#vulnhub
#ctf
#hacking

Подробное прохождение машины Chronos: 1 [VulnHub] | Timcore

Здравствуйте, дорогие друзья.
В этом видео будет подробное прохождение виртуальной машины Chronos: 1.

Уровень сложности: средний.

https://youtu.be/eqhxWxQlrMY

#bug_bounty

Find authentication (authn) and authorization (authz) security bugs in web application routes.

https://github.com/mschwager/route-detect

Предоставляю Вашему вниманию апдейт видеокурса «Этичный взлом.» , который состоит из 18-ти модулей.
Курс ориентирован как для начинающих этичных хакеров, так и для более опытных специалистов.

В курсе мы рассмотрим инструменты для начинающего пентестера, и пройдемся по основным векторам атак на системы. Также взглянем и попрактикуемся с уязвимостями веб-приложения DVWA, и познакомимся с SQL-инъекциями. Также мы примем участие в CTF-соревнованиях на начальном и среднем уровне. И в завершении курса будет разбор 10-ти категорий уязвимостей, по методологии OWASP Top-10.

1 модуль - Видеокурс - «Пентест с помощью Kali Linux.» - 6 часов.
2 модуль - Видеокурс - «Kali Linux для начинающих». - 7 часов.
3 модуль - Видеокурс - «Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit». - 3 часа 30 минут.
4 модуль - Видеокурс - Уязвимости DVWA (Полное прохождение). - 3 часа 19 минут.
5 модуль - Миникурс «Хакинг систем» ~ 1 час.
6 модуль - Видеокурс - «SQL-Инъекция» - : 1 час 50 минут.
7 модуль - Видеокурс: "Курс молодого бойца. Решение CTF." - 1 час 15 минут.
8 модуль - Миникурс. CTF. Web. Задания с Root-Me для не новичков. ~ 1 час.
9 - 18 модуль. Бонус: Электронная книга: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.» ~ 7 часов

Итого продолжительность: 31 час 14 минут.

Стоимость: 11 000 рублей.

https://www.youtube.com/watch?v=Kj7zYi4mo9o

#bug_bounty

Technical Details of CVE-2023-30990 - Unauthenticated RCE in IBM i DDM Service

https://blog.silentsignal.eu/2023/07/03/ibm-i-dde-vulnerability-cve-2023-30990/

#bug_bounty

Hunting for Nginx Alias Traversals in the wild

https://labs.hakaioffsec.com/nginx-alias-traversal/

#news

На VirusTotal случайно загрузили данные сотен сотрудников спецслужб и крупных компаний

Сотрудник принадлежащей Google платформы VirusTotal случайно загрузил на сайт файл с именами и адресами электронной почты сотен людей, работающих в спецслужбах, министерствах обороны и крупных компаниях по всему миру. В частности, в список попали лица, связанные с Киберкомандованием США, АНБ, Пентагоном, ФБР и рядом подразделений армии США.

Источник: https://xakep.ru/2023/07/19/virustotal-leak/

#news

Основатель Group-IB Илья Сачков приговорен к 14 годам тюрьмы

Основатель и бывший глава компании Group-IB Илья Сачков приговорен к 14 годам колонии строгого режима и штрафу в 500 000 рублей по делу о госизмене (ст. 275 УК РФ). Свою вину Сачков не признает, его защитники заявили о намерении обжаловать приговор и обратиться к Президенту РФ.

Источник: https://xakep.ru/2023/07/26/sachkov-sentenced/

#php
#programming

Интернет магазин с нуля на PHP. Часть 12:

111. Выпуск №110 UNION запросы в языке SQL.
112. Выпуск №111 ORM builder UNION запросов ч.1.
113. Выпуск №112 ORM builder UNION запросов ч.2.
114. Выпуск №113 завершение создания поиска по административной панели.
115. Выпуск №114 система идентификации пользователей | часть 1.
116. Выпуск №115 система идентификации пользователей | часть 2.
117. Выпуск №116 страница авторизации пользователей.
118. Выпуск №117 контроллер авторизации пользователей.
119. Выпуск №118 завершение создания административной панели сайта.
120. Выпуск №119 - Пользовательская часть сайта | анализ и нарезка макета.

https://vk.com/school_timcore?w=wall-80056907_1856

#php
#programming

Интернет магазин с нуля на PHP. Часть 13:

121. Выпуск №120 | Пользовательская часть | метод вывода изображений.
122. Выпуск №121 | Пользовательская часть | метод формирования ссылок.
123. Выпуск №122 | Пользовательская часть | Вывод данных в хедер сайта.
124. Выпуск №123 | Пользовательская часть | Вывод данных в мобильное меню.
125. Выпуск №124 | Пользовательская часть | вывод акций.
126. Выпуск №125 | Пользовательская часть | Каталог товаров ч1.
127. Выпуск №126 | Пользовательская часть | Каталог товаров ч2.
128. Выпуск №127 | Вывод товаров на главную страницу.
129. Выпуск №128 | Вывод новостей | метод формирования даты.
130. Выпуск №129 | Пользовательская часть | Каталог товаров | часть 1.

https://vk.com/school_timcore?w=wall-80056907_1857

#php@school_timcore
#programming@school_timcore

Интернет магазин с нуля на PHP. Часть 14:

131. Выпуск №130 | Пользовательская часть | Каталог товаров | часть 2.
132. Выпуск №131 | Пользовательская часть | сортировка каталога товаров.
133. Выпуск №132 | Пользовательская часть | фильтрация каталога.
134. Выпуск №133 | Пользовательская часть | система перекрестных фильтров.
135. Выпуск №134 | Пользовательская часть | выбор количества товаров каталога.
136. Выпуск №135 | Пользовательская часть | постраничная навигация | часть 1.
137. Выпуск №136 | Пользовательская часть | постраничная навигация | часть 2.
138. Выпуск №137 | Пользовательская часть | Карточка товара | часть 1.
139. Выпуск №138 | Пользовательская часть | Карточка товара | часть 2.
140. Выпуск №139 | Пользовательская часть | Добавление в корзину | часть 1.

https://vk.com/school_timcore?w=wall-80056907_1858

#php
#programming

Интернет магазин с нуля на PHP. Часть 15:

141. Выпуск №140 | Пользовательская часть | Добавление в корзину часть 2.
142. Выпуск №141 | Пользовательская часть | Добавление в корзину часть 3.
143. Выпуск №142 | Пользовательская часть | Добавление в корзину часть 4.
144. Выпуск №143 | Пользовательская часть | Корзина товаров | ч.1.
145. Выпуск №144 | Пользовательская часть | удаление и очистка корзины.
146. Выпуск №145 | Пользовательская часть | Оформление заказа | часть 1.
147. Выпуск №146 | Пользовательская часть | JavaScript валидатор телефонов.
148. Выпуск №147 | Пользовательская часть | Валидация полей заказа.
149. Выпуск №148 | Пользовательская часть | показ уведомлений пользователю.
150. Выпуск №149 | Пользовательская часть | сохранение заказа.

https://vk.com/school_timcore?w=wall-80056907_1859

#bug_bounty
#burp_suite

Find GraphQL API vulnerabilities, with Burp Suite Professional

https://portswigger.net/blog/find-graphql-api-vulnerabilities-with-burp-suite-professional

#hackthebox
#htb
#hacking

HackTheBox - Soccer

00:00 - Introduction
01:00 - Start of nmap, assuming the web app is NodeJS based upon a 404 message
04:20 - Running Gobuster and discovering Tiny File Manager
06:00 - Looking for the source code and finding a default password of admin@123
06:45 - Navigating to uploads and attempting to upload a php shell to the website
07:45 - Getting a reverse shell with our php shell
09:00 - Reverse shell returned
09:30 - Talking about hidepid=2 is set, so we can't see processes for other users
10:00 - Looking at nginx configuration to see what port 9091 is and discovering a new subdomain (soc-player.soccer.htb)
11:00 - Navigating to soc-player.soccer.htb and discovering a few more pages
12:00 - The /check endpoint looks like it is vulnerable to Boolean SQL Injection
13:00 - Intercepting the websocket in BurpSuite and showing
15:20 - Using SQLMap to dump the database, first time I've used SQLMap with websockets
23:30 - Attempting to ssh with creds found in the database and logging in as player
26:50 - Running LinPEAS
30:50 - Looks like we can run doas, which is like sudo. Looking at the command we can run and seeing dstat
33:30 - Creating a dstat plugin, then executing it with doas

https://www.youtube.com/watch?v=V_CkT7xyiCc

Здравствуйте, дорогие друзья. Внимание!!!

Временная 3-х дневная скидка 78% на видеокурс: «Этичный взлом».
Скидка действует 30, 31 июля, и 1 августа включительно.

1 модуль- «Пентест с помощью Kali Linux.» - 6 часов.
2 модуль-«Kali Linux для начинающих». - 7 часов.
3 модуль-«Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit». - 3 часа 30 минут.
4 модуль-Уязвимости DVWA (Полное прохождение). - 3 часа 19 минут.
5 модуль-«Хакинг систем» ~ 1 час.
6 модуль - «SQL-Инъекция» - : 1 час 50 минут.
7 модуль -"Курс молодого бойца. Решение CTF." - 1 час 15 минут.
8 модуль - CTF. Web. Задания с Root-Me для не новичков.~1 час.
9 - 18 модуль. Книга: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.»~7 часов

Итого продолжительность: 31 час 14 минут.

Стоимость:5500 рублей.

Отзывы о курсе вот здесь: https://vk.com/topic-44038255_49120521

Для приобретения пишите в телеграм:@timcore1, а также перейдя по ссылке на товар:
https://vk.com/hacker_timcore?w=product-44038255_6082367

«...Хакингом вполне осознанно занимаются и весьма состоятельные люди...»

«...Богатые и влиятельные люди нарушают правила, чтобы увеличить свое богатство и власть, - это и есть хакерство...»

«...До сих пор хакерство было исключительно человеческим занятием.
Хакеры - обычные люди, и потому общие для людей ограничения распространяются и на процесс взлома. Но скоро эти ограничения будут сняты. ИИ начнет хакать не только наши компьютеры, но и наши правительства, наши рынки и даже наши умы. ИИ будет взламывать системы с такой скоростью и мастерством, что самые крутые хакеры покажутся дилетантами...»

«...Современные программные приложения, как правило, содержат сотни, если не тысячи багов. Баги есть во всем без исключения программном обеспечении, которое вы сейчас используете на компьютере, на телефоне и на любых устройствах интернета вещей (IoT) у вас дома или на работе...»

Брюс Шнайер - «Взломать все: Как сильные мира сего используют уязвимости систем в своих интересах.»

#kali_linux
#exploit
#exploit_development

#90 Kali Linux для продвинутого тестирования на проникновение. Разработка эксплойта для Windows.

Здравствуйте, дорогие друзья.

Разработка эксплойтов — сложное искусство, требующее от злоумышленников достаточного понимания языка ассемблера и базовой системной архитектуры.

Подробнее: https://timcore.ru/2023/07/31/90-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-razrabotka-jeksplojta-dlja-windows/

#bug_bounty
#bug_hunting

#6 Bug Bounty - Частные программы.

Здравствуйте, дорогие друзья.

Большинство платформ Bug Bounty различаются на публичные и частные программы. Государственные программы открыты для всех; любой может взломать и отправить ошибки в этих программах, если соблюдаются законы и политика программы вознаграждений. С другой стороны, частные программы открыты только для приглашенных хакеров.

Более подробнее в видео. Приятного просмотра!

https://www.youtube.com/watch?v=RtpTg7u4H8s