#hackthebox
#hacking
#htb

HackTheBox Late

https://www.youtube.com/watch?v=3s_eVc6KyM8

#ceh
#viruses
#worms

#14 Руководство по подготовке сертифицированного этичного хакера (CEH). Вирусы и черви.

Здравствуйте, дорогие друзья.

Хотя и вирусы, и черви являются вредоносными программами, которые могут вызывать повреждение компьютера, важно знать различия между ними. По мере продолжения этого раздела, основное внимание будет уделяться внимательному рассмотрению вируса против червя.


Подробнее: https://timcore.ru/2022/08/07/14-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-virusy-i-chervi/

#news
#bug_bounty

Студент нашел баг в закрытой бете Cloudflare Email Routing

Датский студент Альберт Педерсен (Albert Pedersen) смог проникнуть в закрытую бету Cloudflare Email Routing (без приглашения) и обнаружил уязвимость, которую злоумышленники могли использовать для захвата и кражи чужой электронной почты. В итоге Педерсен получил 6000 долларов от Cloudflare через программу bug bounty.

Источник: https://xakep.ru/2022/08/05/cloudflare-email-routing/

#ethical_hacking
#hacking

Видеокурс — «Этический взлом».

Курс ориентирован как для начинающих этичных хакеров, так и для более опытных специалистов.

В курсе мы рассмотрим инструменты для начинающего пентестера, и пройдемся по основным векторам атак на системы. Также взглянем и попрактикуемся с уязвимостями веб-приложения DVWA, и познакомимся с SQL-инъекциями.
Завершающим этапом будет участие в CTF-соревнованиях на начальном и среднем уровне.

Подробнее: https://timcore.ru/2022/08/07/videokurs-jeticheskij-vzlom/

#kali_linux
#kali
#hacking

Видеокурс — «Kali Linux для начинающих».

Вы хотите научиться взламывать системы с помощью Kali Linux, но Вы не знаете с чего начать? Вас пугает командная строка и Вы не знаете, что с ней делать? Если да, то этот курс отлично Вам подойдет. Мы начнем с самых азов и постепенно будем учиться пользоваться Kali Linux. В итоге Вы будете «как рыба в воде» при работе не только в Kali Linux, но и при работе с большинством Linux систем.

Требования:
Базовое понимание того, что такое IP-адреса, NAT, клиент, сервер и т.д.
Базовое понимание того, что из себя представляет этичный взлом. Что такое сканирование портов, сканирование на наличие уязвимостей и т.д.
Желание стать этичным хакером и готовность учиться и добиваться успехов.

Подробнее: https://timcore.ru/2022/08/07/videokurs-kali-linux-dlja-nachinajushhih/

А тем временем в паблике вк: https://vk.com/hacker_timcore нас уже 17000 подписчиков!
Спасибо всем за то, что выбираете мой небольшой проект!

#books
#ruby

Название: «Путь Ruby. Третье издание».
Автор: Хэл Фултон, Андрэ Арко
Год: 2016

Уже больше десяти лет программисты на Ruby обращаются к данной книге как к надежному источнику сведений о том, как эффективно писать на этом языке. А теперь Хэл Фултон и Андрэ Арко изрядно обновили этот классический труд, включив описание новых средств языка и инструментов.

Новое издание охватывает версию Ruby 2.1 и содержит более 400 примеров, отвечающих на вопрос «Как это делается в Ruby?». Все примеры сопровождаются подробным описанием задачи и технических ограничений. Затем дается пошаговое объяснение одного хорошего решения с детальными комментариями, позволяющими лучше усвоить материал.

Третье издание удобно организовано по темам, так что стало еще проще найти ответ на свой вопрос и писать более качественный код в согласии с духом и философией Ruby.

Скачать.

#news

Роскомнадзор заблокировал Patreon и Grammarly

В минувшие выходные реестр запрещенных сайтов пополнили платформа Patreon, где авторы творческих произведений могут распространять свои работы по платной подписке и предоставлять подписчикам дополнительный контент, а также онлайн-платформа Grammarly, созданная для помощи при общении на английском языке.

Источник: https://xakep.ru/2022/08/08/patreon-grammarly-block/

#ceh
#viruses

#15 Руководство по подготовке сертифицированного этичного хакера (CEH). Какие вирусы атакуют? Как вирусы заражают?

Другой способ классификации вирусов основан на том, что они заражают. А общей целью является загрузочный сектор, то есть область на диске, которая выполняется при запуске компьютера.

Программные вирусы заражают исполняемые файлы программ или файлы с расширением .exe, .com или .sys, например. Многокомпонентные вирусы заражают программные файлы, которые, в свою очередь, влияют на загрузочный сектор. Сетевые вирусы используют команды и протоколы компьютерной сети для репликации.

Вирусы с исходным кодом более необычны из-за навыков, необходимых для их написания, и существует множество типов исходного кода. Макровирусы выполняют последовательность действий при запуске приложения.

Подробнее: https://timcore.ru/2022/08/09/15-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-kakie-virusy-atakujut-kak-virusy-zarazhajut/

#news

Разработчики криптовалютного моста Nomad просят хакеров вернуть деньги

На прошлой неделе хакеры похитили у криптовалютного моста Nomad почти 200 000 000 долларов из-за ошибки в смарт-контракте. Теперь разработчики просят злоумышленников вернуть не менее 90% украденного, и тогда хакеры смогут оставить себе оставшиеся 10% в качестве bug bounty награды и считать себя white hat’ами.

Источник: https://xakep.ru/2022/08/08/nomad-hack-bounty/

#ethical_hacker
#hacking
#bug_hunter

The Characteristics of a Hacker

https://www.youtube.com/watch?v=SXlqZwpKTAE

#ceh
#sniffer
#sniffing

#16 Руководство по подготовке сертифицированного этичного хакера (CEH). Снифферы.

Здравствуйте, дорогие друзья.

В этом разделе Вы узнаете о сниффинге, и о том, как используется эта техника. Вы получите представление о протоколах, которые могут быть уязвимы для сниффинга, и как обнаруживать типы атак сниффинга. В этом разделе Вы также познакомитесь с мерами противодействия сниффингу. Вы также узнаете о разных видах социальной инженерии, плюс контрмеры по защите пользователей от нападения.

Подробнее: https://timcore.ru/2022/08/10/16-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-sniffery/

#kali_linux
#kali

Релиз Kali Linux 2022.3 (Discord и тестовая лаборатория).

В свете «Hacker Summer Camp 2022» (BlackHat USA, BSides LV и DEFCON), который проходит прямо сейчас, мы хотели выпустить Kali Linux 2022.3 в качестве приятного сюрприза для всех! С публикацией этого сообщения в блоге у нас есть ссылки для загрузки, готовые для немедленного доступа, или вы можете обновить любую существующую установку.

Подробнее: https://timcore.ru/2022/08/10/reliz-kali-linux-2022-3-discord-i-testovaja-laboratorija/

#books
#pytnon

Название: Python. Полное руководство.
Автор: Кольцов Д. М.
Год: 2022

Эта книга поможет вам освоить язык программирования Python
практически с нуля, поэтапно, от простого к сложному. Первая часть
книги посвящена базовым основам языка: переменные и типы данных,
операторы, циклы и условные операторы, математические функции,
кортежи, множества и словари, итераторы и генераторы, модули и
пакеты, а также многое другое.

Во второй части книги перейдем к более сложным вещам
в программирование, объектно-ориентированное Python:
метапрограммирование, многопоточность и масштабирование.
Отдельное внимание будет уделено документированию своего
проекта в Python, контролю и оптимизации кода.

Теоретическая часть книги сопровождается практическими примерами, позволяющими на
практике осваивать полученные теоретические знания.
Книга будет полезна как начинающим, так и тем, кто хочет улучшить
свои навыки программирования на Python.

Скачать.

#bug_bounty
#standoff

Bug Bounty от VK уже на The Standoff 365

VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.

Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:

▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).

⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).

Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk

#ceh
#social_engineering

#17 Руководство по подготовке сертифицированного этичного хакера (CEH). Социальная инженерия.

Здравствуйте, дорогие друзья.

Злоумышленник часто копирует веб-сайт жертвы и использует его позже, когда выполняет целевые фишинговые атаки. Если человек заходит на один и тот же сайт каждый день, этот пользователь с меньшей вероятностью внимательно изучит URL-адрес. Wget — это один из инструментов, который можно использовать для копирования веб-сайта

Подробнее: https://timcore.ru/2022/08/11/17-rukovodstvo-po-podgotovke-sertificirovannogo-jetichnogo-hakera-ceh-socialnaja-inzhenerija/

#books
#bug_bounty

Name: Bug Bounty Bootcamp. The Guide to Finding and Reporting
Web Vulnerabilities
Author: Vickie Li
Year: 2021

Bug Bounty Bootcamp teaches you how to hack web applications. You will learn how to perform reconnaissance on a target, how to identify vulnerabilities, and how to exploit them. You'll also learn how to navigate bug bounty programs set up by companies to reward security professionals for finding bugs in their web applications.

Bug bounty programs are company-sponsored programs that invite researchers to search for vulnerabilities on their applications and reward them for their findings. This book is designed to help beginners with little to no security experience learn web hacking, find bugs, and stay competitive in this booming and lucrative industry.

Скачать.

#news
#darknet

Новые маркетплейсы в даркнете якобы связаны с мексиканскими картелями

Аналитики из компании DarkOwl обратили внимание, что в даркнете появилось сразу несколько новых маркетплейсов, которые якобы работают под эгидой известных мексиканских картелей. На таких сайтах торгуют наркотиками, предлагают услуги киллеров и утверждают, что ресурсы поддерживают «опытные» игроки из соответствующих областей.

Источник: https://xakep.ru/2022/08/11/darknet-cartel-marketplaces/

#news

Исследователь взломал терминал Starlink с помощью самодельной платы за 25 долларов

Эксперт из Левенского католического университета Леннерт Воутерс (Lennert Wouters) рассказал, что ему удалось скомпрометировать терминал Starlink с помощью мод-чипа стоимостью всего 25 долларов. На конференции Black Hat 2022 Воутерс сообщил, что намерен сделать этот инструмент доступным для копирования.

Источник: https://xakep.ru/2022/08/12/starlink-attack/

#hackthebox
#htb
#hacking

HackTheBox - Phoenix

01:00 - Start of nmap
02:22 - Taking a look at the SSL Certificates and website to find blog/forum
04:57 - Running WPScan, explaining why i like aggressive scanning
09:00 - Finding public vulnerability in Asgaros Forms (Blind Time Based SQLi)
10:45 - Running SQLMap to confirm the injection
21:00 - Examining the Wordpress Database structure, so we can run SQLMap to dump very specific things
25:20 - Cracking wordpress credentials to find out we can't use any because of MFA
30:10 - Using our SQL Injection to dump a list of activated plugins in wordpress
32:00 - Finding an exploit in the Download From Files plugin, converting it to ignore SSL Validation Errors
35:45 - Uploading a malicious phtml (php) file to get a shell on the box
41:00 - Examining how MFA is enabled on SSH/SU by looking at PAM files
42:10 - Discovering the 10.11.12.13 network can bypass MFA, which our host is on.
45:10 - Using find to show files created between two dates
48:20 - Discovering backups are created in /backups and explaining why we cannot view other users processes (hidepid)
48:50 - Looking in the */local/bin directories to discover an obfuscated shell script (sh.x)
51:30 - Running the script and then examining the /proc/pid directory to find the shell script unobfuscated in the cmdline
52:50 - Explaining wildcard injection
56:00 - Exploiting the wildcard injection in rsync
57:30 - Showing how we could of used the SQL Injection to leak all the secrets in the MFA Plugin and generate our own codes
59:10 - Looking at the MiniOrange MFA Source Code, the uninstall.php shows a lot of good information
1:03:45 - Showing how to do a "pretty print" or format output better in a MySQL Command (using \G instead of ;)
1:06:45 - Failing to generate a QR Code that we can use google authenticator to login with
1:12:44 - Going back to the source code to find another way to generate MFA Codes
1:15:45 - Fixing our generator script to decrypt the secret which we can paste to oauthtool and get a MFA Code

https://www.youtube.com/watch?v=Zngo-QzZYtw