#pentest
#kali_linux

#17 Пентест с помощью Kali Linux. Разведка машины HackinOS.

Здравствуйте, дорогие друзья.
В этом видеоуроке попрактикуемся в разведке, на виртуальной машине HackinOS.

https://youtu.be/FkASdS3TNOk

#news

Встроенный в Bing чат-бот на базе ИИ дезинформирует пользователей и иногда «сходит с ума»

Совсем недавно компания Microsoft, совместно с OpenAI, представила интеграцию чат-бота на базе ИИ прямо в браузер Edge и поисковик Bing. Как теперь отмечают пользователи, которым уже доступна эта новинка, чат-бот может распространять дезинформацию, а также может впасть в депрессию, подвергнуть сомнению свое существование и отказаться продолжать разговор.

Источник: https://xakep.ru/2023/02/15/bing-openai-chat-bot/

Обход сигнатур WAF

Докладчик расскажет о байпасах WAF, для которых невозможно написать правила блокировки так, чтобы они не выдавали ложные срабатывания на легитимных запросах.

#pentest
#kali_linux

#18 Пентест с помощью Kali Linux. Разведка машины Sunset Nightfall.

Здравствуйте, дорогие друзья.
В этом видеоуроке попрактикуемся в разведке, на виртуальной машине Sunset Nightfall.

https://youtu.be/Wt2H1F5wXRE

#news

«Сбер» позволит клиентам возвращать деньги, отправленные мошенникам

В мае 2023 года Сбербанк запустит проект по возврату клиентам денежных средств, переведенных мошенникам. По словам зампредседателя правления кредитной организации Станислава Кузнецова, срок возврата средств удалось сократить до одного месяца, в дальнейшем вернуть деньги будет можно за несколько дней.

Источник: https://xakep.ru/2023/02/17/sber-money-back/

#waf

WAF глазами хакеров

Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем основываются и как работают современные WAF, какие существуют способы обхода и bypass-техники, как их применять, а также почему ни в коем случае не стоит всецело полагаться на WAF. Мы представим свой взгляд пентестеров, которые никогда не принимали участие в разработке WAF и которые собирали информацию из открытых источников и на основе своего опыта, поэтому о некоторых тонкостях работы WAF мы можем даже и не подозревать.

Источник: https://habr.com/ru/company/dsec/blog/340144/

#chat_gpt

В этом весь ChatGPT. 🤣😎

#kali_linux
#bettercap
#wifiphisher

#55 Kali Linux для продвинутого тестирования на проникновение. Работа с Bettercap. Атака Evil Twin с использованием Wifiphisher.

Здравствуйте, дорогие друзья.

Bettercap — это один из инструментов, который злоумышленники могут использовать для лучшего выполнения рукопожатия Wi-Fi, и провести атаку в течение нескольких минут. Инструмент поставляется с модулями для взлома Wi-Fi, что может быть очень удобно во время упражнений красной команды или пентеста.

Подробнее: https://timcore.ru/2023/02/20/55-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-rabota-s-bettercap-ataka-evil-twin-s-ispolzovaniem-wifiphisher/

#pentest
#kali_linux

#19 Пентест с помощью Kali Linux. Разведка машины Mumbai.

Здравствуйте, дорогие друзья.
В этом видеоуроке попрактикуемся в разведке, на виртуальной машине Mumbai.

https://youtu.be/2gYHw6gnS3c

#news

Хакеры взломали GoDaddy и оставались в системах компании несколько лет

Один из крупнейших в мире хостеров и регистраторов доменных имен, GoDaddy, сообщает о новой атаке на свою инфраструктуру. Хуже того, в компании пришли к выводу, что это лишь один из серии связанных инцидентов. Оказывается, неизвестные злоумышленники несколько лет имели доступ к системам компании, смогли установить малварь на ее серверы и украли исходный код.

Источник: https://xakep.ru/2023/02/20/godaddy-hacked-again/

Дорогие друзья, Внимание!!!

Временная 3-х дневная скидка 84% в честь праздника, Дня Защитника Отечества на Видеокурс - «Этический взлом» + Видеокурс - «Тестирование на проникновение с нуля с помощью Kali Linux».

Временная цена до 23 февраля: 4000 руб.

Выжимка из моего 5-ти летнего опыта.

Курс, состоит из 6 модулей + бонус - 28 видеоуроков по новому курсу по пентесту с помощью Кали Линукс.

Курс ориентирован как для начинающих этичных хакеров, так и для более опытных специалистов.

В курсе мы рассмотрим инструменты для начинающего пентестера, и пройдемся по основным векторам атак на системы. Также взглянем и попрактикуемся с уязвимостями веб-приложения DVWA, и познакомимся с SQL-инъекциями.
Завершающим этапом будет участие в CTF-соревнованиях на начальном и среднем уровне.

Содержание:
001 Введение.
002 VirtualBox и VMware загрузка и установка.
003 Kali Linux Загрузка и установка.
004 Metasploitable2 - загрузка и установка.
005 Nmap методология и общие сведения.
006 Nmap - Установка и определение портов.
007 Базовое сканирование с помощью Nmap.
008 Nmap - Зондирование Firewall - перечень служб.
009 Nmap - сканирование UDP портов и OS.
010 Nmap - Объединение нескольких задач в одну.
011 Nmap - Сценарии - HTTP методы.
012 Nmap - Перечисление SMB.
013 Nmap - Перечисление DNS.
014 Nmap - Перечисление FTP.
015 Nmap - Перечисление MySQL.
016 Nmap - Перечисление SSH.
017 Nmap - Перечисление SMTP.
018 Nmap - Перечисление VNC.
019 Nmap - Сервисный баннерный захват.
020 Nmap - Обнаружение уязвимостей.
021 Nmap - Вывод Nmap.
022 Итоги первой части.
023 OpenVAS – Введение.
024 OpenVAS – установка.
025 OpenVAS - Обновление ленты.
026 OpenVAS - Управление пользователями.
027 OpenVAS - Панель приборов - Мусорная корзина.
028 OpenVAS - Сканирование уязвимостей.
029 OpenVAS - Дополнительные настройки - Производительность – Отчеты.
030 Итоги второй части.
031 Metasploit – Введение.
032 Metasploit - Анатомия и структура.
033 Metasploit - Основные команды и конфигурация Часть 1.
034 Metasploit - Основные команды - Часть 2.
035 Metasploit - Сканирование и использование сервисов с помощью Auxiliaries DNS.
036 Metasploit - Сканирование и использование с помощью Auxiliaries FTP.
037 Metasploit - Сканирование и использование с помощью Auxiliaries HTTP.
038 Metasploit - Сканирование и использование с помощью Auxiliaries RDP.
039 Metasploit - Сканирование и использование с помощью Auxiliaries SMB.
040 Metasploit - Сканирование и использование с помощью Auxiliaries SSH.
041 Metasploit - Сканирование и использование с помощью Auxiliaries VNC.
042 Основы Meterpreter - Основные команды.
043 Основы Meterpreter - Системные команды.
044 Основы Meterpreter - Команды интерфейса пользователя - Команды веб-камеры.
045 Meterpreter - Использование и команды.
046 Тестирование на проникновение сервера.
-----------------------------------------------------------------------
047 Хакинг роутеров и IoT девайсов с помощью Routersploit.
048 Использование шлюза по умолчанию с помощью RouterSploit.
049 Установка Metasploitable2.
050 Хакинг с помощью Metasploit.
051 Использование msfconsole.
052 Рабочий процесс Metasploit.
053 Взлом Linux. Выполнение DoS-атаки без root-доступа.
----------------------------------------------------------------------------------
054 Уязвимость DVWA. SQL-injection (Уровень Low).
055 Уязвимость DVWA Brute Force (Уровень Low).
056 Уязвимость DVWA File Upload (Уровень Low).
057 Уязвимость DVWA File Upload (Уровень Medium).
058 Уязвимость DVWA File Upload (Уровень High).
059 Уязвимость DVWA Brute Force (Уровень Medium).
060 Уязвимость DVWA Command Execution (Уровень Low).
061 Уязвимость DVWA Command Execution (Уровень Medium).
062 Уязвимость DVWA CSRF (Уровень Low).
063 Уязвимость DVWA CSRF (Уровень Medium).
064 Уязвимость DVWA - Local File Inclusion (Уровень Low).
065 Уязвимость DVWA LFI (Уровень Medium).
066 Уязвимость DVWA. LFI - Local File Inclusion (Уровень High).
067 Уязвимость DVWA Command Execution (Уровень High).
068 Уязвимость DVWA SQL Injection (Уровень Medium).
069 Уязвимость DVWA Brute Force (Уровень High).

070 Уязвимость DVWA. SQL-Injection (Уровень High).
071 Уязвимость DVWA CSRF (Уровень High).
072 Уязвимость DVWA JavaScript (Уровень Low).
073 Уязвимость DVWA. JavaScript (уровень Medium).
074 DVWA reCAPTCHA API key missing.
075 Уязвимость DVWA Insecure Captcha (Уровень Low).
076 Уязвимость DVWA Insecure Captcha (Уровень Medium).
077 Уязвимость DVWA. Insecure Captcha (Уровень High).
078 Уязвимость DVWA. XSS DOM (Уровень Low).
079 Уязвимость DVWA. XSS DOM (Уровень Medium).
080 Уязвимость DVWA. XSS DOM (Уровень High).
081 Уязвимость DVWA. XSS (Reflected) (Уровень Low).
082 Уязвимость DVWA XSS (Reflected) (Уровень Medium).
083 Уязвимость DVWA. XSS (Reflected) (Уровень High).
084 Уязвимость DVWA. XSS (Stored) (Уровень Low).
085 Уязвимость DVWA. XSS (Stored) (Уровень Medium).
086 Уязвимость DVWA. XSS (Stored) (Уровень High).
087 Уязвимость DVWA. Content Security Policy (Bypass) (Уровень Medium).
088 Уязвимость DVWA. Content Security Policy (Bypass) (Уровень High).
089 Уязвимость DVWA. Weak Session IDs (Уровень Low).
090 Уязвимость DVWA. Weak Session IDs (Уровень Medium).
091 Уязвимость DVWA. Weak Session IDs (Уровень High).
092 Уязвимость DVWA. JavaScript. (Уровень High).
093 Что такое SQL?
094 Опасности SQL.
095 Проводим изучение SQL-инъекций в POST.
096 Обход авторизации с помощью SQL-инъекций.
097 Обход более защищенной авторизации с помощью SQL-инъекций.
098 Безопасность - Предотвращение SQL-инъекций через страницы авторизации.
099 Исследование SQL-инъекций в GET.
100 Читаем информацию из базы данных.
101 Ищем таблицы в базе данных.
102 Извлекаем пароли из базы данных.
103 Поиск и эксплуатация слепых SQL инъекций.
104 Исследование более сложных SQL-инъекций.
105 Использование более сложных SQL инъекций.
106 Обходим защиту и получаем доступ ко всем записям.
107 SQL инъекции. Обход фильтров.
108 Безопасность Фиксируем SQL инъекции.
109 SQL-инъекции. Устанавливаем обратное соединение над веб-сервером жертвы.
110 Исследование SQL-инъекций и работа с SQLmap.
111 SQL — инъекции. Безопасность.
112 CTF. Root-me. Знакомство с сайтом Root-me.
113 CTF. Root-me. HTML Source code.
114 CTF. Root-me. Weak Password.
115 CTF. Root-me. Backup file.
116 CTF. Root-me. HTTP - Directory indexing.
117 CTF. Root-me. PHP - Command injection.
118 CTF. Root-me. Local File Inclusion.
119 CTF. Root-me. PHP Filters.
120 CTF. Root-me. HTTP - Web tampering.
121 CTF. Root-me. HTTP - Open Redirect.
122 CTF. Root-me. HTTP – POST.
123 CTF. Root-me. HTTP - Improrer redirect.
124 CTF. Root-me. CRLF.
125 CTF. Root-me. HTTP – Cookies.
126 CTF. Root-me. HTTP – Headers.
127 CTF. Root-me. Install files.
128 CTF. Root-me. Directory traversal.
129 CTF. Root-me. PHP assert().
130 CTF. Root-me. PHP register globals.
131 CTF. Root-me. File upload – ZIP.
132 CTF. Root-me. PHP - Loose Comparison.
133 CTF. Root-me. PHP type juggling.
134 CTF. Root-me. SQL injection – authentication.
135 CTF. Root-me. SQL Truncation.

Для приобретения пишите в личные сообщения паблика, а также перейдя по ссылке на товар:
https://vk.com/hacker_timcore?w=product-44038255_6082367

#web
#waf
#bypass

Обход WAF через большое количество символов

Если Вы столкнулись с WAF, то для POST, PUT или PATCH запросов попробуйте вставить в параметр бесполезные символы с произвольными данными, размером от 8 КБ до 10 МБ, ПЕРЕД Вашей вредоносной полезной нагрузкой.

Некоторые WAF прекращают обработку после X символов полезной нагрузки, разрешая все ПОСЛЕ этого. Рандомные символы можно сгенерировать по ссылке: https://onlinefiletools.com/generate-random-text-file.

#waf
#web_application_firewall
#bypass

Основные приемы обхода брандмауэра веб-приложений (WAF).

Здравствуйте, дорогие друзья.

Обход брандмауэра веб-приложений (WAF) — обычная проблема для веб-разработчиков и специалистов по безопасности. WAF предназначен для защиты веб-приложений от вредоносных атак, таких как SQL-инъекции, межсайтовый скриптинг, и других вредоносных действий. Однако его также можно использовать для блокировки легитимных запросов, например, от сканеров поисковых систем. В этой статье мы обсудим, как обойти WAF и методы, используемые для этого.

Подробнее: https://timcore.ru/2023/02/24/osnovnye-priemy-obhoda-brandmaujera-veb-prilozhenij-waf/

​​🌟Мужчина ☀️vs Женщина 🌸: часть первая. Лила - игра Богов ✨

✅Как моделируют успешные отношения полов?
✅Что влияет на гармонию семейного счастья?
✅Насколько важен секс в парах, для мужчины и женщины?
✅Об этом и многом другом в Лиле - игре Богов!

Итак, отношения «мужчина vs женщина». Всё очень сложно и одновременно легко. Посмотрим на это с разных сторон, точек и углов зрения. Статья 16+ ⚠️

Есть много разнообразных способов гармонизации отношений. Шестая модель сексологов – самая яркая, наиболее действенные – вторая и четвёртая :). Я, как психолог и целитель, стараюсь применять вторую и четвёртую одновременно.

❗️Модель первая

Модель хороших отношений в семье, согласно исследованиям американских семейных психотерапевтов.

В США изучили около тысячи благополучных семей. Они счастливы, есть дети, финансы. Занимаются карьерой, здоровьем, спортом, ведут активный образ жизни.

Выяснилась следующая иерархия ценностей у этих пар.

На первом месте у них собственное развитие, то есть мужчина занимается собой, женщина – собой. Это не эгоизм, просто люди уделяют время себе в плане образования, спорта, саморазвития и т. д. 🪄
Второе место занимают: карьера / бизнес / профессиональная деятельность / финансы 🟡
Третье место - отношения с супругом/супругой ❤️
Четвёртое место – дети 💞
Пятое место – родители 💙
Шестое место - друзья, хобби и т. д. 🔑

В такой пирамиде семейных ценностей пара развивается гармонично. Я много видел таких пар, где на первом месте дети. И это дисгармония. В итоге дети вырастают с гипертрофированным эгоизмом и садятся на голову родителям. Это крах семьи 〽️

Всегда надо понимать, что баланс должен быть везде. Детям просто надо уделять время, воспитывать, образовывать. Родители всегда важнее, они основа семьи, без них сразу всё развалится ❎

Протоиерей РПЦ ✝️Ткачёв сходится во мнении с американскими семейными психотерапевтами. Детей следует держать в правильных «ежовых рукавицах» - любить надо, но они должны понимать грань дозволенного. Отец Андрей приводит такую метафору.

В самолёте перед взлётом стюардессы проводят инструктаж для пассажиров: «В случае разгерметизации кабины во время полёта – сверху выпадут кислородные маски. Если вы летите с ребёнком, вначале наденьте маску себе, потом ему» ‼️

То есть если вы не можете помочь себе, не занимаетесь собой, то и детям помочь не сможете. Так и в семейной жизни, та же самая аналогия ❤️

Или, например, родители занимаются только сексуальными играми друг с другом, и им безразлично, что они будут завтра есть и где станут брать деньги. Такая семья тоже, скорее всего, развалится ✂️

Значимость профессиональной деятельности стала ниже ценности отношений родителей, и в социуме эта семья может просто деградировать.

К таким выводам пришли американские семейные психотерапевты на основании исследований.

Модель вторая: НЛП 📌(это почти невозможно читать :)))

НЛП 📌– это моделирование и повторение эффективного поведения. Есть множество эффективных моделей, позволяющих проявлять гибкость в вопросах семьи. К каждой паре будет контекстуальный личный подход – никаких шаблонных схем.

НЛП-специалист 📌 проведёт тестирование семейной пары, стратегий поведения супругов, выявит основные параметры. И уже на базе их психики и целей, исходя из того, что этим людям нужно, подберёт модель для гармонизации отношений.

Психика каждого человека состоит из пазлов – как кубики лего:

Продолжение статьи на Яндекс.Дзен

🔥 С Уважением Анатолий ❤️ Система Energy
@energyage777 (Telegram), energyage@yandex.ru, +79111-310-777

#kali_linux
#wpa3
#bluetooth

#56 Kali Linux для продвинутого тестирования на проникновение. WPA3. Bluetooth-атаки.

Здравствуйте, дорогие друзья.

Хотя принятие третьего поколения WPA (WPA3) было введено в январе 2018 г., на замену WPA2, для устранения недостатков WPA2, он не получил широкого распространения. Этот стандарт использует 192-битную криптографическую стойкость, а WPA3-Enterprise работает с AES-256 в режиме GCM с SHA-384 (алгоритм безопасного хеширования), в качестве кода аутентификации сообщения на основе хэша (HMAC), и по-прежнему требует использования CCMP-128 (сообщение о цепочке блоков шифрования в режиме счетчика), который представляет собой AES-128 (американский стандарт шифрования) в режиме CCM и используется как минимальный алгоритм шифрования в WPA3-Personal.

Подробнее: https://timcore.ru/2023/02/27/56-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-wpa3-bluetooth-ataki/

#news

Зафиксированы атаки на свежую уязвимость в FortiNAC

Эксперты обнаружили, что свежая уязвимость в Fortinet FortiNAC, закрытая ранее в этом месяце, уже используется в хакерских атаках. Специалисты заявили, что перед проблемой уязвимы более 700 000 устройств, но разработчики Fortinet уверяют, что все не так страшно.

Источник: https://xakep.ru/2023/02/27/fortinac-attacks/

#pentest
#kali_linux

#20 Пентест с помощью Kali Linux. Сканирование служб DC 7.

Здравствуйте, дорогие друзья.
В этом видеоуроке попрактикуемся в сканировании служб, на виртуальной машине DC-7.

https://youtu.be/rsXMFYb8-04