Telegram по неизвестной причине удалил канал 1N73LL1G3NC3. Однако автор решил продолжить делиться крутыми штуками и начал канал заново. Делимся все
https://t.me/P0x3k_1N73LL1G3NC3
https://t.me/P0x3k_1N73LL1G3NC3
Telegram
1N73LL1G3NC3
Reborn…
URL validation bypass cheat sheet
This cheat sheet contains payloads for bypassing URL validation. These wordlists are useful for attacks such as server-side request forgery, CORS misconfigurations, and open redirection.
https://portswigger.net/web-security/ssrf/url-validation-bypass-cheat-sheet
#web #bb #bypass
This cheat sheet contains payloads for bypassing URL validation. These wordlists are useful for attacks such as server-side request forgery, CORS misconfigurations, and open redirection.
https://portswigger.net/web-security/ssrf/url-validation-bypass-cheat-sheet
#web #bb #bypass
portswigger.net
URL validation bypass cheat sheet for SSRF/CORS/Redirect - 2024 Edition | Web Security Academy
This cheat sheet contains payloads for bypassing URL validation. These wordlists are useful for attacks such as server-side request forgery, CORS ...
Большой сборник блог/PoC методов инъекции в процессы для Windows и Linux
https://github.com/itaymigdal/awesome-injection
#pentest #redteam #maldev
https://github.com/itaymigdal/awesome-injection
#pentest #redteam #maldev
GitHub
GitHub - itaymigdal/awesome-injection: Centralized resource for listing and organizing known injection techniques and POCs
Centralized resource for listing and organizing known injection techniques and POCs - itaymigdal/awesome-injection
Modern iOS Pentesting: No Jailbreak Needed - Dvuln
https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed
#pentest #mobile #ios
https://dvuln.com/blog/modern-ios-pentesting-no-jailbreak-needed
#pentest #mobile #ios
Dvuln
Modern iOS Pentesting: No Jailbreak Needed - Dvuln
Dvuln is a specialist information security company founded by Australian cyber security specialists based out of Sydney, Melbourne and Brisbane
LPE на Windows - CVE-2025-21204
Разбор: https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204
PoC: https://raw.githubusercontent.com/eshlomo1/CloudSec/refs/heads/main/Attacking%20the%20Cloud/CVE-2025-21204/Exploit-CVE2025-UpdateStackLPE-NonAdmin.ps1
#lpe #windows #infra
Разбор: https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204
PoC: https://raw.githubusercontent.com/eshlomo1/CloudSec/refs/heads/main/Attacking%20the%20Cloud/CVE-2025-21204/Exploit-CVE2025-UpdateStackLPE-NonAdmin.ps1
#lpe #windows #infra
CYBERDOM
Abusing the Windows Update Stack to Gain SYSTEM Access (CVE-2025-21204)
The CVE-2025-21204 is precisely that kind of vulnerability. It doesn't require a zero-day exploit or complex memory corruption chain. It doesn't need a phishing campaign or a dropped malware loader. All it takes is: A misused filesystem trust, a writable…
Bruno — это новый, современный и удобный инструмент для работы с API. Главное отличие от конкурентов - Bruno хранит все данные локально в виде обычных файлов и папок, что позволяет легко версионировать их с помощью Git.
Основные особенности:
- Локальное хранение данных без облака
- Полная совместимость с Git
- Высокая производительность и минималистичный интерфейс
- Открытый исходный код
https://github.com/usebruno/bruno
#api #bruno #postman
Основные особенности:
- Локальное хранение данных без облака
- Полная совместимость с Git
- Высокая производительность и минималистичный интерфейс
- Открытый исходный код
https://github.com/usebruno/bruno
#api #bruno #postman
GitHub
GitHub - usebruno/bruno: Opensource IDE For Exploring and Testing API's (lightweight alternative to Postman/Insomnia)
Opensource IDE For Exploring and Testing API's (lightweight alternative to Postman/Insomnia) - usebruno/bruno
Forwarded from Standoff 365
🏁 Итоги кибербитвы Standoff 15
Четыре дня противостояния завершились. Победители — награждены, бесценный опыт — получен!
🏆 Команды, разделившие призовой фонд в $50 000
1️⃣ Семикратным чемпионом кибербитвы Standoff стала DreamTeam (195 388 баллов). Приз за первое место — $20 000
2️⃣ FR13NDS & RHACKERS (127 466 баллов) — $10 000
3️⃣ Dataeli&only_f4st (103 870 баллов) — $5000
4️⃣ Cyb7rC0d3# (101 128 баллов) — $2500
5️⃣ cR4․sh (97 893 балла) — $2000
6️⃣ SPbCTF (89 219 баллов) — $1500
7️⃣ T.H.R.E.A.T. x LaCringe (67 745 баллов) — $1000
8️⃣ ChiLL Chain (58 540 баллов) — $500
Еще 7500 $ распределено между победителями специальных номинаций от жюри и технической команды кибербитвы.
За четыре дня 31 команда атакующих реализовала 383 критических события, из них 61 уникальное (почти половина из 123 возможных), и обнаружила 924 уязвимости (для сравнения: на Standoff 13 на прошлом PHDays Fest — 241).
Результаты защитников
Семь отраслей виртуального Государства F защищали 12 команд, 4 из которых работали в режиме реагирования (отмечены 🛡).
🛢 Нефтегаз
• BB (25 расследований, 98 обнаруженных инцидентов)
• Ctrl+Alt+Defend (57 расследований, 302 обнаруженных инцидента)
• LogCrushers (13 расследований, 72 обнаруженных инцидента)
• RubyTeam (5 расследований, 109 обнаруженных инцидентов)
✈️ Авиация
• IDDQD Junior (46 расследований, 190 обнаруженных инцидентов)
• ReKad Team (39 расследований, 121 обнаруженный инцидент)
• Жаным }|{aHblm (51 расследование, 132 обнаруженных инцидента)
🏦 Банковский сектор
• B0dyContainS (70 расследований, 21 обнаруженный инцидент)
🏙 Городская среда
🛡 Grep_Tribe (37 расследований, 186 обнаруженных инцидентов, из которых 143 предотвращены)
🚚 Логистика
🛡 Your_shell_not_pass (3 расследования, 53 обнаруженных инцидента, из которых 48 предотвращены)
🏭 Металлургия
🛡 Busy Beavers (20 расследований, 119 обнаруженных инцидентов, из которых 69 предотвращены)
🔌 Энергетика
🛡 GreenWallTeam АО «Гринатом» (13 расследований, 355 обнаруженных инцидентов, из которых 175 предотвращены)
Подробнее об итогах — на нашем сайте.
Четыре дня противостояния завершились. Победители — награждены, бесценный опыт — получен!
🏆 Команды, разделившие призовой фонд в $50 000
1️⃣ Семикратным чемпионом кибербитвы Standoff стала DreamTeam (195 388 баллов). Приз за первое место — $20 000
2️⃣ FR13NDS & RHACKERS (127 466 баллов) — $10 000
3️⃣ Dataeli&only_f4st (103 870 баллов) — $5000
4️⃣ Cyb7rC0d3# (101 128 баллов) — $2500
5️⃣ cR4․sh (97 893 балла) — $2000
6️⃣ SPbCTF (89 219 баллов) — $1500
7️⃣ T.H.R.E.A.T. x LaCringe (67 745 баллов) — $1000
8️⃣ ChiLL Chain (58 540 баллов) — $500
Еще 7500 $ распределено между победителями специальных номинаций от жюри и технической команды кибербитвы.
За четыре дня 31 команда атакующих реализовала 383 критических события, из них 61 уникальное (почти половина из 123 возможных), и обнаружила 924 уязвимости (для сравнения: на Standoff 13 на прошлом PHDays Fest — 241).
Результаты защитников
Семь отраслей виртуального Государства F защищали 12 команд, 4 из которых работали в режиме реагирования (отмечены 🛡).
🛢 Нефтегаз
• BB (25 расследований, 98 обнаруженных инцидентов)
• Ctrl+Alt+Defend (57 расследований, 302 обнаруженных инцидента)
• LogCrushers (13 расследований, 72 обнаруженных инцидента)
• RubyTeam (5 расследований, 109 обнаруженных инцидентов)
✈️ Авиация
• IDDQD Junior (46 расследований, 190 обнаруженных инцидентов)
• ReKad Team (39 расследований, 121 обнаруженный инцидент)
• Жаным }|{aHblm (51 расследование, 132 обнаруженных инцидента)
🏦 Банковский сектор
• B0dyContainS (70 расследований, 21 обнаруженный инцидент)
🏙 Городская среда
🛡 Grep_Tribe (37 расследований, 186 обнаруженных инцидентов, из которых 143 предотвращены)
🚚 Логистика
🛡 Your_shell_not_pass (3 расследования, 53 обнаруженных инцидента, из которых 48 предотвращены)
🏭 Металлургия
🛡 Busy Beavers (20 расследований, 119 обнаруженных инцидентов, из которых 69 предотвращены)
🔌 Энергетика
🛡 GreenWallTeam АО «Гринатом» (13 расследований, 355 обнаруженных инцидентов, из которых 175 предотвращены)
Подробнее об итогах — на нашем сайте.
Forwarded from Whitehat Lab
И в дополнение к предыдущему посту, сравнительная табличка по инструментам
Отличная шпаргалка по атакам на ADCS
Разобраны основные инструменты для проверки и эксплуатации уязвимостей
#adcs #active_directory #windows #esc #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Google Docs
ADCS Attack Techniques Cheatsheet
Forwarded from PurpleBear (Vadim Shelest)
Всем привет!
В процессе подготовки одной презентации собирал список ресурсов с описанием
🔴 LOLBAS
Список бинарных файлов, скриптов и библиотек, для реализации LotL техник
🔴 GTFOBins
Список бинарных файлов Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно сконфигурированных системах
🔴 LOOBins
Консолидированный список built-in macOS утилит с подробным описанием
🔴 GTFOArgs
Список бинарных файлов Unix, аргументы которых можно использовать для реализации LotL техник
🔴 LOTTunnels
Консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации
🔴 LOLDrivers
Список драйверов Windows, которые активно используются в дикой природе
🔴 LOLApps
Небольшой список built-in and third-party приложений для Windows и Linux для реализации LotL техник
🔴 LOLESXI
Список бинарей и скриптов доступных по дефолту в VMware ESXi, которые можно использовать для реализации LotL техник
🔴 LOLCerts
Список утекших code signing сертификатов, которые активно используются в дикой природе
🔴 LOLAD
Список AD’s built-in tools с командами и детальным описанием реализации LotL техник
🔴 LOTS
Список ресурсов, используемых для создания атакующей инфраструктуры (фишинг, С2, эксфильтрация)
🔴 MalAPI
Корреляция вызовов Windows API с техниками, используемыми вредоносным ПО в дикой природе
🔴 FileExtension
Список расширений файлов, которые используются для доставки полезной нагрузки
🔴 Bootloaders
Список вредоносных загрузчиков для различных ОС, которые используются в дикой природе со ссылками на IOC и правила обнаружения (YARA, Sigma)
Я уверен, что этот список далеко не полный, поэтому если знаете еще
PS: Желаю всем хорошего понедельника и удачной короткой недели!
В процессе подготовки одной презентации собирал список ресурсов с описанием
Living off the land (LotL) техник атакующих, которым хотел бы поделиться в этой заметке:🔴 LOLBAS
Список бинарных файлов, скриптов и библиотек, для реализации LotL техник
🔴 GTFOBins
Список бинарных файлов Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно сконфигурированных системах
🔴 LOOBins
Консолидированный список built-in macOS утилит с подробным описанием
🔴 GTFOArgs
Список бинарных файлов Unix, аргументы которых можно использовать для реализации LotL техник
🔴 LOTTunnels
Консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации
🔴 LOLDrivers
Список драйверов Windows, которые активно используются в дикой природе
🔴 LOLApps
Небольшой список built-in and third-party приложений для Windows и Linux для реализации LotL техник
🔴 LOLESXI
Список бинарей и скриптов доступных по дефолту в VMware ESXi, которые можно использовать для реализации LotL техник
🔴 LOLCerts
Список утекших code signing сертификатов, которые активно используются в дикой природе
🔴 LOLAD
Список AD’s built-in tools с командами и детальным описанием реализации LotL техник
🔴 LOTS
Список ресурсов, используемых для создания атакующей инфраструктуры (фишинг, С2, эксфильтрация)
🔴 MalAPI
Корреляция вызовов Windows API с техниками, используемыми вредоносным ПО в дикой природе
🔴 FileExtension
Список расширений файлов, которые используются для доставки полезной нагрузки
🔴 Bootloaders
Список вредоносных загрузчиков для различных ОС, которые используются в дикой природе со ссылками на IOC и правила обнаружения (YARA, Sigma)
Я уверен, что этот список далеко не полный, поэтому если знаете еще
LotL ресурсы, очень прошу поделиться в комментариях к этому посту🙏PS: Желаю всем хорошего понедельника и удачной короткой недели!
LOOBins
Living Off the Orchard: macOS Binaries.