это работает, и как искать баги, используя данную технику тестирования веб-приложений. Также рассмотрю некоторые средства автоматизации и программу “Fuzzer”, которая призвана частично автоматизировать процесс фаззинга веб-приложения. Статья будет полезна для специалистов уровня Junior.
📌 Читать далее
#beginner #pentest
👍9🔥5
‼️ Прокачайся до Junior+ за 4 месяца
Вы еще можете записаться на наш новый курс "Основы DevOps" по 26 октября включительно!
Курс направлен на изучение методологии DevOps и основных применяемых в ней практик. Особое внимание уделено изучению микросервисов и их оркестрации с помощью Kubernetes, построению конвейеров CI/CD c помощью Jenkins и управлению инфраструктурой как кодом с помощью Terraform и Ansible.
Прибавьте к этому сопровождение куратора, 400+ страниц методичек, практическую отработку - и вы не будете думать о том, как пройти собеседование.
В финале вы защищаете дипломный проект, который потом сможете добавить в своё резюме.✅
После завершения обучения выдается удостоверение о повышении квалификации.📃
Успевай записаться на курс "Основы DevOps"
Вы еще можете записаться на наш новый курс "Основы DevOps" по 26 октября включительно!
Курс направлен на изучение методологии DevOps и основных применяемых в ней практик. Особое внимание уделено изучению микросервисов и их оркестрации с помощью Kubernetes, построению конвейеров CI/CD c помощью Jenkins и управлению инфраструктурой как кодом с помощью Terraform и Ansible.
Прибавьте к этому сопровождение куратора, 400+ страниц методичек, практическую отработку - и вы не будете думать о том, как пройти собеседование.
В финале вы защищаете дипломный проект, который потом сможете добавить в своё резюме.✅
После завершения обучения выдается удостоверение о повышении квалификации.📃
Успевай записаться на курс "Основы DevOps"
👍8🔥4❤2😁1
Как стать гуру или WiFi Cheat Sheet
А что мы знаем про пентест Wi-Fi? Кажется, что уже всё, но вот на offzone 2023 была представлена атака WPA‑E (Надеюсь, в скором времени выложат запись и pdf) и я задумался, а так ли всё хорошо с моими знаниями... Нет, я всё с концами оставил на старых ЖД и где‑то далеко в памяти, пришлось восстанавливать по крупицам всю информацию. Заметки, время и старания — главное составляющее статьи.
📌 Читать далее
#wifi #cheatsheet
А что мы знаем про пентест Wi-Fi? Кажется, что уже всё, но вот на offzone 2023 была представлена атака WPA‑E (Надеюсь, в скором времени выложат запись и pdf) и я задумался, а так ли всё хорошо с моими знаниями... Нет, я всё с концами оставил на старых ЖД и где‑то далеко в памяти, пришлось восстанавливать по крупицам всю информацию. Заметки, время и старания — главное составляющее статьи.
📌 Читать далее
#wifi #cheatsheet
🔥12👍5
This media is not supported in your browser
VIEW IN TELEGRAM
🚩 Новые задания на платформе Codeby Games!
🖼 Категория Стеганография — Стереограмма
🏆 Категория Квесты — Любитель брутфорса
🌍 Категория Веб — Ограничения
Приятного хакинга!
💬 Канал Codeby Games
Приятного хакинга!
💬 Канал Codeby Games
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍4❤2
ver 0.0 или моё начало пути в мир инфобеза
Всем доброго времени суток, меня зовут XXX, мне 3X лет и работаю я в XXX по профессии XXX. Так сложилось что на своем рабочем месте имею неограниченное свободное время, компьютер и практически не имею каких-либо обязанностей. Еще со студенческих лет я восхищался ребятами которые занимались программированием, радиофизикой и связанной с этим темами. И вот с недавнего времени все на том же ютубе мне стали попадаться видеоматериалы связанные с темой "пентеста". Как-то читая очередную статью окутанную флером противостояния криминалистов из организации XXX и неких неизвестных хакеров, пришло осознание того, что я сам хочу погрузиться в этот доселе невиданный, но такой интересный мир информационной безопасности.
📌 Читать далее
#beginner #learning #roadmap
Всем доброго времени суток, меня зовут XXX, мне 3X лет и работаю я в XXX по профессии XXX. Так сложилось что на своем рабочем месте имею неограниченное свободное время, компьютер и практически не имею каких-либо обязанностей. Еще со студенческих лет я восхищался ребятами которые занимались программированием, радиофизикой и связанной с этим темами. И вот с недавнего времени все на том же ютубе мне стали попадаться видеоматериалы связанные с темой "пентеста". Как-то читая очередную статью окутанную флером противостояния криминалистов из организации XXX и неких неизвестных хакеров, пришло осознание того, что я сам хочу погрузиться в этот доселе невиданный, но такой интересный мир информационной безопасности.
📌 Читать далее
#beginner #learning #roadmap
👍13🔥4❤1
🔎 Курс «Боевой OSINT» от Академии Кодебай!
Старт: 6 ноября
Длительность: 3 месяца
ℹ️ «Боевой OSINT» — курс представляет собой полную, подробную, пошаговую методику сбора информации из открытых источников.
✔️ Подробные текстовые методички;
✔️ Подробная видео инструкция в каждом уроке;
✔️ Общий чат учащихся курса;
✔️ Поддержка куратора на протяжении всего курса;
✔️ Лабораторная работа после каждого урока;
✔️ Итоговая практическая работа.
🧐 Будет полезен специалистам служб корпоративной безопасности, собственникам и руководителям предприятий, сотрудникам государственных спецслужб, всем желающим получить профессиональные навыки сбора и обработки полученной информации.
📌 Узнать подробнее о курсе
Старт: 6 ноября
Длительность: 3 месяца
ℹ️ «Боевой OSINT» — курс представляет собой полную, подробную, пошаговую методику сбора информации из открытых источников.
✔️ Подробные текстовые методички;
✔️ Подробная видео инструкция в каждом уроке;
✔️ Общий чат учащихся курса;
✔️ Поддержка куратора на протяжении всего курса;
✔️ Лабораторная работа после каждого урока;
✔️ Итоговая практическая работа.
🧐 Будет полезен специалистам служб корпоративной безопасности, собственникам и руководителям предприятий, сотрудникам государственных спецслужб, всем желающим получить профессиональные навыки сбора и обработки полученной информации.
📌 Узнать подробнее о курсе
🔥14👍6👎6❤3
ASM. Демоны в Windows (1) – сессии, станции, рабочие столы
В системах класса Win, одним из привлекательных направлений является программирование сервисов. Связано это с тем, что сервисы имеют приоритет над обычными приложениями, поскольку предназначены для обслуживания работы самой ОС и запускаются от имени системы. По этой причине, их ещё называют системными службами. Если провести аналогию с Linux, то сервисы Win можно сравнить с демонами, которые присутствуют всегда, но не выползая в свет работают в фоне. В данном треде попробуем разобраться с технической их стороной и посмотрим, какую они представляют угрозу безопасности. Материал получился обширным, а потому пришлось разделить его на две части.
📌 Читать далее
#asm #windows #software
В системах класса Win, одним из привлекательных направлений является программирование сервисов. Связано это с тем, что сервисы имеют приоритет над обычными приложениями, поскольку предназначены для обслуживания работы самой ОС и запускаются от имени системы. По этой причине, их ещё называют системными службами. Если провести аналогию с Linux, то сервисы Win можно сравнить с демонами, которые присутствуют всегда, но не выползая в свет работают в фоне. В данном треде попробуем разобраться с технической их стороной и посмотрим, какую они представляют угрозу безопасности. Материал получился обширным, а потому пришлось разделить его на две части.
📌 Читать далее
#asm #windows #software
👍12🔥5