Forwarded from C.I.T. Security
Итоги пентестов — 2022 от PT
В Positive Technologies проанализировали состояние защищенности российских компаний1. В ходе пентестов 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
Источник + PDF
Дополнительно:
1. 96% российских компаний не сдали пентест
2. 77% организаций в России недостаточно защищены от взлома
3. Обзор рынка услуг тестирования на проникновение
4. Еще аналитика от PT за 2021год
5. За год компании укрепили внешний периметр, но забыли про внутренние сети
#analytics
В Positive Technologies проанализировали состояние защищенности российских компаний1. В ходе пентестов 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
Источник + PDF
Дополнительно:
1. 96% российских компаний не сдали пентест
2. 77% организаций в России недостаточно защищены от взлома
3. Обзор рынка услуг тестирования на проникновение
4. Еще аналитика от PT за 2021год
5. За год компании укрепили внешний периметр, но забыли про внутренние сети
#analytics
Forwarded from white2hack 📚
Results_of_pentests_2022_RUS.pdf
4.1 MB
Итоги пентестов — 2022 Подробный отчет от компании PT
Forwarded from Библиотека Cobalt Strike
Движение, поворот и настойчивость для пентестеров и этических хакеров.
Продвинутый курс по тестированию на проникновение и этичному хакерству.
MP&P будет охватывать такие темы, как:
📍Генерация списка имен пользователей и паролей
📍Распыление пароля
📍Фишинг по электронной почте
📍Командование и контроль (C2)
📍Сбор и передача учетных данных
📍Маршрутизация, переадресация портов, прокси-серверы SOCKS и использование привязки
📍Наступательный PowerShell
📍Практика в реальных пентестах
📍Общие стратегии исправления всех ситуации
Однако этот курс не предназначен для новичков. Предполагается, что каждый студент имеет базовое или среднее понимание тестирования на проникновение и этического взлома, включая использование Nmap, Metasploit, OWASP ZAP или Burp Suite и других широко используемых инструментов, хотя в курсе будут и использоваться некоторые базовые вещи.
А совсем новичкам не стоит унывать воспользуйтесь закрепом и хештегами, начните с более базового курса
#cours
Продвинутый курс по тестированию на проникновение и этичному хакерству.
MP&P будет охватывать такие темы, как:
📍Генерация списка имен пользователей и паролей
📍Распыление пароля
📍Фишинг по электронной почте
📍Командование и контроль (C2)
📍Сбор и передача учетных данных
📍Маршрутизация, переадресация портов, прокси-серверы SOCKS и использование привязки
📍Наступательный PowerShell
📍Практика в реальных пентестах
📍Общие стратегии исправления всех ситуации
Однако этот курс не предназначен для новичков. Предполагается, что каждый студент имеет базовое или среднее понимание тестирования на проникновение и этического взлома, включая использование Nmap, Metasploit, OWASP ZAP или Burp Suite и других широко используемых инструментов, хотя в курсе будут и использоваться некоторые базовые вещи.
А совсем новичкам не стоит унывать воспользуйтесь закрепом и хештегами, начните с более базового курса
#cours
Forwarded from Bounty On Coffee (Ramazan)
Очень простой способ автоматизировать мониторинг новых поддоменов и IP адресов с уведомлением в телеграмм бот.
Для отправки уведомлений в телегу, в конфигурационный файл notify нужно положить токен бота.
Если вкратце:
#tools #recon
./monitor.sh av.ru av.ru.txt
httpx, если нам не только веб хосты нужны. Или наоборот, убрать jfscan, если мы хотим проверять отдельно пару веб портов.Для отправки уведомлений в телегу, в конфигурационный файл notify нужно положить токен бота.
Если вкратце:
subfinder - для поиска поддоменовjfscan - для быстрого скана нужных нам портовhttpx - детектим вебчикanew - сравнивает содержимое первого файла, где уже собрали данные, с новыми хостами и если обнаружили хост, который отсутствовал в файле он и его туда добавляетnotify - а эта тулза этот хост уже отправляет к нам в телегу.#tools #recon
👍1
Forwarded from Похек (Sergey Zybnev)
Анонс сдержал своё обещание и вернулся!
🗓 28 сентября 2023 в одном из баров Москвы состоится оффлайн-митап по offensive security. От комьюнити для комьюнити. Никакого пиара и продуктов. Начало митапа – в 17:00.
⚜️ Некоторые темы: архитектура сети и атаки на Control Plane, подход к пентесту Wi-Fi сетей, атаки на WPA2-Enterprise и 802.1x. @Caster0x00 жду тебя
Все это будет проходить в отличной атмосфере за кружкой пива и закусками.
👨👦👦 Также обсудим пентест со всевозможных сторон: зачем он нужен компаниям, как они его проводят и что хотят от него получить, а также что для этого нужно знать самим пентестерам. Специальные гости со стороны defensive.
Рега➡️ @PentestMeetupBot
⏰ Успей забронировать своё место, так как их количество ограничено.
Всю подробную информация можно найти в боте.
🕴 Буду на встрече, жду всех!
Рега
Всю подробную информация можно найти в боте.
Please open Telegram to view this post
VIEW IN TELEGRAM
👾1
Forwarded from 4e6571
OffSec-WEB300-Advanced.Web.Attacks.&.Exploitation.(2020)
Forwarded from 4e6571
#pentest #AD
https://github.com/szybnev/CrackMapExec/releases/tag/release
Форк 6.х версии утилиты crackmapexec. Ставится в полтычка через pipx, и, в отличие от 5-ой ревизии, имеет множество QoL изменений. Мой фаворит😄
https://github.com/szybnev/CrackMapExec/releases/tag/release
Форк 6.х версии утилиты crackmapexec. Ставится в полтычка через pipx, и, в отличие от 5-ой ревизии, имеет множество QoL изменений. Мой фаворит
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
Release 6.0 - last · szybnev/CrackMapExec
6.0 version. Last version of deleted repo
Forwarded from Кавычка (Bo0oM)
#bitrix
Карочи, в админку в битриксе иногда можно зайти просто зарегистрировавшись.
Но у многих кнопка регистрации вовсе отсутствует, но это не мешает вызвать стандартные формы:
Наличие форм, кстати, тоже не обязательно, достаточно разгадать капчу (если она вообще есть) и отправить POST-запрос на регу.
Помимо стандартных путей, существуют еще demo-проекты:
Или можно попробовать обратиться к подобным модулям:
После регистрации (получив валидный сессионный идентификатор), можно побрутить директорию /bitrix/ следующими файликами.
Карочи, в админку в битриксе иногда можно зайти просто зарегистрировавшись.
Но у многих кнопка регистрации вовсе отсутствует, но это не мешает вызвать стандартные формы:
/auth/?register=yes
/crm/?register=yes
/auth/oauth2/?register=yes
Наличие форм, кстати, тоже не обязательно, достаточно разгадать капчу (если она вообще есть) и отправить POST-запрос на регу.
Помимо стандартных путей, существуют еще demo-проекты:
/bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes
/bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/custom-registration/index.php
/bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/my-components/news_list.php?register=yes
/bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subscr_edit.php?register=yes
Или можно попробовать обратиться к подобным модулям:
/bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/public/ru/personal/profile/index.php?register=yes
/bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/public/ru/board/my/index.php?register=yes
После регистрации (получив валидный сессионный идентификатор), можно побрутить директорию /bitrix/ следующими файликами.
👎1
Forwarded from Caster
Caster - MikroTik Nightmare (LIVE SET)
Genre: Offensive
Subgenre: Security Issues, Penetration Testing, Pivoting, Experimental, Post-Exploitation
Label: OFFZONE 2023
Release Date: 24 August 2023
https://www.youtube.com/watch?v=hkl1arlmedw
Genre: Offensive
Subgenre: Security Issues, Penetration Testing, Pivoting, Experimental, Post-Exploitation
Label: OFFZONE 2023
Release Date: 24 August 2023
https://www.youtube.com/watch?v=hkl1arlmedw
YouTube
Caster . MikroTik Nightmare
MikroTik Nightmare
Caster
Эксперт по сетевой безопасности
Авторское исследование о безопасности оборудования MikroTik в жанре offensive. Будут рассмотрены недостатки безопасности RouterOS, техники пивотинга, постэксплуатации, MitM‑атак, угона трафика, а…
Caster
Эксперт по сетевой безопасности
Авторское исследование о безопасности оборудования MikroTik в жанре offensive. Будут рассмотрены недостатки безопасности RouterOS, техники пивотинга, постэксплуатации, MitM‑атак, угона трафика, а…
😭1