#news
#botnet
Обновленный ботнет RapperBot проводит DDoS-атаки на игровые серверы
Исследователи предупредили, что активность Mirai-ботнета RapperBot возобновилась. Теперь обновленный вредонос используется для DDoS-атак на игровые серверы, хотя точные цели ботнета неизвестны.
Источник: https://xakep.ru/2022/11/17/rapperbot/
#botnet
Обновленный ботнет RapperBot проводит DDoS-атаки на игровые серверы
Исследователи предупредили, что активность Mirai-ботнета RapperBot возобновилась. Теперь обновленный вредонос используется для DDoS-атак на игровые серверы, хотя точные цели ботнета неизвестны.
Источник: https://xakep.ru/2022/11/17/rapperbot/
XAKEP
Обновленный ботнет RapperBot проводит DDoS-атаки на игровые серверы
Исследователи предупредили, что активность Mirai-ботнета RapperBot возобновилась. Теперь обновленный вредонос используется для DDoS-атак на игровые серверы, хотя точные цели ботнета неизвестны.
#news
В Швейцарии арестован предполагаемый лидер Zeus
Правоохранители сообщили, что в прошлом месяце в Женеве был арестован 40-летний гражданин Украины Вячеслав Игоревич Пенчуков, также известный в сети под ником Tank. Его считают одним из лидеров хак-группы JabberZeus, которая стояла за созданием широко известного банковского трояна Zeus.
Источник: https://xakep.ru/2022/11/17/tank-arrested/
В Швейцарии арестован предполагаемый лидер Zeus
Правоохранители сообщили, что в прошлом месяце в Женеве был арестован 40-летний гражданин Украины Вячеслав Игоревич Пенчуков, также известный в сети под ником Tank. Его считают одним из лидеров хак-группы JabberZeus, которая стояла за созданием широко известного банковского трояна Zeus.
Источник: https://xakep.ru/2022/11/17/tank-arrested/
XAKEP
В Швейцарии арестован предполагаемый лидер Zeus
Правоохранители сообщили, что в прошлом месяце в Женеве был арестован 40-летний гражданин Украины Вячеслав Игоревич Пенчуков, также известный в сети под ником Tank. Его считают одним из лидеров хак-группы JabberZeus, которая стояла за созданием широко известного…
#php
#programming
Основы php с нуля.
1. Основы php. Введение в php. Типы данных числовые, строковые, логические.
2. Основы php. Типы данных массивы, объекты, ресурсы.
3. Основы php. Математические операторы, приоритет операторов.
4. Основы php. Строки конкатенация кавычки.
5. Основы php. Формат heredoc выполнение консольных команд в коде.
6. Основы php. Динамическая типизация явное и неявное приведение типов.
7. Основы php. Условный оператор IF, тернарный оператор.
8. Основы php. Оператор switch.
9. Основы php. Циклы for, while, do while.
10. Основы php. Цикл foreach.
11. Основы php. Функции
12. Основы php. Функции область видимости переменных, анонимные функции
13. Основы php. Функции передача переменных по ссылке
14. Основы php. Передача функции по ссылке
15. Основы php. Замыкания, callback функции
16. Основы php. Суперглобальные массивы GET, POST, FILES, REQUEST
17. Основы php. COOKIE
18. Основы php. Суперглобальные массивы $_SESSION, $_SERVER
19. Основы php. Строковые функции
20. Основы php. Регулярные выражения. Часть 1
21. Основы php. Регулярные выражения. Часть 2
22. Основы php. Регулярные выражения. Примеры использования
23. Основы php. Функции работы с файлами часть 1
24. Основы php. Функции работы с файлами часть 2
#programming
Основы php с нуля.
1. Основы php. Введение в php. Типы данных числовые, строковые, логические.
2. Основы php. Типы данных массивы, объекты, ресурсы.
3. Основы php. Математические операторы, приоритет операторов.
4. Основы php. Строки конкатенация кавычки.
5. Основы php. Формат heredoc выполнение консольных команд в коде.
6. Основы php. Динамическая типизация явное и неявное приведение типов.
7. Основы php. Условный оператор IF, тернарный оператор.
8. Основы php. Оператор switch.
9. Основы php. Циклы for, while, do while.
10. Основы php. Цикл foreach.
11. Основы php. Функции
12. Основы php. Функции область видимости переменных, анонимные функции
13. Основы php. Функции передача переменных по ссылке
14. Основы php. Передача функции по ссылке
15. Основы php. Замыкания, callback функции
16. Основы php. Суперглобальные массивы GET, POST, FILES, REQUEST
17. Основы php. COOKIE
18. Основы php. Суперглобальные массивы $_SESSION, $_SERVER
19. Основы php. Строковые функции
20. Основы php. Регулярные выражения. Часть 1
21. Основы php. Регулярные выражения. Часть 2
22. Основы php. Регулярные выражения. Примеры использования
23. Основы php. Функции работы с файлами часть 1
24. Основы php. Функции работы с файлами часть 2
YouTube
Основы php Введение в php. Типы данных числовые, строковые, логические
В данном видео мы с вами познакомимся с тем что такое язык php, а так же начнем изучать такое понятие как переменные и типы данных. Онлайн обучение от Web c 0 до профи:
https://web-q.site/services/web-s-0-do-profi-globalniy-praktikum/
Разработка сайта…
https://web-q.site/services/web-s-0-do-profi-globalniy-praktikum/
Разработка сайта…
#cracking_passwords
#john_the_ripper
#3 Взлом паролей Линукс, при помощи John the Rippper.
Здравствуйте, дорогие друзья.
В этой статье, я покажу Вам, как взламывать пароли с помощью перебора. Мы погрузимся в John the Ripper, который, вероятно, является наиболее широко используемым инструментом для взлома паролей. John the Ripper разработан, чтобы быть одновременно многофункциональным и быстрым. Он сочетает в себе несколько параметров взлома, и поддерживает множество протоколов хеширования. В расширенных версиях сообщества добавлена поддержка хешей Windows iNTLM, MacOS или хэшей sha-256 или 512 с солью.
Подробнее: https://timcore.ru/2022/11/22/3-vzlom-parolej-linuks-pri-pomoshhi-john-the-rippper/
#john_the_ripper
#3 Взлом паролей Линукс, при помощи John the Rippper.
Здравствуйте, дорогие друзья.
В этой статье, я покажу Вам, как взламывать пароли с помощью перебора. Мы погрузимся в John the Ripper, который, вероятно, является наиболее широко используемым инструментом для взлома паролей. John the Ripper разработан, чтобы быть одновременно многофункциональным и быстрым. Он сочетает в себе несколько параметров взлома, и поддерживает множество протоколов хеширования. В расширенных версиях сообщества добавлена поддержка хешей Windows iNTLM, MacOS или хэшей sha-256 или 512 с солью.
Подробнее: https://timcore.ru/2022/11/22/3-vzlom-parolej-linuks-pri-pomoshhi-john-the-rippper/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#3 Взлом паролей Линукс, при помощи John the Rippper. - Этичный хакинг с Михаилом Тарасовым (Timcore)
В этой статье, я покажу Вам, как взламывать пароли с помощью перебора. Мы погрузимся в John the Ripper, который, вероятно, является наиболее широко используемым инструментом для взлома паролей. John the Ripper разработан, чтобы быть одновременно многофункциональным…
#bug_bounty
#1 Bug Bounty — Руководство по поиску веб-уязвимостей и сообщениям о них. Введение.
Здравствуйте, дорогие друзья.
Я до сих пор помню, как впервые нашел критическую уязвимость. У меня уже было обнаружение нескольких незначительных ошибок в приложении.
Я тестировал CSRF, IDOR, и несколько утечек информации. В конце концов мне удалось связать их с полным захватом любой учетной записи на сайте: я мог входить от имени кого угодно, читать чьи-либо данные, и изменять их, как мне хотелось. Мгновенно я почувствовал, что обладаю сверхспособностями на сайте.
Я сообщил о проблеме в компанию, которая оперативно устранила уязвимость. Хакеры, вероятно, больше всего похожи на супергероев, которых я встречал в реальном мире
Подробнее: https://timcore.ru/2022/11/23/1-bug-bounty-rukovodstvo-po-poisku-veb-ujazvimostej-i-soobshhenijam-o-nih-vvedenie/
#1 Bug Bounty — Руководство по поиску веб-уязвимостей и сообщениям о них. Введение.
Здравствуйте, дорогие друзья.
Я до сих пор помню, как впервые нашел критическую уязвимость. У меня уже было обнаружение нескольких незначительных ошибок в приложении.
Я тестировал CSRF, IDOR, и несколько утечек информации. В конце концов мне удалось связать их с полным захватом любой учетной записи на сайте: я мог входить от имени кого угодно, читать чьи-либо данные, и изменять их, как мне хотелось. Мгновенно я почувствовал, что обладаю сверхспособностями на сайте.
Я сообщил о проблеме в компанию, которая оперативно устранила уязвимость. Хакеры, вероятно, больше всего похожи на супергероев, которых я встречал в реальном мире
Подробнее: https://timcore.ru/2022/11/23/1-bug-bounty-rukovodstvo-po-poisku-veb-ujazvimostej-i-soobshhenijam-o-nih-vvedenie/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#1 Bug Bounty - Руководство по поиску веб-уязвимостей и сообщениям о них. Введение. - Этичный хакинг с Михаилом Тарасовым (Timcore)
Я до сих пор помню, как впервые нашел критическую уязвимость. У меня уже было обнаружение нескольких незначительных ошибок в приложении.
#news
#exploit
Опубликован эксплоит для уязвимостей ProxyNotShell
Эксперты предупреждают, что в открытом доступе появился эксплоит для двух нашумевших уязвимостей в Microsoft Exchange, которые носят общее название ProxyNotShell. Уязвимости использовались хакерами и ранее, но теперь атак может стать больше.
Источник: https://xakep.ru/2022/11/22/proxynotshell-poc/
#exploit
Опубликован эксплоит для уязвимостей ProxyNotShell
Эксперты предупреждают, что в открытом доступе появился эксплоит для двух нашумевших уязвимостей в Microsoft Exchange, которые носят общее название ProxyNotShell. Уязвимости использовались хакерами и ранее, но теперь атак может стать больше.
Источник: https://xakep.ru/2022/11/22/proxynotshell-poc/
XAKEP
Опубликован эксплоит для уязвимостей ProxyNotShell
Эксперты предупреждают, что в открытом доступе появился эксплоит для двух нашумевших уязвимостей в Microsoft Exchange, которые носят общее название ProxyNotShell. Уязвимости использовались хакерами и ранее, но теперь атак может стать больше.
Черная Пятница наступила!!!
24-х месячный Курс - Специалист по информационной безопасности с нуля
Стоимость - 110 000 ₽ - Скидка -45%
Возможна оплата по месяцам без переплаты 4 583 ₽/мес на 24 месяца.
Программа курса разработана совместно с Group‑IB
Подробная информация по ссылке: https://go.redav.online/23f184a5bbb93c60
24-х месячный Курс - Специалист по информационной безопасности с нуля
Стоимость - 110 000 ₽ - Скидка -45%
Возможна оплата по месяцам без переплаты 4 583 ₽/мес на 24 месяца.
Программа курса разработана совместно с Group‑IB
Подробная информация по ссылке: https://go.redav.online/23f184a5bbb93c60
#bug_bounty
#2 Bug Bounty. Выбор программы Bug Bounty.
Здравствуйте, дорогие друзья.
Программы Bug Bounty: все ли они такие же? Поиск подходящей программы для цели — это первый шаг к тому, чтобы стать успешным багхантером. Появилось много программ в течение последних нескольких лет, и трудно понять какие из них обеспечат лучшее денежное вознаграждение, опыт, возможность обучения.
Программа Bug Bounty — это инициатива, в рамках которой компания приглашает хакеров атаковать ее продукты и услуги. Но как выбрать программу?
Подробнее: https://timcore.ru/2022/11/24/2-bug-bounty-vybor-programmy-bug-bounty/
#2 Bug Bounty. Выбор программы Bug Bounty.
Здравствуйте, дорогие друзья.
Программы Bug Bounty: все ли они такие же? Поиск подходящей программы для цели — это первый шаг к тому, чтобы стать успешным багхантером. Появилось много программ в течение последних нескольких лет, и трудно понять какие из них обеспечат лучшее денежное вознаграждение, опыт, возможность обучения.
Программа Bug Bounty — это инициатива, в рамках которой компания приглашает хакеров атаковать ее продукты и услуги. Но как выбрать программу?
Подробнее: https://timcore.ru/2022/11/24/2-bug-bounty-vybor-programmy-bug-bounty/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#2 Bug Bounty. Выбор программы Bug Bounty. - Этичный хакинг с Михаилом Тарасовым (Timcore)
Программы Bug Bounty: все ли они такие же? Поиск подходящей программы для цели - это первый шаг к тому, чтобы стать успешным багхантером. Появилось много программ в течение последних нескольких лет, и трудно понять какие из них обеспечат лучшее денежное вознаграждение…
#pentest
"...Рабочий процесс оценки уязвимостей
Серверная часть веб-приложений построена с помощью разных языков программирования. Самые популярные из них — Java, C# .NET (Framework/Core) и PHP. На стороне клиента (фронтенд) вы столкнетесь с различными фреймворками JavaScript, такими как Angular, React и т.д. Кроме того, фронтенд будет использовать CSS для создания стиля внешнего вида веб-страниц.
Как специалист по безопасности вы должны знать основы уязвимостей веб-приложений. Кроме того, вы должны научиться в совершенстве создавать веб-приложения (лучше всего научиться на практике). Вы не можете просто использовать сканеры и отправлять отчеты без проверки. Чтобы профессионально подтвердить наличие уязвимости, вы должны разбираться в разработке веб-приложений. Вначале вы можете просто выбрать один язык программирования для серверной части (например, C# .NET Core) и один фреймворк JavaScript для клиентской (например, Angular)..."
"Kali Linux - Библия пентестера".
"...Рабочий процесс оценки уязвимостей
Серверная часть веб-приложений построена с помощью разных языков программирования. Самые популярные из них — Java, C# .NET (Framework/Core) и PHP. На стороне клиента (фронтенд) вы столкнетесь с различными фреймворками JavaScript, такими как Angular, React и т.д. Кроме того, фронтенд будет использовать CSS для создания стиля внешнего вида веб-страниц.
Как специалист по безопасности вы должны знать основы уязвимостей веб-приложений. Кроме того, вы должны научиться в совершенстве создавать веб-приложения (лучше всего научиться на практике). Вы не можете просто использовать сканеры и отправлять отчеты без проверки. Чтобы профессионально подтвердить наличие уязвимости, вы должны разбираться в разработке веб-приложений. Вначале вы можете просто выбрать один язык программирования для серверной части (например, C# .NET Core) и один фреймворк JavaScript для клиентской (например, Angular)..."
"Kali Linux - Библия пентестера".
#bug_bounty
#3 Bug Bounty. Типы активов в Bug Bounty.
Здравствуйте, дорогие друзья.
В контексте программы вознаграждения за обнаружение ошибок активом является приложение, веб-сайт, или продукт, который Вы можете взломать. Существуют различные типы активов, каждый из которых имеет свои особенности, требования, плюсы и минусы. После рассмотрения этих различий, Вы должны выбрать программу с активами, которые играют на Вашей сильной стороне, основанные на Вашем наборе навыков, уровне опыта и предпочтениях.
Подробнее: https://timcore.ru/2022/11/25/3-bug-bounty-tipy-aktivov-v-bug-bounty/
#3 Bug Bounty. Типы активов в Bug Bounty.
Здравствуйте, дорогие друзья.
В контексте программы вознаграждения за обнаружение ошибок активом является приложение, веб-сайт, или продукт, который Вы можете взломать. Существуют различные типы активов, каждый из которых имеет свои особенности, требования, плюсы и минусы. После рассмотрения этих различий, Вы должны выбрать программу с активами, которые играют на Вашей сильной стороне, основанные на Вашем наборе навыков, уровне опыта и предпочтениях.
Подробнее: https://timcore.ru/2022/11/25/3-bug-bounty-tipy-aktivov-v-bug-bounty/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#3 Bug Bounty. Типы активов в Bug Bounty. - Этичный хакинг с Михаилом Тарасовым (Timcore)
В контексте программы вознаграждения за обнаружение ошибок активом является приложение, веб-сайт, или продукт, который Вы можете взломать. Существуют различные типы активов, каждый из которых имеет свои особенности, требования, плюсы и минусы. После рассмотрения…
#books
#cloud
#ccsp
Name: CCSP Certified Cloud Security Professional Exam Guide - Third Edition
Author: Daniel Carter
Year: 2022
• This fully updated self-study guide delivers 100% coverage of all topics on the current version of the CCSP exam.
• Includes access to 300 practice questions in the TotalTester™ Online customizable test engine.
• Written by an IT security expert and experienced author
Скачать.
#cloud
#ccsp
Name: CCSP Certified Cloud Security Professional Exam Guide - Third Edition
Author: Daniel Carter
Year: 2022
• This fully updated self-study guide delivers 100% coverage of all topics on the current version of the CCSP exam.
• Includes access to 300 practice questions in the TotalTester™ Online customizable test engine.
• Written by an IT security expert and experienced author
Скачать.
#pentest
«...Недавно мне передали отчет о тестировании на проникновение, подготовленный сторонней компанией. Она наняла нескольких консультантов для пентеста одного из недавно развернутых веб-приложений в рабочей среде. Отчет был скопирован и вставлен из отчета другого сканера безопасности (например, Burp Suite, Nessus и т. д.) и полон неверно оцененных критичностей уязвимостей.
Я рассказываю вам эту историю потому, что если вы лучший пентестер в мире и не умеете составлять отчет, то все ваши усилия будут напрасными. Отчет формирует вашу репутацию и показывает уровень вашего профессионализма...»
«Kali Linux: Библия пентестера»
«...Недавно мне передали отчет о тестировании на проникновение, подготовленный сторонней компанией. Она наняла нескольких консультантов для пентеста одного из недавно развернутых веб-приложений в рабочей среде. Отчет был скопирован и вставлен из отчета другого сканера безопасности (например, Burp Suite, Nessus и т. д.) и полон неверно оцененных критичностей уязвимостей.
Я рассказываю вам эту историю потому, что если вы лучший пентестер в мире и не умеете составлять отчет, то все ваши усилия будут напрасными. Отчет формирует вашу репутацию и показывает уровень вашего профессионализма...»
«Kali Linux: Библия пентестера»
#news
Расширение для Chrome ворует пароли и криптовалюту
Windows-малварь, предназначенная для кражи криптовалюты и содержимого буфера обмена, устанавливает на машины пользователей вредоносное расширение VenomSoftX. Расширение работает как RAT (троян удаленного доступа), ворует данные жертв и криптовалюту.
Источник: https://xakep.ru/2022/11/23/venomsoftx/
Расширение для Chrome ворует пароли и криптовалюту
Windows-малварь, предназначенная для кражи криптовалюты и содержимого буфера обмена, устанавливает на машины пользователей вредоносное расширение VenomSoftX. Расширение работает как RAT (троян удаленного доступа), ворует данные жертв и криптовалюту.
Источник: https://xakep.ru/2022/11/23/venomsoftx/
XAKEP
Расширение для Chrome ворует пароли и криптовалюту
Windows-малварь, предназначенная для кражи криптовалюты и содержимого буфера обмена, устанавливает на машины пользователей вредоносное расширение VenomSoftX. Расширение работает как RAT (троян удаленного доступа), ворует данные жертв и криптовалюту.
#news
ЦБ: за квартал мошенники похитили с банковских счетов россиян почти 4 млрд рублей
Специалисты Банк России сообщают, что в третьем квартале 2022 года мошенникам удалось украсть со счетов россиян рекордную сумму — около 4 млрд рублей. При этом банки сумели вернуть минимальную долю похищенных средств — всего 3,4%.
Источник: https://xakep.ru/2022/11/25/cb-statistic/
ЦБ: за квартал мошенники похитили с банковских счетов россиян почти 4 млрд рублей
Специалисты Банк России сообщают, что в третьем квартале 2022 года мошенникам удалось украсть со счетов россиян рекордную сумму — около 4 млрд рублей. При этом банки сумели вернуть минимальную долю похищенных средств — всего 3,4%.
Источник: https://xakep.ru/2022/11/25/cb-statistic/
XAKEP
ЦБ: за квартал мошенники похитили с банковских счетов россиян почти 4 млрд рублей
Специалисты Банк России сообщают, что в третьем квартале 2022 года мошенникам удалось украсть со счетов россиян рекордную сумму — около 4 млрд рублей. При этом банки сумели вернуть минимальную долю похищенных средств — всего 3,4%.
#books
#ceh
Name: CEH™ Certified Ethical Hacker Practice Exams Fifth Edition
Author: Matt Walker
Year: 2022
Don’t Let the Real Test Be Your First Test!
Fully updated for the CEH v11 exam objectives, this practical guide contains more than 550 realistic practice exam questions to prepare you for the EC-Council’s Certified Ethical Hacker exam. To aid in your understanding of the material, in-depth explanations of both the correct and incorrect answers are provided for every question. Designed to help you pass the exam, this is the perfect companion to CEH™ Certified Ethical Hacker All-in-One Exam Guide, Fifth Edition.
Covers all exam topics, including:
Ethical hacking fundamentals
Reconnaissance and footprinting
Scanning and enumeration
Sniffing and evasion
Attacking a system
Hacking web servers and applications
Wireless network hacking
Mobile, IoT, and OT
Security in cloud computing
Trojans and other attacks, including malware analysis
Скачать.
#ceh
Name: CEH™ Certified Ethical Hacker Practice Exams Fifth Edition
Author: Matt Walker
Year: 2022
Don’t Let the Real Test Be Your First Test!
Fully updated for the CEH v11 exam objectives, this practical guide contains more than 550 realistic practice exam questions to prepare you for the EC-Council’s Certified Ethical Hacker exam. To aid in your understanding of the material, in-depth explanations of both the correct and incorrect answers are provided for every question. Designed to help you pass the exam, this is the perfect companion to CEH™ Certified Ethical Hacker All-in-One Exam Guide, Fifth Edition.
Covers all exam topics, including:
Ethical hacking fundamentals
Reconnaissance and footprinting
Scanning and enumeration
Sniffing and evasion
Attacking a system
Hacking web servers and applications
Wireless network hacking
Mobile, IoT, and OT
Security in cloud computing
Trojans and other attacks, including malware analysis
Скачать.
#hacking
#hackthebox
#htb
HackTheBox - OpenSource - Attacking a Python WebApp and Backdooring GIT Configurations
00:00 - Intro
01:18 - Start of nmap
02:50 - Identifying a Docker exists based upon the Python Version in NMAP + SSH Version [MasterRecon]
04:23 - Navigating to the website downloading the source code available, there is a git folder switching branches
08:00 - Discovering a vulnerability in the os.path.join command, if we prefix our path with a slash it will overwrite the entire path
11:25 - Attempting to upload a malicious cron, docker isn't running cron so it doesn't work
14:37 - Adding a new route to the application to execute commands
18:00 - Able to run commands and get the output
19:30 - Creating an endpoint to send reverse shells in the webapp
21:45 - Reverse shell returned
24:30 - Looking at port 3000 which was previously filtered. Looks like its a Gitea interface but we don't have creds
27:10 - Uploading Chisel and tunneling to access the website
29:20 - Looking at old git commits from the source code and finding credentials
33:30 - Downloading a SSH Private Key from the Gitea website
35:50 - Using find to search files modified around the time the SSH Key was uploaded to the box in order to see what else happened [Forensics]
36:40 - Showing how to remove lines from the less view &!
39:30 - Checking if Git-Sync is executed with the watch command
40:10 - Finding out git executes every minute, setting a pre-commit hook to get root
43:50 - Showing the FSMonitor command in the gitconfig which is another way to execute code, this will run on many other git commands like git status where pre-commit would not
https://www.youtube.com/watch?v=z6nJNr8AFTU
#hackthebox
#htb
HackTheBox - OpenSource - Attacking a Python WebApp and Backdooring GIT Configurations
00:00 - Intro
01:18 - Start of nmap
02:50 - Identifying a Docker exists based upon the Python Version in NMAP + SSH Version [MasterRecon]
04:23 - Navigating to the website downloading the source code available, there is a git folder switching branches
08:00 - Discovering a vulnerability in the os.path.join command, if we prefix our path with a slash it will overwrite the entire path
11:25 - Attempting to upload a malicious cron, docker isn't running cron so it doesn't work
14:37 - Adding a new route to the application to execute commands
18:00 - Able to run commands and get the output
19:30 - Creating an endpoint to send reverse shells in the webapp
21:45 - Reverse shell returned
24:30 - Looking at port 3000 which was previously filtered. Looks like its a Gitea interface but we don't have creds
27:10 - Uploading Chisel and tunneling to access the website
29:20 - Looking at old git commits from the source code and finding credentials
33:30 - Downloading a SSH Private Key from the Gitea website
35:50 - Using find to search files modified around the time the SSH Key was uploaded to the box in order to see what else happened [Forensics]
36:40 - Showing how to remove lines from the less view &!
39:30 - Checking if Git-Sync is executed with the watch command
40:10 - Finding out git executes every minute, setting a pre-commit hook to get root
43:50 - Showing the FSMonitor command in the gitconfig which is another way to execute code, this will run on many other git commands like git status where pre-commit would not
https://www.youtube.com/watch?v=z6nJNr8AFTU
YouTube
HackTheBox - OpenSource
00:00 - Intro
01:18 - Start of nmap
02:50 - Identifying a Docker exists based upon the Python Version in NMAP + SSH Version [MasterRecon]
04:23 - Navigating to the website downloading the source code available, there is a git folder switching branches
08:00…
01:18 - Start of nmap
02:50 - Identifying a Docker exists based upon the Python Version in NMAP + SSH Version [MasterRecon]
04:23 - Navigating to the website downloading the source code available, there is a git folder switching branches
08:00…
#kali_linux
#social_engineering
#43 Kali Linux для продвинутого тестирования на проникновение. The Social Engineering Toolkit (SET). Социально-инженерные атаки.
Здравствуйте, дорогие друзья.
В последней версии инструментария Social Engineering Toolkit, удалены поддельные SMS и полноэкранный режим. Ниже приводится краткое описание атак социальной инженерии. Вектор целевой фишинговой атаки позволяет злоумышленнику создавать сообщения электронной почты и отправлять их для целевых жертв, с прикрепленными эксплойтами.
Подробнее: https://timcore.ru/2022/11/28/43-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-the-social-engineering-toolkit-set-socialno-inzhenernye-ataki/
#social_engineering
#43 Kali Linux для продвинутого тестирования на проникновение. The Social Engineering Toolkit (SET). Социально-инженерные атаки.
Здравствуйте, дорогие друзья.
В последней версии инструментария Social Engineering Toolkit, удалены поддельные SMS и полноэкранный режим. Ниже приводится краткое описание атак социальной инженерии. Вектор целевой фишинговой атаки позволяет злоумышленнику создавать сообщения электронной почты и отправлять их для целевых жертв, с прикрепленными эксплойтами.
Подробнее: https://timcore.ru/2022/11/28/43-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-the-social-engineering-toolkit-set-socialno-inzhenernye-ataki/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#43 Kali Linux для продвинутого тестирования на проникновение. The Social Engineering Toolkit (SET). Социально-инженерные атаки.…
В последней версии инструментария Social Engineering Toolkit, удалены поддельные SMS и полноэкранный режим. Ниже приводится краткое описание атак социальной инженерии. Вектор целевой фишинговой атаки позволяет злоумышленнику создавать сообщения электронной…
#news
#darknet
В даркнете набирает популярность услуга по проведению трансграничных платежей
По данным СМИ, финансовые услуги в даркнете развиваются из-за санкций. В частности, в даркнете возросло число предложений по созданию платежного шлюза для расчетов иностранных потребителей с российскими контрагентами за предоставленные ими товары и услуги.
Источник: https://xakep.ru/2022/11/25/darknet-sanctions/
#darknet
В даркнете набирает популярность услуга по проведению трансграничных платежей
По данным СМИ, финансовые услуги в даркнете развиваются из-за санкций. В частности, в даркнете возросло число предложений по созданию платежного шлюза для расчетов иностранных потребителей с российскими контрагентами за предоставленные ими товары и услуги.
Источник: https://xakep.ru/2022/11/25/darknet-sanctions/
XAKEP
В даркнете набирает популярность услуга по проведению трансграничных платежей
По данным СМИ, финансовые услуги в даркнете развиваются из-за санкций. В частности, в даркнете возросло число предложений по созданию платежного шлюза для расчетов иностранных потребителей с российскими контрагентами за предоставленные ими товары и услуги.
#news
Самым распространенным паролем все еще является «password»
Годы идут, а некоторые вещи не меняются. Команда менеджера паролей NordPass подготовила ежегодную статистику, проанализировав самые используемые и слабые пароли 2022 года. Изучив более 3 ТБ данных, предоставленных независимыми ИБ-экспертами, в NordPass установили, что «password» — это по-прежнему самый популярный пароль.
Источник: https://xakep.ru/2022/11/28/passwords-2022/
Самым распространенным паролем все еще является «password»
Годы идут, а некоторые вещи не меняются. Команда менеджера паролей NordPass подготовила ежегодную статистику, проанализировав самые используемые и слабые пароли 2022 года. Изучив более 3 ТБ данных, предоставленных независимыми ИБ-экспертами, в NordPass установили, что «password» — это по-прежнему самый популярный пароль.
Источник: https://xakep.ru/2022/11/28/passwords-2022/
XAKEP
Самым распространенным паролем все еще является «password»
Годы идут, а некоторые вещи не меняются. Команда менеджера паролей NordPass подготовила ежегодную статистику, проанализировав самые используемые и слабые пароли 2022 года. Изучив более 3 ТБ данных, предоставленных независимыми ИБ-экспертами, в NordPass установили…
#kali_linux
#set
#social_engineering
#44 Kali Linux для продвинутого тестирования на проникновение. The Social Engineering Toolkit (SET). Метод веб-атаки с несколькими атаками.
Здравствуйте, дорогие друзья.
Использование буквенно-цифровой инъекции шелл-кода PowerShell атаки.
SET также включает в себя более эффективные атаки на основе PowerShell, который доступен на всех операционных системах Microsoft, после выпуска Microsoft Windows Vista. Шелл-код PowerShell может быть легко внедрен в физическую память цели, атаки с использованием этого вектора не вызывают антивирусные тревоги.
Подробнее: https://timcore.ru/2022/11/29/44-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-the-social-engineering-toolkit-set-metod-veb-ataki-s-neskolkimi-atakami/
#set
#social_engineering
#44 Kali Linux для продвинутого тестирования на проникновение. The Social Engineering Toolkit (SET). Метод веб-атаки с несколькими атаками.
Здравствуйте, дорогие друзья.
Использование буквенно-цифровой инъекции шелл-кода PowerShell атаки.
SET также включает в себя более эффективные атаки на основе PowerShell, который доступен на всех операционных системах Microsoft, после выпуска Microsoft Windows Vista. Шелл-код PowerShell может быть легко внедрен в физическую память цели, атаки с использованием этого вектора не вызывают антивирусные тревоги.
Подробнее: https://timcore.ru/2022/11/29/44-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-the-social-engineering-toolkit-set-metod-veb-ataki-s-neskolkimi-atakami/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#44 Kali Linux для продвинутого тестирования на проникновение. The Social Engineering Toolkit (SET). Метод веб-атаки с несколькими…
Атака Hail Mary для атак на веб-сайты, представляет собой веб-метод с несколькими атаками, который позволяет злоумышленнику реализовать несколько различных атак одновременно, если он этого захочет. По умолчанию все атаки отключены, и атакующий выбирает те…