#news

Инфраструктура маркетплейса Genesis продана другим преступникам

Хакерская группировка, стоящая за даркнет-маркетплейсом Genesis Market, заявила, что платформу продали неназванному покупателю. Интересно, что всего три месяца назад власти США наложили санкции на Genesis Market, конфисковали некоторые из его доменов и утверждали, что получили доступ к бэкэнду.

Источник: https://xakep.ru/2023/07/17/genesis-market-sold/

#bug_bounty

Callisto - An Intelligent Binary Vulnerability Analysis Tool

https://github.com/JetP1ane/Callisto

#bug_bounty
#burp_suite

DNS Analyzer - Finding DNS vulnerabilities with Burp Suite

https://sec-consult.com/blog/detail/dns-analyzer-finding-dns-vulnerabilities-with-burp-suite/

«...Частотный анализ - это лишь один из многих способов атаки, большинство из которых намного сложнее, и разработчики современных криптографических алгоритмов должны о них знать...»

Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»

#php
#programming

Интернет магазин с нуля на PHP. Часть 10:

91. Выпуск №90 Контроллер удаления данных в административной панели ч.2.
92. Выпуск №91 Определение браузера Internet Explorer.
93. Выпуск №92 показ изображений при добавлении пользователем.
94. Выпуск №93 множественное добавление файлов на javascript.
95. Выпуск №94 javascript объект FormData.
96. Выпуск №95 асинхронная отправка формы на сервер.
97. Выпуск №96 асинхронный пересчет позиций вывода.
98. Выпуск №97 аккордеон на чистом javascript.
99. Выпуск №98 dragAndDrop добавление файлов.
100. Выпуск №99 javascript: замыкания, события наведения мыши.

https://vk.com/school_timcore?w=wall-80056907_1828

«...Киберпространство, с которым мы имеем дело, эволюционировало в хаотичной и несогласованной манере, а безопасность почти всегда обеспечивалась с запозданием (а то и вообще отсутствовала). В целом киберпространство полно дыр в безопасности, вызванных слабыми местами в технологиях, плохой интеграцией разных систем,
несоблюдением процедур и неэффективным управлением...»

«...Одно из преимуществ умных духовок, выключателей с интернет-соединением и систем киберотопления в том, что все они имеют достаточно крупные габариты и могут поддерживать криптографию того же типа, которую мы используем в наших телефонах, банковских картах и автомобильных замках...»

Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»

Здравствуйте, дорогие друзья!

Предоставляем услуги по разработке роботов любой сложности. Что это такое?

- ПАРСЕРЫ для автоматического сбора любой информации с сайтов;

- ТЕЛЕГРАММ УВЕДОМЛЕНИЯ о наступлении каких-либо событий в интернете или на сайтах;

- АВТОМАТИЗАЦИЯ любых рутинных действий в интернете. Заказ ботов позволит Вам избавиться от рутины, запостить мегабайты объявлений, сосканировать любые данные с сайтов в автоматическом режиме по нужной форме, разослать миллионы сообщений по контекстным группам, автоматизировать любые действия в интернете, моделировать работу человека в любом браузере, обойти любые защиты от роботов и ботов.

- БУКМЕКЕРСКИЕ САЙТЫ. Отдельное большое направление по автоматизации. Автоматизация ставок по вашим условиям и заданным критериям.

По вопросам и для приобретения скрипта пишите: @timcore1

#bug_bounty
#burp_suite

ParaForge is a simple Burp Suite extension to extract the paramters and endpoints from the request to create custom wordlist for fuzzing and enumeration.

https://github.com/Anof-cyber/ParaForge

#bug_bounty
#rce

CVE-2023-26258 – Remote Code Execution in ArcServe UDP Backup

https://www.mdsec.co.uk/2023/06/cve-2023-26258-remote-code-execution-in-arcserve-udp-backup/

Видео-презентация работы ботов на множестве аккаунтов alienworlds.io для бесплатного сбора криптовалюты TLM и NFT карточек.

Эмуляция человека (задержка нажатия на клавиши и т.д.), сбор криптовалюты TLM и NFT карточек ботами на аккаунтах игры alienworlds.io

По вопросам или для приобретения скрипта пишите в телеграм, по контакту: @timcore1

https://www.youtube.com/watch?v=50-Lh-q7OCA

«...Программист должен всегда работать в сотрудничестве с администраторами и специалистами по безопасности...»

«...Очень много уязвимостей возникает, когда программисты в своем коде убирают лишние символы только в момент использования. Но одна переменная может встречаться в сценарии несколько раз, и были случаи, когда в одном месте программист очищал переменную от опасных символов, а в другом забывал это сделать...»

«...Хакеры очень часто используют SQL-команду INTO OUTFILE для создания дампа таблиц базы данных. Например, взломщик получил доступ к выполнению команд и, сохраняя результат своих запросов в текстовом файле, может потом без проблем скачать этот файл для разбора в свободное время за чашечкой кофе...»

Михаил Фленов - «PHP глазами хакера. 5-е издание.»

#php
#programming

Интернет магазин с нуля на PHP. Часть 11:

101. Выпуск №100 javascript поисковые подсказки, события нажатия клавиш.
102. Выпуск №101 javascript drag and drop сортировка. Квест: чужой код.
103. Выпуск №102 javascript drag and drop сортировка.
104. Выпуск №103 подготовка сортируемых данных для отправки на сервер.
105. Выпуск №104 php создание метода сортировки изображений.
106. Выпуск №105 php | js | поиск по административной панели.
107. Выпуск №106 javascript подключение визуального редактора tinymce 5.
108. Выпуск №107 javascript | tinymce 5 | загрузка файлов на сервер.
109. Выпуск №108 поиск по административной панели часть 2.
110. Выпуск №109 поиск по административной панели часть 3.

Предыдущие части: https://vk.com/school_timcore?w=wall-80056907_1839

#hackthebox
#hacking
#htb

HackTheBox - TwoMillion

00:00 - Intro
00:18 - Start of nmap, scanning all ports with min-rate
02:35 - Browsing to the web page and taking a trip down memory lane with the HackTheBox v1 page
04:00 - Attempting to enumerate usernames
05:10 - Solving the HackTheBox Invite Code Challenge
05:50 - Sending the code to JS-Beautify
06:45 - Sending a curl request to /api/v1/invite/how/to/generate to see how to generate an invite code
10:40 - Creating an account and logging into the platform then identifying what we can do
16:50 - Discovering hitting /api/v1/ provides a list of API Routes, going over them and identifying any dangerous ones
17:50 - Attempting a mass assignment vulnerability upon logging in now that we know there is an is_admin flag
22:30 - Playing with the /api/v1/admin/settings/update route and discovering we can hit this as our user and change our role to admin
24:30 - Now that we are admin, playing with /api/v1/admin/vpn/generate and finding a command injection vulnerability
26:15 - Got a shell on the box, finding a password in an environment variable and attempting to crack the user passwords
30:00 - Re-using the database password to login as admin, discovering mail that hints at using a kernel privesc
32:00 - Searching for the OverlayFS Kernel Exploit
35:00 - Finding a proof of concept for CVE-2023-0386, seems sketchy but GCC is on the HTB Machine so i don't feel bad about running it
37:27 - Running the exploit and getting Root, finding an extra challenge thank_you.json, which is can be done pretty much in CyberChef
42:20 - Looking deeper at the invite code challenge to see if it was vulnerable to Type Juggling (it was back in the day but not anymore)
43:30 - Testing for command injection with a poisoned username
47:20 - Didn't work, looking at the source code and discovering it had sanitized usernames on the non-admin function

https://www.youtube.com/watch?v=Exl4P3fsF7U

#bug_bounty
#bug_hunting

#4 Bug Bounty. Плюсы и минусы платформ Баг-Баунти.

Здравствуйте, дорогие друзья.
В этом видео освещаю информацию по поводу плюсов и минусов платформ Баг-Баунти. Это интересная тематика, которая заставляет задуматься о выборе пути в БагХантинге.

Более подробнее в видео.
Благодарю за внимание.

https://www.youtube.com/watch?v=_5axIN1JFa0