🔵Firejail
Firejail - это программа-песочница SUID, которая снижает риск нарушения безопасности, ограничивая среду выполнения ненадежных приложений с использованием пространств имен Linux, seccomp-bpf и возможностей Linux. Она позволяет процессу и всем его потомкам иметь свой собственный частный вид общих ресурсов ядра, таких как сетевой стек, таблица процессов, таблица монтирования. Firejail может работать в среде SELinux или AppArmor и интегрирован с группами управления Linux.
Написанное на C с практически отсутствующими зависимостями программное обеспечение работает на любом компьютере Linux с версией ядра 3.x или новее. Оно может создавать песочницу для любого типа процессов: серверов, графических приложений и даже пользовательских сеансов входа в систему. Программное обеспечение включает профили песочницы для ряда более распространенных программ Linux, таких как Mozilla Firefox, Chromium, VLC, Transmission и т.д.
Песочница легкая, накладные расходы низкие. Нет сложных файлов конфигурации для редактирования, нет открытых соединений сокетов, нет демонов, работающих в фоновом режиме. Все функции безопасности реализованы непосредственно в ядре Linux и доступны на любом компьютере Linux.
Установка:
Firejail - это программа-песочница SUID, которая снижает риск нарушения безопасности, ограничивая среду выполнения ненадежных приложений с использованием пространств имен Linux, seccomp-bpf и возможностей Linux. Она позволяет процессу и всем его потомкам иметь свой собственный частный вид общих ресурсов ядра, таких как сетевой стек, таблица процессов, таблица монтирования. Firejail может работать в среде SELinux или AppArmor и интегрирован с группами управления Linux.
Написанное на C с практически отсутствующими зависимостями программное обеспечение работает на любом компьютере Linux с версией ядра 3.x или новее. Оно может создавать песочницу для любого типа процессов: серверов, графических приложений и даже пользовательских сеансов входа в систему. Программное обеспечение включает профили песочницы для ряда более распространенных программ Linux, таких как Mozilla Firefox, Chromium, VLC, Transmission и т.д.
Песочница легкая, накладные расходы низкие. Нет сложных файлов конфигурации для редактирования, нет открытых соединений сокетов, нет демонов, работающих в фоновом режиме. Все функции безопасности реализованы непосредственно в ядре Linux и доступны на любом компьютере Linux.
Установка:
sudo add-apt-repository ppa:deki/firejailСборка:
sudo apt-get update
sudo apt-get install firejail firejail-profiles
git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip
Запуск различных приложений:firejail firefox # запуск Mozilla Firefox#tools
firejail transmission-gtk # запуск Transmission BitTorrent
firejail vlc # запуск VideoLAN Client
sudo firejail /etc/init.d/nginx start
🔥8⚡1
Forwarded from Что-то на пентестерском
Привет! Году в 2019-2020 вышло исследование на тему данной атаки, она может применяется в вебе, тем самым можно получить RCE, данная атака принимается и в баг баунти
Автор этой атаки получил таким образом RCE в 35 компаний, давай разберемся в чем ее суть и как работает
ЧТНП | #web
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡5❤3
Forwarded from BI.ZONE Bug Bounty
Публичная программа «Тинькофф» на BI.ZONE Bug Bounty выходит на новый уровень.
В скоупе теперь open-source код некоторых разработок компании: OpenAPI, мобильные SDK, бэкенд-фреймворки и многое другое.
Смотрите полный список на сайте платформы — и вперед за баунти!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤🔥2👍2🌚1
Forwarded from NETRUNNER GROUP (Tripini FKYL)
И мы снова готовы вас шокировать ⛈
❤️ Мы готовим полномасштабный проект, сериал о специалистах отдела безопасности в крупной фирме и их жизненные ситуации расказывающие об основных ошибках в безопасности компаний.
Сценарий уже почти готов, вносятся последние правки.
💀 Киллер фичей будет являться то что будут показаны реальные способы атак и их описание.
Сериал будет интересен как знающим, так и простым обывателям.
😈 Техническую поддержку нам будут обеспечивать наши любимые друзья и партнеры RESOLUTE ATTACK
Список платформ куда выйдут серии (как минимум) :
Youtube
Rutube
Dzen
P.S. Хотите фото со сьемок?)
Сценарий уже почти готов, вносятся последние правки.
Сериал будет интересен как знающим, так и простым обывателям.
Список платформ куда выйдут серии (как минимум) :
Youtube
Rutube
Dzen
P.S. Хотите фото со сьемок?)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤2🥰1🌚1
Forwarded from Bounty On Coffee
Пентест или багбаунти?
Для меня, как для человека, который занимается пентестами почти 5 лет, а также 4 года багхантит, видны плюсы и минусы обоих способов защиты своих систем.
Давайте разберем их.
Для компаний, которые хотят защитить свои сервисы оба этих способа нужно держать в своем арсенале, так как являются взаимодополняемыми.
У меня есть масса примеров, которые это доказывают.
Например, очень часто бывало и бывает такое, что нам на пентест прилетает проект, который уже давно на багбаунти в котором и я участвовал. И перед проектом возникают мысли, ведь столько людей уже тестировали этот сервис, было найдено куча багов и наверняка проект будет скучным. Но нет, в 99% случаях на пентесте находится десятки багов в том числе и баги с высоким риском. Один из таких багов, буду сдавать на award.awillix.ru
Почему же так случается?
И мы не говорим сейчас о каких-либо внутренних сервисах, тестировать которые можно только на пентестах.
Чаще всего на багбаунти сервис не изучают под микроскопом, не тестируют каждый API эндпоинт детально. И поверьте мне из-за этого упускаются очень много багов.
✅Плюсы пентеста
– Ограниченный скоуп. Это помогает фокусироваться на нужных вещах, а не бегать от одного к другому.
– Команда. Относительно предоставленного скоупа мы можем выбрать на проект людей относительно их скиллов. Также командный взлом более эффективен.
– Дополнительная информация. На пентестах идет плотное взаимодействие с клиентом, клиент может предоставить документацию, сваггер..., что тоже тестирование делает более эффективным
– Доступ к любым сервисам в пределах скоупа. Некоторый функционал бывает немного затруднительно тестировать, например, кредиты в банках или есть хорошо настроенные вафы, которые сильно мешают. На пентестах же нам могут выдать тестовые стенды или добавить в вайтлисты для полноценного тестирование нужного функционала.
⛔️Минусы пентеста
– Ограниченное время. Тут есть риск, что во время пентеста мы не можем себе позволить долго сконцентрироваться на чем-то одном. Например, если есть интересная зацепка, но раскрутить ее сходу не получается. Если это в каком-то софте, то можно отдельно поресерчить.
Ограниченное время я бы не назвал даже каким-то существенным минусом, часто это помогает нам сконцентрироваться на скоупе, которое мы исследуем во время пентеста.
✅Плюсы багбаунти
– Огромное количество хантеров с различными скиллами. Один из самых больших плюсов багбаунти – это огромная банда хантеров с различными скиллами. Особенно это бывает полезно, если есть что-то специфическое.
– Неограниченное время. Багхантер не ограничен по времени и может хоть месяц ломать то, что захочет.
– Компания платит только за баг, который нашли. Для компаний хороший способ сэкономить.
⛔️Минусы багбаунти
– Ограничения в действиях. Багхантер не может пробить периметр и дальше идти ломать внутрянку. Также, если мы только занимаемся багхантерством, то есть риск, что знания в постэксплуатации будут слабыми.
– Отсутствие дополнительной информации.
– Отсутствие доступа к некоторым сервисам. Тут тоже достаточно все очевидно, у многих ли хантеров юридические лица? Но в то же время и плюс для тех, у кого это есть, например, можно снять все сливки с юридических сервисов, если запарится и сделать себе ИП.
Учитывая все эти факторы получаем идеальную взаимодополняемость обоих способов.
Для меня, как для человека, который занимается пентестами почти 5 лет, а также 4 года багхантит, видны плюсы и минусы обоих способов защиты своих систем.
Давайте разберем их.
Для компаний, которые хотят защитить свои сервисы оба этих способа нужно держать в своем арсенале, так как являются взаимодополняемыми.
У меня есть масса примеров, которые это доказывают.
Например, очень часто бывало и бывает такое, что нам на пентест прилетает проект, который уже давно на багбаунти в котором и я участвовал. И перед проектом возникают мысли, ведь столько людей уже тестировали этот сервис, было найдено куча багов и наверняка проект будет скучным. Но нет, в 99% случаях на пентесте находится десятки багов в том числе и баги с высоким риском. Один из таких багов, буду сдавать на award.awillix.ru
Почему же так случается?
И мы не говорим сейчас о каких-либо внутренних сервисах, тестировать которые можно только на пентестах.
Чаще всего на багбаунти сервис не изучают под микроскопом, не тестируют каждый API эндпоинт детально. И поверьте мне из-за этого упускаются очень много багов.
✅Плюсы пентеста
– Ограниченный скоуп. Это помогает фокусироваться на нужных вещах, а не бегать от одного к другому.
– Команда. Относительно предоставленного скоупа мы можем выбрать на проект людей относительно их скиллов. Также командный взлом более эффективен.
– Дополнительная информация. На пентестах идет плотное взаимодействие с клиентом, клиент может предоставить документацию, сваггер..., что тоже тестирование делает более эффективным
– Доступ к любым сервисам в пределах скоупа. Некоторый функционал бывает немного затруднительно тестировать, например, кредиты в банках или есть хорошо настроенные вафы, которые сильно мешают. На пентестах же нам могут выдать тестовые стенды или добавить в вайтлисты для полноценного тестирование нужного функционала.
⛔️Минусы пентеста
– Ограниченное время. Тут есть риск, что во время пентеста мы не можем себе позволить долго сконцентрироваться на чем-то одном. Например, если есть интересная зацепка, но раскрутить ее сходу не получается. Если это в каком-то софте, то можно отдельно поресерчить.
Ограниченное время я бы не назвал даже каким-то существенным минусом, часто это помогает нам сконцентрироваться на скоупе, которое мы исследуем во время пентеста.
✅Плюсы багбаунти
– Огромное количество хантеров с различными скиллами. Один из самых больших плюсов багбаунти – это огромная банда хантеров с различными скиллами. Особенно это бывает полезно, если есть что-то специфическое.
– Неограниченное время. Багхантер не ограничен по времени и может хоть месяц ломать то, что захочет.
– Компания платит только за баг, который нашли. Для компаний хороший способ сэкономить.
⛔️Минусы багбаунти
– Ограничения в действиях. Багхантер не может пробить периметр и дальше идти ломать внутрянку. Также, если мы только занимаемся багхантерством, то есть риск, что знания в постэксплуатации будут слабыми.
– Отсутствие дополнительной информации.
– Отсутствие доступа к некоторым сервисам. Тут тоже достаточно все очевидно, у многих ли хантеров юридические лица? Но в то же время и плюс для тех, у кого это есть, например, можно снять все сливки с юридических сервисов, если запарится и сделать себе ИП.
Учитывая все эти факторы получаем идеальную взаимодополняемость обоих способов.
⚡6🔥4👍2
Active Directory глазами Impacket
При аудите Windows-инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным или умолчательным) инструментом, конечно же, является, PowerShell. Но так уж сложилось, что использовать последний из-под Linux – не лучшая практика, с учётом имеющихся для этого open source решений. Будучи написанным на возлюбленном в IT-сообществе Python, Impacket оставляет только положительные эмоции от использования, а также информативные и полезные результаты, а в некоторых случаях позволяет и вовсе окончить аудит, став администратором домена. Целью статьи является показать возможности рассматриваемого программного обеспечения на примере реальной сети под управлением Active Directory, и подсветить наиболее сильные его стороны. Формат статьи – обзор входящих в его состав сценариев с практическими примерами, которые в наименьшей мере заимствуется из аналогичных иностранных публикаций. Статья носит обзорный ознакомительный характер, демонстрируя возможности применения Impacket, и адаптирована особенно для тех, кто в теме информационной безопасности, знаком с Windows Server не понаслышке, и при этом рассматриваемыми скриптами толком ещё не пользовался.
#tools #AD
При аудите Windows-инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным или умолчательным) инструментом, конечно же, является, PowerShell. Но так уж сложилось, что использовать последний из-под Linux – не лучшая практика, с учётом имеющихся для этого open source решений. Будучи написанным на возлюбленном в IT-сообществе Python, Impacket оставляет только положительные эмоции от использования, а также информативные и полезные результаты, а в некоторых случаях позволяет и вовсе окончить аудит, став администратором домена. Целью статьи является показать возможности рассматриваемого программного обеспечения на примере реальной сети под управлением Active Directory, и подсветить наиболее сильные его стороны. Формат статьи – обзор входящих в его состав сценариев с практическими примерами, которые в наименьшей мере заимствуется из аналогичных иностранных публикаций. Статья носит обзорный ознакомительный характер, демонстрируя возможности применения Impacket, и адаптирована особенно для тех, кто в теме информационной безопасности, знаком с Windows Server не понаслышке, и при этом рассматриваемыми скриптами толком ещё не пользовался.
#tools #AD
❤2🔥2🐳1
FVWA (Flask Vulnerable Web Application)
Мой хороший знакомый зарелизил свою лабу для тренировки веб уязвимостей. Поддержим его начинания!
Приложение содержит несколько заданий, в каждом из которых реализован некоторый изъян в безопасности (будь то слабый пароль, SQL-инъекция или XXE). Вы смело можете искать нестандартные пути решения, знакомиться с новыми для себя средствами анализа защищённости веб-приложений, пробовать различные полезные нагрузки и, главное, смотреть исходный код, позволяющий увидеть причину возникновения обнаруженной вами уязвимости.
Мы сделали минималистичную борду для сдачи флагов, а это значит, что вы сможете поделиться своими результатами с другими энтузиастами, обсудить интересные находки или поделиться способом решения)
Так что добро пожаловать в FVWA, лабораторию, где мы стараемся создать возможности для всех, кто хочет и стремится стать лучше в сфере веб-безопасности.
#тренировка
Мой хороший знакомый зарелизил свою лабу для тренировки веб уязвимостей. Поддержим его начинания!
Приложение содержит несколько заданий, в каждом из которых реализован некоторый изъян в безопасности (будь то слабый пароль, SQL-инъекция или XXE). Вы смело можете искать нестандартные пути решения, знакомиться с новыми для себя средствами анализа защищённости веб-приложений, пробовать различные полезные нагрузки и, главное, смотреть исходный код, позволяющий увидеть причину возникновения обнаруженной вами уязвимости.
Мы сделали минималистичную борду для сдачи флагов, а это значит, что вы сможете поделиться своими результатами с другими энтузиастами, обсудить интересные находки или поделиться способом решения)
Так что добро пожаловать в FVWA, лабораторию, где мы стараемся создать возможности для всех, кто хочет и стремится стать лучше в сфере веб-безопасности.
#тренировка
⚡8🆒2👏1🐳1
🔴AtlasReaper
CLI инструмент, разработанный в первую очередь для разведки Confluence и Jira. Он также предоставляет различные возможности, которые могут быть полезны для решения таких задач, как поиск учетных данных и социальная инженерия. Инструмент написан на C#.
Синтаксис инструмента:
- Confluence
—
—
—
—
—
—
—
—
- Jira
—
—
—
—
—
—
—
—
—
#tools #confluence #Jira
CLI инструмент, разработанный в первую очередь для разведки Confluence и Jira. Он также предоставляет различные возможности, которые могут быть полезны для решения таких задач, как поиск учетных данных и социальная инженерия. Инструмент написан на C#.
Синтаксис инструмента:
.\AtlasReaper.exe [command] [subcommand] [options]Функции:
- Confluence
—
confluence attach - Прикрепить файл к странице.—
confluence download - Загрузить вложение.—
confluence embed - Встраивание изображения размером 1x1 пиксель для выполнения фарминга.—
confluence link - Добавить ссылку на страницу.—
confluence listattachments - Вывести список вложений.—
confluence listpages - Вывести список страниц в Confluence.—
confluence listspaces - Перечислить пространства в Confluence.—
confluence search - Поиск в Confluence.- Jira
—
jira addcomment - Добавить комментарий к проблеме.—
jira attach - Прикрепить файл к проблеме.—
jira createissue - Создать новый вопрос.—
jira download - Загрузить вложения из проблемы.—
jira listattachments - Вывести список вложений из вопроса.—
jira listissues - Вывести список проблем в Jira.—
jira listprojects - Список проектов в Jira.—
jira listusers - Список пользователей Atlassian.—
jira searchissues - Поиск проблемам в Jira.#tools #confluence #Jira
❤6
Forwarded from Monkey Hacker
Play with Domain via PassTheCert
Часто для захвата домена используется PKINIT, который позволяет получить
Однако,🎧
PassTheCert позволяет выполнять различные вектора атак
Предоставление пользователю прав
Модификация атрибута
Добавление компьютера в домен, что полезно для выполнения
Сброс пароля учетной записи. Но без прав
Я рассматривал использование данной тулзы в последнем случае
Часто для захвата домена используется PKINIT, который позволяет получить
TGT (или его NT-хэш). Сам же PKINIT представляет из себя механизм для предварительной аутентификации в Kerberos, который использует сертификаты X.509 в аутентификации KDC для клиентов и наоборот (хотя иногда позволяет клиенту получить билет, не выполняя аутентификацию). Однако,
DC не всегда поддерживает PKINIT. Это может быть связано с отсутствием Smart Card Logon. И тут нам уже поможет LDAP, позволяющий аутентифицироваться с помощью клиентского сертификата и выполнять различные действия. Для таких случаев ребята написали тулзу PassTheCert PassTheCert позволяет выполнять различные вектора атак
Предоставление пользователю прав
DCSync Модификация атрибута
msDS-AllowedToActOnBehalfOfOtherIdentity Добавление компьютера в домен, что полезно для выполнения
RBCD-атак. Сброс пароля учетной записи. Но без прав
User-Force-Change-Password это не сработаетЯ рассматривал использование данной тулзы в последнем случае
python3 passthecert.py -dc-ip 10.10.10.X -action modify_user -crt user.crt -key user.key -domain corp.com -target aboba -new-passPlease open Telegram to view this post
VIEW IN TELEGRAM
❤7
🔴Bearer
Иногда на проектах появляется доступ к исходному коду, к примеру при white/grey box или наличии уязвимостей)
В таком случае можно "забекапить" себе проект и уже на своём хосте "поиграть" в appsec. Но вручную проходиться по всему проекту желания нет, тогда на помощь вам придет Bearer.
Данный инструмент является SAST (Static Application Security Testing). Т.е. сканером исходного кода приложения не запуская его. Встроенные правила в сканер покрывают OWASP Top 10 и CWE Top 25.
Установка:
Пример работы
Иногда на проектах появляется доступ к исходному коду, к примеру при white/grey box или наличии уязвимостей)
В таком случае можно "забекапить" себе проект и уже на своём хосте "поиграть" в appsec. Но вручную проходиться по всему проекту желания нет, тогда на помощь вам придет Bearer.
Данный инструмент является SAST (Static Application Security Testing). Т.е. сканером исходного кода приложения не запуская его. Встроенные правила в сканер покрывают OWASP Top 10 и CWE Top 25.
Установка:
curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh
Сканер может работать в двух режимах:bearer scan . --scanner=sast— как обычный SAST (по умолчанию)
bearer scan . --scanner=secrets— проверка распространенных секретных шаблонов, таких как ключи, токены и пароли, с помощью популярной библиотеки Gitleaks
Пример работы
bearer scan juice-shop
#tools #appsec #SAST🆒5❤🔥3⚡1
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Награды ждут своих лучших пентестеров 😎
👍8🔥6🎉3❤🔥1
🔴garak
Сканер уязвимостей для генеративных нейросетей!
Этот инструмент тестирует LLM на различие недостатки цензуры:
1. Утечку данных
2. Prompt injection
3. Дезинформацию
4. Токсичные ответы
5. Jailbreak'и
6 ... и много чего ещё)
Установка:
Сканер уязвимостей для генеративных нейросетей!
Этот инструмент тестирует LLM на различие недостатки цензуры:
1. Утечку данных
2. Prompt injection
3. Дезинформацию
4. Токсичные ответы
5. Jailbreak'и
6 ... и много чего ещё)
Установка:
python -m pip install -U garak
Использование:python3 -m garak <options>#tools #LLM #ChatGPT
export OPENAI_API_KEY="sk-123XXXXXXXXXXXX"
python3 -m garak --model_type openai --model_name gpt-3.5-turbo --probes encoding
python3 -m garak --model_type huggingface --model_name gpt2 --probes dan.Dan_11_0
👍5❤2🔥1🆒1
Кевин Дэвид Митник (06.08.1963 - 16.07.2023).
🫡
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡43❤🔥2
Forwarded from 𝚂𝚚𝚞𝚊𝚍 𝚘𝚏 𝚝𝚑𝚎 𝙲𝚢𝚋𝚎𝚛𝚂𝚌𝚘𝚞𝚝𝚜 💻📲
АНОНС❗️❗️❗️❗️
ЗАВТРА (21.07.23) в 21:00 по Москве у нас СТРИМ!
На очень и очень интересные темы:
Физический пентест и социальная инженерия
Обсуждаемая тема:
1 часть - физический пентест:
- гость представится и расскажет о себе
- самые частые "дыры" в физической инфраструктуре, повторяются ли они?
- интересные инструменты и техники, которые приходится применять
- как OSINT помогает при физическом пентесте?
2 часть - социальная инженерия:
- больше вопрос техники или психологии/смекалки?
- насколько помогает широкий кругозор для проведения атак по СИ?
- примеры самых длинных кампаний по СИ
Почему именно две темы? Да потому что у нас в гостях @r00t_owl - админ этого прекрасного заведения. У него очень интересный и уникальный опыт. В РФ крайне мало тех, кто занимается подобным на таком уровне.
Трансляция будет у нас на базе. Залетаем: https://t.me/BaseOfSquad
ЗАВТРА (21.07.23) в 21:00 по Москве у нас СТРИМ!
На очень и очень интересные темы:
Физический пентест и социальная инженерия
Обсуждаемая тема:
1 часть - физический пентест:
- гость представится и расскажет о себе
- самые частые "дыры" в физической инфраструктуре, повторяются ли они?
- интересные инструменты и техники, которые приходится применять
- как OSINT помогает при физическом пентесте?
2 часть - социальная инженерия:
- больше вопрос техники или психологии/смекалки?
- насколько помогает широкий кругозор для проведения атак по СИ?
- примеры самых длинных кампаний по СИ
Почему именно две темы? Да потому что у нас в гостях @r00t_owl - админ этого прекрасного заведения. У него очень интересный и уникальный опыт. В РФ крайне мало тех, кто занимается подобным на таком уровне.
Трансляция будет у нас на базе. Залетаем: https://t.me/BaseOfSquad
Telegram
q
отбрось разложение и смерть
👍5🌚2
Чебурнет стал на шаг ближе...
P.S. Ростелеком восстановился
P.S. Билайн восстановился (не до конца)
Плановое отключение github.com успешно не случилось
P.S. Ростелеком восстановился
P.S. Билайн восстановился (не до конца)
Плановое отключение github.com успешно не случилось
🫡8
⚠️ Закончился стрим со специалистом по физическому пентесту на канале Squad of the CyberScouts.
Получился очень интересный стрим, было много разных историй из прошлого разведчика и это гораздо более интересный и практичный опыт, чем вы можете услышать в YouTube!)
Спасибо, всем тем, кто учувствовал в организации эфира. Было очень интересно послушать! Ждём остросюжетные фильмы про десант российских хакеров))
📣Обязательно заходите на канал PRO:PENTEST!
🔥Будем ждать от него новых историй проникновений 😏
#эфир #подкаст
Получился очень интересный стрим, было много разных историй из прошлого разведчика и это гораздо более интересный и практичный опыт, чем вы можете услышать в YouTube!)
Спасибо, всем тем, кто учувствовал в организации эфира. Было очень интересно послушать! Ждём остросюжетные фильмы про десант российских хакеров))
📣Обязательно заходите на канал PRO:PENTEST!
🔥Будем ждать от него новых историй проникновений 😏
#эфир #подкаст
❤6👍5🌚3⚡1