#forensics
Форензика кросс-платформенных сервисов: особенности расследований в экосистемах Apple, Google и Microsoft
В наше время, когда пользователи одной ногой сидят в экосистемах Apple, другой — в Google, а третьей — в Microsoft, цифровая форензика превращается в настоящий квест с элементами шпионских триллеров. Особенности распределения и синхронизации данных между устройствами разных типов — смартфонами, ноутбуками, облачными сервисами — создают уникальные вызовы, которые требуют от следователя не просто технических навыков, а железных нервов и стратегического мышления. Давайте разбираться, почему расследования в кросс-платформенных экосистемах — это не просто «копать в одной песочнице», а где зарыты главные подводные камни.
Подробнее: https://timforensics.ru/forenzika-kross-platformennyh-servisov-osobennosti-rassledovanij-v-ekosistemah-apple-google-i-microsoft/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика кросс-платформенных сервисов: особенности расследований в экосистемах Apple, Google и Microsoft
В наше время, когда пользователи одной ногой сидят в экосистемах Apple, другой — в Google, а третьей — в Microsoft, цифровая форензика превращается в настоящий квест с элементами шпионских триллеров. Особенности распределения и синхронизации данных между устройствами разных типов — смартфонами, ноутбуками, облачными сервисами — создают уникальные вызовы, которые требуют от следователя не просто технических навыков, а железных нервов и стратегического мышления. Давайте разбираться, почему расследования в кросс-платформенных экосистемах — это не просто «копать в одной песочнице», а где зарыты главные подводные камни.
Подробнее: https://timforensics.ru/forenzika-kross-platformennyh-servisov-osobennosti-rassledovanij-v-ekosistemah-apple-google-i-microsoft/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Форензика кросс-платформенных сервисов: особенности расследований в экосистемах Apple, Google и Microsoft | Форензика
В наше время, когда пользователи одной ногой сидят в экосистемах Apple, другой — в Google, а третьей — в Microsoft, цифровая форензика превращается в
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#exploit #sql
Слепая SQL-инъекция 2025: выжимаем данные из тишины
🔥 Философия атаки
Слепая инъекция — как ломать сейф в темноте: нет прямого вывода данных, но есть два пути:
1. Тайминг-атаки: SLEEP(5) → если сервер “задумался”, уязвимость есть.
2. Бинарные ответы: IF(SUBSTRING(database(),1,1)=‘a’,123,456) → анализ косвенных признаков (ошибки/редиректы).
Проблема 2025: WAF блокируют явные SLEEP и BENCHMARK. Решение — кастомные задержки через тяжелые SQL-операции.
Подробнее: https://timrobot.ru/slepaya-sql-inekcziya-2025-vyzhimaem-dannye-iz-tishiny/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Слепая SQL-инъекция 2025: выжимаем данные из тишины
🔥 Философия атаки
Слепая инъекция — как ломать сейф в темноте: нет прямого вывода данных, но есть два пути:
1. Тайминг-атаки: SLEEP(5) → если сервер “задумался”, уязвимость есть.
2. Бинарные ответы: IF(SUBSTRING(database(),1,1)=‘a’,123,456) → анализ косвенных признаков (ошибки/редиректы).
Проблема 2025: WAF блокируют явные SLEEP и BENCHMARK. Решение — кастомные задержки через тяжелые SQL-операции.
Подробнее: https://timrobot.ru/slepaya-sql-inekcziya-2025-vyzhimaem-dannye-iz-tishiny/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
Слепая SQL-инъекция 2025: выжимаем данные из тишины - Разработка роботов и эксплойтов
Слепая инъекция — как ломать сейф в темноте: нет прямого вывода данных, но есть два пути: Тайминг-атаки: SLEEP(5) → если сервер "задумался", уязвимость есть. Бинарные ответы: IF(SUBSTRING(database(),1,1)=‘a’,123,456) → анализ косвенных признаков (ошибки/редиректы).…
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#exploit
#xxe
#waf
XXE 2025: Атаки через SVG/PDF и война с WAF
🔥 XXE Evolution: Почему SVG и PDF?
Современные WAF научились детектить классические XML-инъекции. Новые векторы:
- SVG: Все считают картинки безопасными, но парсеры librsvg до сих пор обрабатывают ENTITY
- PDF/XMP: Метаданные в PDF (XMP стандарт) парсятся как XML, даже если основной контент бинарный
Подробнее: https://timrobot.ru/xxe-2025-ataki-cherez-svg-pdf-i-vojna-s-waf/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#xxe
#waf
XXE 2025: Атаки через SVG/PDF и война с WAF
🔥 XXE Evolution: Почему SVG и PDF?
Современные WAF научились детектить классические XML-инъекции. Новые векторы:
- SVG: Все считают картинки безопасными, но парсеры librsvg до сих пор обрабатывают ENTITY
- PDF/XMP: Метаданные в PDF (XMP стандарт) парсятся как XML, даже если основной контент бинарный
Подробнее: https://timrobot.ru/xxe-2025-ataki-cherez-svg-pdf-i-vojna-s-waf/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
XXE 2025: Атаки через SVG/PDF и война с WAF - Разработка роботов и эксплойтов
Современные WAF научились детектить классические XML-инъекции.
#bug_bounty
#pentest
#penetration_testing
Сравнение Bug Bounty и классического тестирования на проникновение (Penetration Testing)
В условиях растущей киберугрозы компании стремятся укрепить безопасность своих систем. Два популярных подхода — Bug Bounty и классическое тестирование на проникновение (Penetration Testing) — часто вызывают дискуссии о том, какой из них эффективнее. Разберемся в их особенностях, преимуществах и недостатках.
Ссылка на видео: https://rutube.ru/video/1d1686f3380b7e2e134021bf232afe44/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#pentest
#penetration_testing
Сравнение Bug Bounty и классического тестирования на проникновение (Penetration Testing)
В условиях растущей киберугрозы компании стремятся укрепить безопасность своих систем. Два популярных подхода — Bug Bounty и классическое тестирование на проникновение (Penetration Testing) — часто вызывают дискуссии о том, какой из них эффективнее. Разберемся в их особенностях, преимуществах и недостатках.
Ссылка на видео: https://rutube.ru/video/1d1686f3380b7e2e134021bf232afe44/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
RUTUBE
Сравнение Bug Bounty и классического тестирования на проникновение (Penetration Tesiting)
В условиях растущей киберугрозы компании стремятся укрепить безопасность своих систем. Два популярных подхода — Bug Bounty и классическое тестирование на проникновение (Penetration Testing) — часто вызывают дискуссии о том, какой из них эффективнее. Разберемся…
#blog
#hacking
Почти завершил написание данной книги. Она будет бесплатная.
Книга подойдет как новичкам в Rust, так и опытным хакерам, желающим освоить современный язык для своих задач.
Вот содержание:
Содержание книги "Хакинг на Rust"
Введение
• Почему Rust? Преимущества языка для кибербезопасности.
• Безопасность, скорость и контроль: как Rust меняет подход к хакингу.
• Цели книги и структура.
Часть 1: Основы Rust для хакеров
1. Знакомство с Rust
Установка и настройка среды (Rustup, Cargo).
Hello, World! Первые шаги в коде.
Особенности синтаксиса: макросы, шаблоны, перечисления.
2. Система владения (Ownership)
Правила владения и заимствования.
Управление памятью без сборщика мусора.
Как это предотвращает уязвимости (например, use-after-free).
3. Типы данных и структуры
Примитивы, строки, коллекции.
Структуры, перечисления и паттерн-матчинг.
Обработка ошибок: Result и Option.
4. Низкоуровневое программирование
Работа с указателями и сырыми данными (unsafe).
Взаимодействие с памятью: стек vs. куча.
FFI: интеграция с C-библиотеками.
Часть 2: Инструменты хакера на Rust
5. Создание эксплойтов
Буферные переполнения и их обход в Rust.
Пример: эксплуатация уязвимостей через unsafe.
Инструменты для анализа бинарников (например, gdb + Rust).
6. Сетевые атаки
Написание сетевых сканеров и снифферов.
Работа с сокетами: TCP/UDP, raw sockets.
Пример: ARP-спуфинг на Rust.
7. Фаззинг и тестирование на устойчивость
Инструменты: cargo-fuzz, afl.rs.
Генерация тестовых данных для обнаружения уязвимостей.
Анализ крашей и отладка.
8. Криптоанализ и безопасность
Реализация и взлом алгоритмов шифрования.
Атаки на слабые генераторы случайных чисел.
Пример: подбор ключей с использованием многопоточности.
Часть 3: Продвинутые темы
9. Обход защиты
Антидебаггинг-техники в Rust.
Обфускация кода и скрытие сигнатур.
Работа с DEP и ASLR.
10. Интеграция с другими языками
Расширение Python-скриптов через Rust (PyO3).
Встраивание Rust в C/C++ проекты.
Пример: ускорение фаззера написанного на Python.
11. Создание инструментов для пентеста
Сканеры уязвимостей (SQLi, XSS).
Автоматизация атак с помощью Cargo.
Пример: brute-force атака на API.
Часть 4: Безопасность кода на Rust
12. Пишем безопасный код
Избегание уязвимостей: целочисленные переполнения, гонки данных.
Статический анализ: clippy, rust-analyzer.
Формальная верификация с помощью Kani.
13. Этический хакинг и Rust
Руководство по ответственному раскрытию уязвимостей.
Использование Rust в CTF-соревнованиях.
Кейсы: как Rust помог в реальных аудитах безопасности.
Заключение
Будущее Rust в кибербезопасности.
Советы по дальнейшему развитию.
Призыв к ответственному использованию знаний.
Книга подойдет как новичкам в Rust, так и опытным хакерам, желающим освоить современный язык для своих задач.
#hacking
Почти завершил написание данной книги. Она будет бесплатная.
Книга подойдет как новичкам в Rust, так и опытным хакерам, желающим освоить современный язык для своих задач.
Вот содержание:
Содержание книги "Хакинг на Rust"
Введение
• Почему Rust? Преимущества языка для кибербезопасности.
• Безопасность, скорость и контроль: как Rust меняет подход к хакингу.
• Цели книги и структура.
Часть 1: Основы Rust для хакеров
1. Знакомство с Rust
Установка и настройка среды (Rustup, Cargo).
Hello, World! Первые шаги в коде.
Особенности синтаксиса: макросы, шаблоны, перечисления.
2. Система владения (Ownership)
Правила владения и заимствования.
Управление памятью без сборщика мусора.
Как это предотвращает уязвимости (например, use-after-free).
3. Типы данных и структуры
Примитивы, строки, коллекции.
Структуры, перечисления и паттерн-матчинг.
Обработка ошибок: Result и Option.
4. Низкоуровневое программирование
Работа с указателями и сырыми данными (unsafe).
Взаимодействие с памятью: стек vs. куча.
FFI: интеграция с C-библиотеками.
Часть 2: Инструменты хакера на Rust
5. Создание эксплойтов
Буферные переполнения и их обход в Rust.
Пример: эксплуатация уязвимостей через unsafe.
Инструменты для анализа бинарников (например, gdb + Rust).
6. Сетевые атаки
Написание сетевых сканеров и снифферов.
Работа с сокетами: TCP/UDP, raw sockets.
Пример: ARP-спуфинг на Rust.
7. Фаззинг и тестирование на устойчивость
Инструменты: cargo-fuzz, afl.rs.
Генерация тестовых данных для обнаружения уязвимостей.
Анализ крашей и отладка.
8. Криптоанализ и безопасность
Реализация и взлом алгоритмов шифрования.
Атаки на слабые генераторы случайных чисел.
Пример: подбор ключей с использованием многопоточности.
Часть 3: Продвинутые темы
9. Обход защиты
Антидебаггинг-техники в Rust.
Обфускация кода и скрытие сигнатур.
Работа с DEP и ASLR.
10. Интеграция с другими языками
Расширение Python-скриптов через Rust (PyO3).
Встраивание Rust в C/C++ проекты.
Пример: ускорение фаззера написанного на Python.
11. Создание инструментов для пентеста
Сканеры уязвимостей (SQLi, XSS).
Автоматизация атак с помощью Cargo.
Пример: brute-force атака на API.
Часть 4: Безопасность кода на Rust
12. Пишем безопасный код
Избегание уязвимостей: целочисленные переполнения, гонки данных.
Статический анализ: clippy, rust-analyzer.
Формальная верификация с помощью Kani.
13. Этический хакинг и Rust
Руководство по ответственному раскрытию уязвимостей.
Использование Rust в CTF-соревнованиях.
Кейсы: как Rust помог в реальных аудитах безопасности.
Заключение
Будущее Rust в кибербезопасности.
Советы по дальнейшему развитию.
Призыв к ответственному использованию знаний.
Книга подойдет как новичкам в Rust, так и опытным хакерам, желающим освоить современный язык для своих задач.
Здравствуйте, дорогие друзья.
Предоставляю возможность предзаказа моей новой электронной книги: «Пентест из Подвала: от Recon до Shell».
Цена: 900 руб.
В этом сборнике ты не найдёшь сухой теории или шаблонных советов для новичков. Здесь — живой опыт тысяч часов, проведённых за клавиатурами и терминалами, в борьбе с корпоративными защитами и закалёнными WAF’ами. Эта книга — твой личный гид в мир пентестинга с реальной прокачкой: от бесшумной разведки до хардкорного обхода защит и заливки шеллов.
Почему стоит читать?
- Честно и по-братски: без воды и фильтров — только рабочие техники, реальные кейсы и продвинутые payload’ы.
- От пассива к атаке: научишься видеть цели издалека, не выстреливая, и точно попадать туда, где больно.
- Обход защит и удержание: как проскочить мимо EDR, WAF и не нарваться на детект.
- Социальная инженерия и физический доступ: вспомним, что человек — самое слабое звено.
- Отчёт и этика: как не стать мудаком в хакерском мире и при этом делать деньги.
Книга построена как серия огненных уроков из подвала, где главное — не просто взломать, а понять, как работает система изнутри. Здесь есть и быстрое попадание в цель, и долгие ночи разбора логов, и веселые истории из первых рук. Всё с шутками, трюками, скилловой матчастью и капелькой подвала.
Если ты хочешь перестать быть жертвой, а стать охотником — бери эту книгу и включайся в бой. Время перестать читать — пора ломать.
«Пентест из Подвала: от Recon до Shell»
Содержание
Вступление
- Почему пентест из подвала — это круто и реально
- Кто мы такие, и зачем взламывать (RedTeam vs. BlackHat vs. Script Kiddies)
- Краткий обзор инструментария и привычек, которые делают тебя охотником, а не жертвой
Часть 1: Recon — разведка, или как найти все дыры, не влезая в систему
- Passive vs Active: примеры запросов, шоудан, та же гуглодорки, и как со всем этим работать
- Поддомены, IP, сервисы, открытые порты — всё, что светит
- Полезные скрипты и команды
Часть 2: Поиск уязвимостей — здесь начинается игра
- Обзор эксплойтов, как искать, фильтровать и автоматизировать
- SQLi, RCE: payload’ы, обход WAF
- Интеграция BurpSuite, настройка Proxies, Intruder, Scanner
Часть 3: Эксплуатация — момент истины
- Заливка шеллов, webshell vs reverse shell
- Примеры качающихся шеллов (bash, python, php)
- Эскалация привилегий — локальные эксплойты (CVE, линукс и винда)
Часть 4: Удержание и сокрытие — учимся оставаться незаметным
- Обход AV/EDR, скрытие шеллов
- Запуск через PowerShell, WMI, PSExec
- Финальный ребут — как не сдать концы раньше времени
Итог и полезные советы
- Как собрать отчет, чтобы не только заказчик, но и ты был доволен
- Этическая сторона вопросов — пентест с головой
- Куда копать дальше (Active Directory, IoT, социнженерия)
Цена по предзаказу: 900 рублей.
Для оформления предзаказа, пишите по контакту: @timcore1
Предоставляю возможность предзаказа моей новой электронной книги: «Пентест из Подвала: от Recon до Shell».
Цена: 900 руб.
В этом сборнике ты не найдёшь сухой теории или шаблонных советов для новичков. Здесь — живой опыт тысяч часов, проведённых за клавиатурами и терминалами, в борьбе с корпоративными защитами и закалёнными WAF’ами. Эта книга — твой личный гид в мир пентестинга с реальной прокачкой: от бесшумной разведки до хардкорного обхода защит и заливки шеллов.
Почему стоит читать?
- Честно и по-братски: без воды и фильтров — только рабочие техники, реальные кейсы и продвинутые payload’ы.
- От пассива к атаке: научишься видеть цели издалека, не выстреливая, и точно попадать туда, где больно.
- Обход защит и удержание: как проскочить мимо EDR, WAF и не нарваться на детект.
- Социальная инженерия и физический доступ: вспомним, что человек — самое слабое звено.
- Отчёт и этика: как не стать мудаком в хакерском мире и при этом делать деньги.
Книга построена как серия огненных уроков из подвала, где главное — не просто взломать, а понять, как работает система изнутри. Здесь есть и быстрое попадание в цель, и долгие ночи разбора логов, и веселые истории из первых рук. Всё с шутками, трюками, скилловой матчастью и капелькой подвала.
Если ты хочешь перестать быть жертвой, а стать охотником — бери эту книгу и включайся в бой. Время перестать читать — пора ломать.
«Пентест из Подвала: от Recon до Shell»
Содержание
Вступление
- Почему пентест из подвала — это круто и реально
- Кто мы такие, и зачем взламывать (RedTeam vs. BlackHat vs. Script Kiddies)
- Краткий обзор инструментария и привычек, которые делают тебя охотником, а не жертвой
Часть 1: Recon — разведка, или как найти все дыры, не влезая в систему
- Passive vs Active: примеры запросов, шоудан, та же гуглодорки, и как со всем этим работать
- Поддомены, IP, сервисы, открытые порты — всё, что светит
- Полезные скрипты и команды
Часть 2: Поиск уязвимостей — здесь начинается игра
- Обзор эксплойтов, как искать, фильтровать и автоматизировать
- SQLi, RCE: payload’ы, обход WAF
- Интеграция BurpSuite, настройка Proxies, Intruder, Scanner
Часть 3: Эксплуатация — момент истины
- Заливка шеллов, webshell vs reverse shell
- Примеры качающихся шеллов (bash, python, php)
- Эскалация привилегий — локальные эксплойты (CVE, линукс и винда)
Часть 4: Удержание и сокрытие — учимся оставаться незаметным
- Обход AV/EDR, скрытие шеллов
- Запуск через PowerShell, WMI, PSExec
- Финальный ребут — как не сдать концы раньше времени
Итог и полезные советы
- Как собрать отчет, чтобы не только заказчик, но и ты был доволен
- Этическая сторона вопросов — пентест с головой
- Куда копать дальше (Active Directory, IoT, социнженерия)
Цена по предзаказу: 900 рублей.
Для оформления предзаказа, пишите по контакту: @timcore1
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#ssrf
SSRF на внутренних банковских апи: как слить бабки через curl
Что вижу:
Банковский API с /v1/transaction, который принимает callback_url. В ответе — статус 200, но в теле Internal Server Error, когда кидаешь http://localhost. Пахнет SSRF-ом, как залежалый макчак в подвале.
Подробнее: https://timcourse.ru/ssrf-na-vnutrennih-bankovskih-api-kak-slit-babki-cherez-curl/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#ssrf
SSRF на внутренних банковских апи: как слить бабки через curl
Что вижу:
Банковский API с /v1/transaction, который принимает callback_url. В ответе — статус 200, но в теле Internal Server Error, когда кидаешь http://localhost. Пахнет SSRF-ом, как залежалый макчак в подвале.
Подробнее: https://timcourse.ru/ssrf-na-vnutrennih-bankovskih-api-kak-slit-babki-cherez-curl/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
SSRF на внутренних банковских апи: как слить бабки через curl — Авторские курсы Михаила Тарасова
Точка входа Что вижу: Банковский API с /v1/transaction, который принимает callback_url. В ответе — статус 200, но в теле Internal Server Error, когда кидаешь http://localhost. Пахнет SSRF-ом, как залежалый макчак в подвале. Как поймал: — Инструмент: ffuf…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#rce
RCE через upload SVG: как превратить картинку в шелл. Греби бабло на Баг-Баунти
Что вижу:
Форма загрузки аватарки принимает SVG. После аплоада — подозрительная задержка в 5 секунд. В логах светится libxml2 + convert (это ImageMagick, бро). Пахнет удалённым выполнением кода через декодирование SVG.
Подробнее: https://timcourse.ru/rce-cherez-upload-svg-kak-prevratit-kartinku-v-shell-grebi-bablo-na-bag-baunti/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#rce
RCE через upload SVG: как превратить картинку в шелл. Греби бабло на Баг-Баунти
Что вижу:
Форма загрузки аватарки принимает SVG. После аплоада — подозрительная задержка в 5 секунд. В логах светится libxml2 + convert (это ImageMagick, бро). Пахнет удалённым выполнением кода через декодирование SVG.
Подробнее: https://timcourse.ru/rce-cherez-upload-svg-kak-prevratit-kartinku-v-shell-grebi-bablo-na-bag-baunti/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
RCE через upload SVG: как превратить картинку в шелл. Греби бабло на Баг-Баунти — Авторские курсы Михаила Тарасова
Форма загрузки аватарки принимает SVG. После аплоада — подозрительная задержка в 5 секунд. В логах светится libxml2 + convert (это ImageMagick, бро). Пахнет удалённым выполнением кода через декодирование SVG.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#xxe
XXE через нестандартные MIME: как взломать API через «левый» content-type
Что вижу:
API принимает данные с Content-Type: application/xml+quotes, но парсит как XML. В ответе на <root>&foo;</root> → ошибка «Entity ‘foo’ not defined». Пахнет внедрением сущностей, как тухлый сыр в холодильнике пентестера.
Подробнее: https://timcourse.ru/xxe-cherez-nestandartnye-mime-kak-vzlomat-api-cherez-levyj-content-type/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#xxe
XXE через нестандартные MIME: как взломать API через «левый» content-type
Что вижу:
API принимает данные с Content-Type: application/xml+quotes, но парсит как XML. В ответе на <root>&foo;</root> → ошибка «Entity ‘foo’ not defined». Пахнет внедрением сущностей, как тухлый сыр в холодильнике пентестера.
Подробнее: https://timcourse.ru/xxe-cherez-nestandartnye-mime-kak-vzlomat-api-cherez-levyj-content-type/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
XXE через нестандартные MIME: как взломать API через «левый» content-type — Авторские курсы Михаила Тарасова
API принимает данные с Content-Type: application/xml+quotes, но парсит как XML. В ответе на &foo; → ошибка «Entity 'foo' not defined». Пахнет внедрением сущностей, как тухлый сыр в холодильнике пентестера.
#ai
#blog
Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач
Компания Anthropic объявила о выпуске двух новых моделей в серии Claude 4: Claude Opus 4 и Claude Sonnet 4 . Презентация состоялась 22 мая 2025 года на первой конференции разработчиков «Code with Claude». Эти модели позиционируются как прорыв в области искусственного интеллекта, особенно для задач кодирования и многоэтапного мышления.
Подробнее: https://timneuro.ru/anthropic-predstavila-claude-4-sonnet-i-opus-novye-modeli-dlya-kodirovaniya-i-slozhnyh-zadach/
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
#blog
Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач
Компания Anthropic объявила о выпуске двух новых моделей в серии Claude 4: Claude Opus 4 и Claude Sonnet 4 . Презентация состоялась 22 мая 2025 года на первой конференции разработчиков «Code with Claude». Эти модели позиционируются как прорыв в области искусственного интеллекта, особенно для задач кодирования и многоэтапного мышления.
Подробнее: https://timneuro.ru/anthropic-predstavila-claude-4-sonnet-i-opus-novye-modeli-dlya-kodirovaniya-i-slozhnyh-zadach/
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Нейро Мастер
Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач — Нейро Мастер
Главная / Блог / Anthropic представила Claude 4 Sonnet и Opus — новые модели для кодирования и сложных задач Anthropic представила Claude 4 Sonnet и
#fingerprinting
#anonymity
Глобальный фингерпринтинг: как вас ловят по 10 разным метаданным
Здравствуйте, дорогие друзья.
Точка входа: Браузерный фингерпринт. Canvas, WebGL, User-Agent, Timezone, Fonts — ха-ха, «я просто Firefox обновил», а уже слил уникальный паттерн.
Подробнее: https://timcore.ru/2025/05/23/globalnyj-fingerprinting-kak-vas-lovjat-po-10-raznym-metadannym/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#anonymity
Глобальный фингерпринтинг: как вас ловят по 10 разным метаданным
Здравствуйте, дорогие друзья.
Точка входа: Браузерный фингерпринт. Canvas, WebGL, User-Agent, Timezone, Fonts — ха-ха, «я просто Firefox обновил», а уже слил уникальный паттерн.
Подробнее: https://timcore.ru/2025/05/23/globalnyj-fingerprinting-kak-vas-lovjat-po-10-raznym-metadannym/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Глобальный фингерпринтинг: как вас ловят по 10 разным метаданным - Этичный хакинг с Михаилом Тарасовым (Timcore)
Браузерный фингерпринтCanvas, WebGL, User-Agent, Timezone, Fonts — ха-ха, «я просто Firefox обновил», а уже слил уникальный паттерн.
#telegram
#anonymity
Telegram: анонимен ли ты, если торчишь в «секретных чатах»? Раскопки MTProto
Эй, бро, если ты думаешь, что «секретные чаты» в Telegram — это твой цифровой бункер, то садись поудобнее. Я — твой параноидальный братишка, который видит слежку даже в смайликах. Сегодня копаем под Telegram и его MTProto, чтобы понять, насколько ты невидим, а насколько уже в логах у АНБ. Погнали.
Подробнее: https://timcore.ru/2025/05/23/telegram-anonimen-li-ty-esli-torchish-v-sekretnyh-chatah-raskopki-mtproto/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#anonymity
Telegram: анонимен ли ты, если торчишь в «секретных чатах»? Раскопки MTProto
Эй, бро, если ты думаешь, что «секретные чаты» в Telegram — это твой цифровой бункер, то садись поудобнее. Я — твой параноидальный братишка, который видит слежку даже в смайликах. Сегодня копаем под Telegram и его MTProto, чтобы понять, насколько ты невидим, а насколько уже в логах у АНБ. Погнали.
Подробнее: https://timcore.ru/2025/05/23/telegram-anonimen-li-ty-esli-torchish-v-sekretnyh-chatah-raskopki-mtproto/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Telegram: анонимен ли ты, если торчишь в «секретных чатах»? Раскопки MTProto - Этичный хакинг с Михаилом Тарасовым (Timcore)
Эй, бро, если ты думаешь, что «секретные чаты» в Telegram — это твой цифровой бункер, то садись поудобнее. Я — твой параноидальный братишка, который видит слежку даже в смайликах. Сегодня копаем под Telegram и его MTProto, чтобы понять, насколько ты невидим…
#pentester
#bug_hunter
Кем быть сложнее пентестером, либо багхантером
Определить, что сложнее — быть пентестером или багхантером, зависит от множества факторов, включая ваши личные навыки, интересы и контекст работы.
Смотреть видеоролик: https://rutube.ru/video/4fd827e6a20fa28c9d1ea7f66bc4bf3b/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunter
Кем быть сложнее пентестером, либо багхантером
Определить, что сложнее — быть пентестером или багхантером, зависит от множества факторов, включая ваши личные навыки, интересы и контекст работы.
Смотреть видеоролик: https://rutube.ru/video/4fd827e6a20fa28c9d1ea7f66bc4bf3b/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
RUTUBE
Кем быть сложнее пентестером, либо багхантером
Определить, что сложнее — быть пентестером или багхантером, зависит от множества факторов, включая ваши личные навыки, интересы и контекст работы.
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/…
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/…
#bug_bounty
#bug_hunter
Российские площадки для БагХантеров: где белым шляпам делать деньги в 2025
Братан, помнишь времена, когда единственный способ поживиться с багов был через приватные программы да самопальные каналы? Теперь в России полноценная экосистема выросла — три мощные платформы работают, плюс самописные программы у отдельных контор. После 2022 года, когда HackerOne нас кинул, пришлось строить свое. И знаешь что? Получилось неплохо. Выплаты реальные — от копеек до миллионов, компании топовые участвуют, а главное — все легально, без риска статьи 272 УК.
Подробнее: https://timcore.ru/2025/05/23/rossijskie-ploshhadki-dlja-baghanterov-gde-belym-shljapam-delat-dengi-v-2025/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunter
Российские площадки для БагХантеров: где белым шляпам делать деньги в 2025
Братан, помнишь времена, когда единственный способ поживиться с багов был через приватные программы да самопальные каналы? Теперь в России полноценная экосистема выросла — три мощные платформы работают, плюс самописные программы у отдельных контор. После 2022 года, когда HackerOne нас кинул, пришлось строить свое. И знаешь что? Получилось неплохо. Выплаты реальные — от копеек до миллионов, компании топовые участвуют, а главное — все легально, без риска статьи 272 УК.
Подробнее: https://timcore.ru/2025/05/23/rossijskie-ploshhadki-dlja-baghanterov-gde-belym-shljapam-delat-dengi-v-2025/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
Российские площадки для БагХантеров: где белым шляпам делать деньги в 2025 - Этичный хакинг с Михаилом Тарасовым (Timcore)
Братан, помнишь времена, когда единственный способ поживиться с багов был через приватные программы да самопальные каналы? Теперь в России полноценная экосистема выросла — три мощные платформы работают, плюс самописные программы у отдельных контор. После…
#anonymity
#whatsapp
WhatsApp под рентгеном: приватность или иллюзия?
Бро, раз уж мы с тобой в этом цифровом подполье, давай вскроем WhatsApp как консервную банку и посмотрим, что там за кишки в плане анонимности и приватности. Я — твой параноидальный кореш, и вот как я это вижу…
Подробнее: https://timcore.ru/2025/05/23/whatsapp-pod-rentgenom-privatnost-ili-illjuzija/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
WhatsApp под рентгеном: приватность или иллюзия?
Бро, раз уж мы с тобой в этом цифровом подполье, давай вскроем WhatsApp как консервную банку и посмотрим, что там за кишки в плане анонимности и приватности. Я — твой параноидальный кореш, и вот как я это вижу…
Подробнее: https://timcore.ru/2025/05/23/whatsapp-pod-rentgenom-privatnost-ili-illjuzija/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
WhatsApp под рентгеном: приватность или иллюзия? - Этичный хакинг с Михаилом Тарасовым (Timcore)
Бро, раз уж мы с тобой в этом цифровом подполье, давай вскроем WhatsApp как консервную банку и посмотрим, что там за кишки в плане анонимности и приватности. Я — твой параноидальный кореш, и вот как я это вижу...
#forensics
Жуткие следы: как восстановить удалённые файлы, которые точно не должны были всплыть
Вот тебе шок-контент: кнопка «Удалить» — это не вердикт, а жалкая попытка спрятать грязное бельё под кровать. Пока кто-то засылает файлы в корзину и облегчённо выдыхает, форензик-спец уже натирает руки и готовится к настоящей охоте.
Подробнее: https://timforensics.ru/zhutkie-sledy-kak-vosstanovit-udalyonnye-fajly-kotorye-tochno-ne-dolzhny-byli-vsplyt/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Жуткие следы: как восстановить удалённые файлы, которые точно не должны были всплыть
Вот тебе шок-контент: кнопка «Удалить» — это не вердикт, а жалкая попытка спрятать грязное бельё под кровать. Пока кто-то засылает файлы в корзину и облегчённо выдыхает, форензик-спец уже натирает руки и готовится к настоящей охоте.
Подробнее: https://timforensics.ru/zhutkie-sledy-kak-vosstanovit-udalyonnye-fajly-kotorye-tochno-ne-dolzhny-byli-vsplyt/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Жуткие следы: как восстановить удалённые файлы, которые точно не должны были всплыть | Форензика
Вступление: Смерть файла — миф Вот тебе шок-контент: кнопка «Удалить» — это не вердикт, а жалкая попытка спрятать грязное бельё под кровать. Пока кто-то
#humor
Почему CVE — это как бывшая? Потому что ты думаешь, что закрыл все дыры, а потом бац — новый эксплойт на GitHub, и ты снова в деле с патчами до утра! Хех, классика, как WAF на коленке.
Почему CVE — это как бывшая? Потому что ты думаешь, что закрыл все дыры, а потом бац — новый эксплойт на GitHub, и ты снова в деле с патчами до утра! Хех, классика, как WAF на коленке.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Mass Assignment в GraphQL: как сломать API через жирный JSON
GraphQL-эндпоинт на /graphql принимает мутации вроде updateUser(input: {name: "bro"}). Кидаешь в input лишние поля — isAdmin: true, а сервер молча хавает и возвращает 200 OK. Пахнет Mass Assignment, как старый бургер под диваном в подвале.
Подробнее: https://timcourse.ru/mass-assignment-v-graphql-kak-slomat-api-cherez-zhirnyj-json/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Mass Assignment в GraphQL: как сломать API через жирный JSON
GraphQL-эндпоинт на /graphql принимает мутации вроде updateUser(input: {name: "bro"}). Кидаешь в input лишние поля — isAdmin: true, а сервер молча хавает и возвращает 200 OK. Пахнет Mass Assignment, как старый бургер под диваном в подвале.
Подробнее: https://timcourse.ru/mass-assignment-v-graphql-kak-slomat-api-cherez-zhirnyj-json/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Mass Assignment в GraphQL: как сломать API через жирный JSON — Авторские курсы Михаила Тарасова
GraphQL-эндпоинт на /graphql принимает мутации вроде updateUser(input: {name: "bro"}). Кидаешь в input лишние поля — isAdmin: true, а сервер молча хавает и возвращает 200 OK. Пахнет Mass Assignment, как старый бургер под диваном в подвале. Как поймал: — …
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Bypass CORS через Wildcard: как сломать браузерную защиту через звёздочку
API на api.target.com отвечает заголовком Access-Control-Allow-Origin: *. Вместе с этим светится Access-Control-Allow-Credentials: true. Пахнет обходом CORS, как дешёвое пиво на хакерской тусовке.
Подробнее: https://timcourse.ru/bypass-cors-cherez-wildcard-kak-slomat-brauzernuyu-zashhitu-cherez-zvyozdochku/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Bypass CORS через Wildcard: как сломать браузерную защиту через звёздочку
API на api.target.com отвечает заголовком Access-Control-Allow-Origin: *. Вместе с этим светится Access-Control-Allow-Credentials: true. Пахнет обходом CORS, как дешёвое пиво на хакерской тусовке.
Подробнее: https://timcourse.ru/bypass-cors-cherez-wildcard-kak-slomat-brauzernuyu-zashhitu-cherez-zvyozdochku/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Bypass CORS через Wildcard: как сломать браузерную защиту через звёздочку — Авторские курсы Михаила Тарасова
API на api.target.com отвечает заголовком Access-Control-Allow-Origin: *. Вместе с этим светится Access-Control-Allow-Credentials: true. Пахнет обходом CORS, как дешёвое пиво на хакерской тусовке.
#blog
Итак, господа, предзаказ на мою новую книгу: «Пентест из Подвала от Recon до Shell» завершился.
По объему вышла 121 страница текста с кодом, и командами.
К сожалению, кто не успел предзаказать, для тех цена составляет 1500 рублей.
Поверьте - эта книга стоит Вашего внимания.
P.S. Спасибо ребятам, которые делали предзаказ. Вы ускорили выход книги в два раза по времени. :)
Итак, господа, предзаказ на мою новую книгу: «Пентест из Подвала от Recon до Shell» завершился.
По объему вышла 121 страница текста с кодом, и командами.
К сожалению, кто не успел предзаказать, для тех цена составляет 1500 рублей.
Поверьте - эта книга стоит Вашего внимания.
P.S. Спасибо ребятам, которые делали предзаказ. Вы ускорили выход книги в два раза по времени. :)