Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
www.opennet.ru
Рекомендации Linux Foundation по соблюдению санкций в открытых проектах
Организация Linux Foundation опубликовала разбор применимости к открытому коду ограничений, вводимых санкциями, обобщила возникающие риски и дала рекомендации сопровождающим открытые проекты, связанные с участием в разработке лиц, подпадающих под санкции.
🔗Ссылка:
https://opennet.ru/62663/
https://opennet.ru/62663/
Forwarded from APT
This article discusses a vulnerability in Active Directory (CVE-2025-21293) related to the Network Configuration Operators group, which has excessive permissions to create subkeys in the registry for DnsCache and NetBT. This allows attackers to leverage Performance Counters to execute code with NT\SYSTEM privileges, potentially leading to privilege escalation.
🔗 Source:
https://birkep.github.io/posts/Windows-LPE/
#ad #network #group #lpe #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Forwarded from #Arm1tage
Спреим учетки под O365
В ходе Red Team-кампании учетные записи сотрудников играют ключевую роль в получении доступа внутрь. Чаще всего задействуются аккаунты Google и O365. Поговорим про O365.
Для начала надо собрать почты сотрудников. Существуют разные сервисы:
- Платные: phonebook, dehashed, snusbase, leakcheck, leakpeek;
- Бесплатные но с ограниченным функционалом, вроде hunter[.]io, rocketreach[.]co или искать по гугл доркам (напр. "@tesla[.]com").
Так же полезным методом сбора учеток будет использование линкедина и утилиты CrossLinked с возможностью задавать формат почты.
Пример использования:
После сбора учеток используем o365spray чтобы убедиться, что найденная почта действительно существует и попытаться сбрутить пароль.
Пример использования:
#email #spray
В ходе Red Team-кампании учетные записи сотрудников играют ключевую роль в получении доступа внутрь. Чаще всего задействуются аккаунты Google и O365. Поговорим про O365.
Для начала надо собрать почты сотрудников. Существуют разные сервисы:
- Платные: phonebook, dehashed, snusbase, leakcheck, leakpeek;
- Бесплатные но с ограниченным функционалом, вроде hunter[.]io, rocketreach[.]co или искать по гугл доркам (напр. "@tesla[.]com").
Так же полезным методом сбора учеток будет использование линкедина и утилиты CrossLinked с возможностью задавать формат почты.
Пример использования:
crosslinked -f '{f}{last}@tesla.com' TeslaПосле сбора учеток используем o365spray чтобы убедиться, что найденная почта действительно существует и попытаться сбрутить пароль.
Пример использования:
o365spray --validate --domain test.com
o365spray --enum -U usernames.txt --domain test.com
o365spray --spray -U usernames.txt -P passwords.txt --count 2 --lockout 5 --domain test.com
#email #spray
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Forwarded from SecuriXy.kz
Оказывается давным давно в #httpx появилась полезная фича - возможность создания скриншотов целевых веб-страниц с помощью параметра
Это значительно упрощает процесс сбора информации о веб-приложениях и их визуальном состоянии. Раньше использовал Aquatone, отдельно обрабатывал вывод, а тут бац запустил и готово и все по папочкам
-ss. Это значительно упрощает процесс сбора информации о веб-приложениях и их визуальном состоянии. Раньше использовал Aquatone, отдельно обрабатывал вывод, а тут бац запустил и готово и все по папочкам
httpx -silent -fr -ss -sc -title -retries 10 -probe-all-ips -t 50 -tech-detect -rhsts <DOMAIN>
❤1