📓 Дневник хакера — “Юбилейная десятка”
Сегодня улетела в копилку ещё одна найденная уязвимость на платформе Standoff365.
Всего — ровно 10 репортов за 15 дней охоты.
Половина (5) признаны пока «информативными» — да, без явного импакта, но я знаю, что там можно дожать.
Остальные 5 ещё на рассмотрении — это как лотерейные билеты, которые я уже прокрутил, но розыгрыш еще впереди.
Как прошёл день:
— Поймал очередного IDOR’а (Broken Object Level Authorization) в API.
— Загнал его в burp, отстрелял тесты с разными ID, зафиксировал PoC.
— Триажеры вежливо сказали: «Нет критического влияния… Но +50 к рейтингу мы тебе бахнем».
Почему я доволен:
Рейтинг растёт, опыт крепнет, инструменты уже отполированы до автомата.
Даже информативки — это кирпичики в будущие high‑репорты: всё, что я нахожу, в совокупности рисует карту системы.
📌 Статистика на сегодня:
• 10 уязвимостей на платформе
• 5 информативных
• 5 в очереди на рассмотрение
• +50 баллов к рейтингу
💭 Мысли: охота — это марафон, а не спринт. Сегодня +50, завтра — может быть +500. Каждый отчёт — это нить, за которую можно вытянуть всю систему наружу.
#ДневникХакера #BugBounty #Standoff365 #ПентестЖизнь
Сегодня улетела в копилку ещё одна найденная уязвимость на платформе Standoff365.
Всего — ровно 10 репортов за 15 дней охоты.
Половина (5) признаны пока «информативными» — да, без явного импакта, но я знаю, что там можно дожать.
Остальные 5 ещё на рассмотрении — это как лотерейные билеты, которые я уже прокрутил, но розыгрыш еще впереди.
Как прошёл день:
— Поймал очередного IDOR’а (Broken Object Level Authorization) в API.
— Загнал его в burp, отстрелял тесты с разными ID, зафиксировал PoC.
— Триажеры вежливо сказали: «Нет критического влияния… Но +50 к рейтингу мы тебе бахнем».
Почему я доволен:
Рейтинг растёт, опыт крепнет, инструменты уже отполированы до автомата.
Даже информативки — это кирпичики в будущие high‑репорты: всё, что я нахожу, в совокупности рисует карту системы.
📌 Статистика на сегодня:
• 10 уязвимостей на платформе
• 5 информативных
• 5 в очереди на рассмотрение
• +50 баллов к рейтингу
💭 Мысли: охота — это марафон, а не спринт. Сегодня +50, завтра — может быть +500. Каждый отчёт — это нить, за которую можно вытянуть всю систему наружу.
#ДневникХакера #BugBounty #Standoff365 #ПентестЖизнь
📓 Дневник хакера
18.08.2025
Сегодня весь день гонялся за багами в рамках одной государственной программы. Влетел с настроем словить хотя бы парочку juicy‑XSS или SQLi, а вышло как всегда — фаервол показал кукиш 🥲.
🚀 Что сделал
• Сначала набросал скрипт SGOHunter v1: httpx, gobuster, sqlmap, dalfox — классика. Результат? Полоса ошибок «network unreachable» и пустота в рюкзаке.
• Закатал апдейт до v2: добавил sanity‑check на TCP и TLS (через
• Пошёл дальше — сделал v3: мультидомен. Кормлю список из скоупа (`scope.txt`), он сам прогоняет и подписывает:
• 🟢 живой,
• 🔴 закрыт,
• 🟡 редирект.
🔍 Что нашёл
• Все 15 поддоменов реально резолвятся в IP из диапазона
• Но… порт 443/TCP везде фильтруется/закрыт.
• Т.е. снаружи эти цели недоступны для реальных тестов. Скоуп остаётся только «на бумаге».
⚖ Мой вывод
Сегодня я не словил эксплойтов и шеллов, зато научился грамотно отсеивать мёртвые цели и сэкономил время.
Теперь у меня есть рабочий скрипт SGOHunter v3, который сразу ставит вердикт по хосту, и дальше можно идти к тем, кто реально живой.
📝 Репорт заказчику
Оформив всё как informational, честно написал: внешние исследователи банально не имеют технической возможности выполнить тестирование, потому что доступ наружу перекрыт.
За это, конечно, не заплатят 💸, но зато будет зачтено, что я проверил скоуп и сообщил реальную проблему в условиях программы.
📌 День прожит не зря: три итерации скрипта, опыт автоматизации и ценный урок: прежде чем копать XSS/SQLi, сначала проверь, что у тебя вообще есть соединение 😅.
👾 Следующий шаг — запускать свою тулзу на других программах и искать цели, которые реально отвечают.
#ДневникХакера
18.08.2025
Сегодня весь день гонялся за багами в рамках одной государственной программы. Влетел с настроем словить хотя бы парочку juicy‑XSS или SQLi, а вышло как всегда — фаервол показал кукиш 🥲.
🚀 Что сделал
• Сначала набросал скрипт SGOHunter v1: httpx, gobuster, sqlmap, dalfox — классика. Результат? Полоса ошибок «network unreachable» и пустота в рюкзаке.
• Закатал апдейт до v2: добавил sanity‑check на TCP и TLS (через
nmap и `openssl`). Теперь понятно, что «не я косой, а хост мёртвый».• Пошёл дальше — сделал v3: мультидомен. Кормлю список из скоупа (`scope.txt`), он сам прогоняет и подписывает:
• 🟢 живой,
• 🔴 закрыт,
• 🟡 редирект.
🔍 Что нашёл
• Все 15 поддоменов реально резолвятся в IP из диапазона
193.x.x.x.• Но… порт 443/TCP везде фильтруется/закрыт.
• Т.е. снаружи эти цели недоступны для реальных тестов. Скоуп остаётся только «на бумаге».
⚖ Мой вывод
Сегодня я не словил эксплойтов и шеллов, зато научился грамотно отсеивать мёртвые цели и сэкономил время.
Теперь у меня есть рабочий скрипт SGOHunter v3, который сразу ставит вердикт по хосту, и дальше можно идти к тем, кто реально живой.
📝 Репорт заказчику
Оформив всё как informational, честно написал: внешние исследователи банально не имеют технической возможности выполнить тестирование, потому что доступ наружу перекрыт.
За это, конечно, не заплатят 💸, но зато будет зачтено, что я проверил скоуп и сообщил реальную проблему в условиях программы.
📌 День прожит не зря: три итерации скрипта, опыт автоматизации и ценный урок: прежде чем копать XSS/SQLi, сначала проверь, что у тебя вообще есть соединение 😅.
👾 Следующий шаг — запускать свою тулзу на других программах и искать цели, которые реально отвечают.
#ДневникХакера
📓 Дневник хакера
18.08.2025
Иногда мне кажется, что bash‑скрипты — это настоящее оружие массового поражения 💣.
Легко пишутся, выглядят минималистично, а под капотом — целый пулемёт.
Сегодня снова залипал в терминале: писал свои «SGOHunter» версии.
И понял, что самое кайфовое в bash — быстрота результата:
• Хочешь проверить десяток доменов — 10 строк кода.
• Нужно резолв, nmap, httpx, sqlmap в связке → всё на одном экране, без IDE и лишнего.
• Добавил красные иконки 🟢🔴 в echo — у тебя уже готовый псевдо‑UI.
Почему я люблю bash ❤🔥
• Мощь терминала: можно вызвать хоть nmap, хоть sqlmap, хоть curl, и всё заскриптовать в pipeline.
• Минимум времени: не надо городить велосипеды на Python, если тебе просто чекнуть 20 узлов.
• Гибкость: сегодня скан сетей, завтра бэкапы, послезавтра эксплойт‑чекер.
Сегодняшний кайфовый момент
Я написал три версии «SGOHunter» за несколько часов.
В любой другой среде это затянулось бы на день.
А тут — пару условий, пару проверок, и скрипт уже живёт своей жизнью, пишет отчёт и сам решает, куда лезть.
📌 Вывод дня: bash — это не «олдскул», это 🔥 универсальный инструмент хакера.
Тут реально чувствуешь себя богом терминала: написал 15 строк, и у тебя свой мини‑фреймворк для пентеста.
А все эти «заумные UI» пусть остаются для админов и офисных. Я терминал открываю — и чувствую мощь 🖤.
💻 #дневникхакера #bash #bugbounty #terminal_magic
18.08.2025
Иногда мне кажется, что bash‑скрипты — это настоящее оружие массового поражения 💣.
Легко пишутся, выглядят минималистично, а под капотом — целый пулемёт.
Сегодня снова залипал в терминале: писал свои «SGOHunter» версии.
И понял, что самое кайфовое в bash — быстрота результата:
• Хочешь проверить десяток доменов — 10 строк кода.
• Нужно резолв, nmap, httpx, sqlmap в связке → всё на одном экране, без IDE и лишнего.
• Добавил красные иконки 🟢🔴 в echo — у тебя уже готовый псевдо‑UI.
Почему я люблю bash ❤🔥
• Мощь терминала: можно вызвать хоть nmap, хоть sqlmap, хоть curl, и всё заскриптовать в pipeline.
• Минимум времени: не надо городить велосипеды на Python, если тебе просто чекнуть 20 узлов.
• Гибкость: сегодня скан сетей, завтра бэкапы, послезавтра эксплойт‑чекер.
Сегодняшний кайфовый момент
Я написал три версии «SGOHunter» за несколько часов.
В любой другой среде это затянулось бы на день.
А тут — пару условий, пару проверок, и скрипт уже живёт своей жизнью, пишет отчёт и сам решает, куда лезть.
📌 Вывод дня: bash — это не «олдскул», это 🔥 универсальный инструмент хакера.
Тут реально чувствуешь себя богом терминала: написал 15 строк, и у тебя свой мини‑фреймворк для пентеста.
А все эти «заумные UI» пусть остаются для админов и офисных. Я терминал открываю — и чувствую мощь 🖤.
💻 #дневникхакера #bash #bugbounty #terminal_magic
📓 Дневник хакера
Сегодня снова погружался в код и баг-хантинг.
Ситуация классика: миллион URL-ов, глаза текут, руки вянут. Но тут в бой заходит Python 🐍.
⚡ Накидал скрипты, которые:
• гоняют XSS/LFI/SSRF,
• фильтруют мусор с параметрами,
• и даже показывают прогресс — чтобы не чувствовать себя слепым котёнком.
🤖 Для меня Python — это реально прикладной инструмент.
На нём можно за пару часов автоматизировать такую рутину, которая руками заняла бы недели.
Вместо того чтобы убиваться монотонными curl’ами — прогнал один скрипт, и он сам крутит карусель урлов в фоне.
🚨 Плюс: добавил возможность фильтровать «сочные» параметры (`id, q, search, url...`), экономит кучу времени.
Теперь можно спокойно оставить хантера на ночь и ждать находок к утру — баги копятся, я отдыхаю.
💡 Вывод за день: Python для хакера — это как отвёртка у электроника. Да, иногда на нём не напишешь квантовый движок, но всё, что касается автоматизации — он творит магию. Один скрипт → минус часы тупой рутины.
#ДневникХакера
Сегодня снова погружался в код и баг-хантинг.
Ситуация классика: миллион URL-ов, глаза текут, руки вянут. Но тут в бой заходит Python 🐍.
⚡ Накидал скрипты, которые:
• гоняют XSS/LFI/SSRF,
• фильтруют мусор с параметрами,
• и даже показывают прогресс — чтобы не чувствовать себя слепым котёнком.
🤖 Для меня Python — это реально прикладной инструмент.
На нём можно за пару часов автоматизировать такую рутину, которая руками заняла бы недели.
Вместо того чтобы убиваться монотонными curl’ами — прогнал один скрипт, и он сам крутит карусель урлов в фоне.
🚨 Плюс: добавил возможность фильтровать «сочные» параметры (`id, q, search, url...`), экономит кучу времени.
Теперь можно спокойно оставить хантера на ночь и ждать находок к утру — баги копятся, я отдыхаю.
💡 Вывод за день: Python для хакера — это как отвёртка у электроника. Да, иногда на нём не напишешь квантовый движок, но всё, что касается автоматизации — он творит магию. Один скрипт → минус часы тупой рутины.
#ДневникХакера
📓 Дневник хакера: Python vs Ruby глазами пентестера
Сегодня сидел и думал: в моей жизни два языка, два стиля, две энергии (но не только).
🐍 Python и 💎 Ruby.
Да, оба тянут на «сценических партнёров» в нашем багхантер-шоу, но роли у них сильно разные:
⚡ Python — это отвёртка‑мультиинструмент:
• на нём скрипт по фасту → и вот уже автоматизируешь сканер, XSS‑хантер или парсер для subdomain.
• библиотек море, всё отработано.
• идеально, когда надо быстро выдать результат и уйти пить травяной чай ☕.
• каждую ночь пашет за меня, пока я сплю.
🎸 Ruby — это старая гитара с винтажным звуком:
• весь Metasploit на нём, и это отдельная любовь ❤.
• для эксплойтов/модулей → тут Ruby звучит, как соло.
• удобный, лаконичный, но ощущается больше «инструментом для сцены», а не для мелкой рутины.
• Ruby on Rails в продакшне — для меня просто дорожная карта уязвимостей 😈.
💻 Мои выводы за день:
• Python — мой будний работяга‑робот: быстрый, надёжный, вечно рядом.
• Ruby — это больше «душевный», для старых боёв и эксплойтов в msfconsole.
• Но если надо автоматизировать миллион URL‑ов перед сном — беру Python, а Ruby оставляю в коллекции под эксплойт‑джэм ✨.
#ДневникХакера
Сегодня сидел и думал: в моей жизни два языка, два стиля, две энергии (но не только).
🐍 Python и 💎 Ruby.
Да, оба тянут на «сценических партнёров» в нашем багхантер-шоу, но роли у них сильно разные:
⚡ Python — это отвёртка‑мультиинструмент:
• на нём скрипт по фасту → и вот уже автоматизируешь сканер, XSS‑хантер или парсер для subdomain.
• библиотек море, всё отработано.
• идеально, когда надо быстро выдать результат и уйти пить травяной чай ☕.
• каждую ночь пашет за меня, пока я сплю.
🎸 Ruby — это старая гитара с винтажным звуком:
• весь Metasploit на нём, и это отдельная любовь ❤.
• для эксплойтов/модулей → тут Ruby звучит, как соло.
• удобный, лаконичный, но ощущается больше «инструментом для сцены», а не для мелкой рутины.
• Ruby on Rails в продакшне — для меня просто дорожная карта уязвимостей 😈.
💻 Мои выводы за день:
• Python — мой будний работяга‑робот: быстрый, надёжный, вечно рядом.
• Ruby — это больше «душевный», для старых боёв и эксплойтов в msfconsole.
• Но если надо автоматизировать миллион URL‑ов перед сном — беру Python, а Ruby оставляю в коллекции под эксплойт‑джэм ✨.
#ДневникХакера
📓 Дневник хакера: Go в багбаунти
Сегодня хочу вынести на свет своего рабочего коня — Go (Golang) 🦫.
Этот язык как AK‑47 в руках багхантера:
• простой,
• быстрый,
• надёжный.
⚡ Почему люблю Go в багбаунти?
• 🏃♂️ Скорость: многопоточность встроена, не надо плясать с asyncio. Запустил большой скан — и он сжирает тысячу URL‑ов за время, пока Python думает, какой импорт взять.
• 📦 Тулзы уже в строю: весь любимый арсенал (httpx, subfinder, nuclei, hakrawler, ffuf) написан на Go. Ставишь — и у тебя сразу батальон сканеров в кибер‑армии.
• 🪓 Удобство: компилится в один бинарь, кидаешь хоть на VPS, хоть на «умный тостер», и оно работает. Без «ой, забыл pip install».
• 🧨 Фаззинг и скорость перебора — тут Go реально царь. Брут, субдомены, параметр‑хантинг — всё летает.
💡 Для меня Go — это язык «оружейник». Python — чтобы быстро склеить PoC. Go — чтобы выжать макс из ресурса и устроить честный кибермясоруб.
👉 Вывод: Go — это не «модный язык от гугла», а утилитарный инструмент.
Скажем так: если Python — ноутбук у хакера, то Go — его пулемёт.
#ДневникХакера #Go
Сегодня хочу вынести на свет своего рабочего коня — Go (Golang) 🦫.
Этот язык как AK‑47 в руках багхантера:
• простой,
• быстрый,
• надёжный.
⚡ Почему люблю Go в багбаунти?
• 🏃♂️ Скорость: многопоточность встроена, не надо плясать с asyncio. Запустил большой скан — и он сжирает тысячу URL‑ов за время, пока Python думает, какой импорт взять.
• 📦 Тулзы уже в строю: весь любимый арсенал (httpx, subfinder, nuclei, hakrawler, ffuf) написан на Go. Ставишь — и у тебя сразу батальон сканеров в кибер‑армии.
• 🪓 Удобство: компилится в один бинарь, кидаешь хоть на VPS, хоть на «умный тостер», и оно работает. Без «ой, забыл pip install».
• 🧨 Фаззинг и скорость перебора — тут Go реально царь. Брут, субдомены, параметр‑хантинг — всё летает.
💡 Для меня Go — это язык «оружейник». Python — чтобы быстро склеить PoC. Go — чтобы выжать макс из ресурса и устроить честный кибермясоруб.
👉 Вывод: Go — это не «модный язык от гугла», а утилитарный инструмент.
Скажем так: если Python — ноутбук у хакера, то Go — его пулемёт.
#ДневникХакера #Go
Акция на книги в 50%.mp4
16.8 MB
Здравствуйте, дорогие друзья.
Акция до 1-го сентября.
Скидка 50% на все 23 платные книги.
Более подробнее о предложении, по ссылке: https://vk.com/hacker_timcore?w=wall-44038255_10815
Акция до 1-го сентября.
Скидка 50% на все 23 платные книги.
Более подробнее о предложении, по ссылке: https://vk.com/hacker_timcore?w=wall-44038255_10815
📓 Дневник хакера: Rust в багбаунти
🦀 Сегодня врубаем тяжёлую артиллерию — Rust.
Этот язык в багбаунти работает как «повар на метамине» 🤯: быстрый, надёжный, параноидальный до боли.
• ⚡ Скорость — низкоуровневая, почти как на C, но без головняка с указателями. Rust спокойно жирает миллионы запросов, пока твой Python ещё думает, какой импорт ему нужен.
• 🔒 Безопасность — Rust орёт на тебя, если лезешь в память не туда: «эй, багхантер, тут будет use‑after‑free, вырубаю!».
• 🤖 High‑Perf сканеры — на Rust пишут агрессивные краулеры, фаззеры и кастомный сетевой движок, где нужно выжимать миллисекунды.
• 🚀 CLI‑утилиты — однажды собрал бинарь, и он пашет хоть на Linux, хоть на Windows, хоть на холодильнике с прошивкой.
💡 Для меня Rust — это язык «брутального экспериментатора» в CTF и R&D. Хочешь свой фаззер на 100к RPS? Rust. Хочешь ковырять бинарь и сразу из кода жечь ядро → Rust.
👉 Итог:
Rust не для «быстро накидать PoC» (тут Python решает 🐍), но если тебе нужен боевой сканер, который будет жить вечно, Rust — твой вариант.
#ДневникХакера #Rust
🦀 Сегодня врубаем тяжёлую артиллерию — Rust.
Этот язык в багбаунти работает как «повар на метамине» 🤯: быстрый, надёжный, параноидальный до боли.
• ⚡ Скорость — низкоуровневая, почти как на C, но без головняка с указателями. Rust спокойно жирает миллионы запросов, пока твой Python ещё думает, какой импорт ему нужен.
• 🔒 Безопасность — Rust орёт на тебя, если лезешь в память не туда: «эй, багхантер, тут будет use‑after‑free, вырубаю!».
• 🤖 High‑Perf сканеры — на Rust пишут агрессивные краулеры, фаззеры и кастомный сетевой движок, где нужно выжимать миллисекунды.
• 🚀 CLI‑утилиты — однажды собрал бинарь, и он пашет хоть на Linux, хоть на Windows, хоть на холодильнике с прошивкой.
💡 Для меня Rust — это язык «брутального экспериментатора» в CTF и R&D. Хочешь свой фаззер на 100к RPS? Rust. Хочешь ковырять бинарь и сразу из кода жечь ядро → Rust.
👉 Итог:
Rust не для «быстро накидать PoC» (тут Python решает 🐍), но если тебе нужен боевой сканер, который будет жить вечно, Rust — твой вариант.
#ДневникХакера #Rust
📓Дневник хакера: ночь сканера и 26 часов тишины
Запустил я свой Python‑хантер на миллион урлов LiveJournal… и ушёл спать 😴.
Думал: «ну максимум к утру он всё прогрызёт, я встану красавчиком, а там куча findings».
Ага, щас.
⚡ Итог:
• Скрипт работал 26 часов подряд ⏳.
• Прогресс реально шёл, но как улитка 🐌.
• Rambler банил IP, я ловил задержки, запросы тонули во времени.
• В какой‑то момент понял — это уже не hunt, а майнинг терпения.
И вот стою одним утром перед терминалом:
прогресс ползёт медленнее, чем дедовский диал‑ап… findings — 0, зато ноутбук в роли обогревателя 🔥.
Взял и потушил.
💡 Вывод за день:
Автоматизация — топ 🔝, но даже красивый скрипт можно убить миллионом урлов. Иногда лучше дробить пачками, делать умнее, добавлять многопоточки или прокси‑пул.
А ещё:
Python — это кайф для быстрой автоматизации, но никакой скрипт не заменит здравый смысл 😈.
🙃Следующий шаг — перепилю своего «хантера» в многопоточного убийцу с json‑логами и ротацией прокси. А пока запись в дневник такая: первый батч меня победил, но не надолго.
#ДневникХакера
Запустил я свой Python‑хантер на миллион урлов LiveJournal… и ушёл спать 😴.
Думал: «ну максимум к утру он всё прогрызёт, я встану красавчиком, а там куча findings».
Ага, щас.
⚡ Итог:
• Скрипт работал 26 часов подряд ⏳.
• Прогресс реально шёл, но как улитка 🐌.
• Rambler банил IP, я ловил задержки, запросы тонули во времени.
• В какой‑то момент понял — это уже не hunt, а майнинг терпения.
И вот стою одним утром перед терминалом:
прогресс ползёт медленнее, чем дедовский диал‑ап… findings — 0, зато ноутбук в роли обогревателя 🔥.
Взял и потушил.
💡 Вывод за день:
Автоматизация — топ 🔝, но даже красивый скрипт можно убить миллионом урлов. Иногда лучше дробить пачками, делать умнее, добавлять многопоточки или прокси‑пул.
А ещё:
Python — это кайф для быстрой автоматизации, но никакой скрипт не заменит здравый смысл 😈.
🙃Следующий шаг — перепилю своего «хантера» в многопоточного убийцу с json‑логами и ротацией прокси. А пока запись в дневник такая: первый батч меня победил, но не надолго.
#ДневникХакера
📓 Дневник хакера: PHP — олдскул багханта
Сегодня поговорим про PHP — язык, без которого не было бы половины уязвимостей в нашем багхантерском мире 🐘💥
⚡ Почему PHP — топовая забава для хакера?
• Это прям «DNA» старого веба: уязвимости здесь как грибы после дождика — XSS, LFI, RCE, file upload, unserialize, и конечно любимое — SQLi.
• В мире CTF и багбаунти почти каждая олдскул‑тема начинается с PHP: «Привет, у тебя include($_GET‘file’)!»
• Когда видишь в ответе php‑warning или trace с var_dump — сердце тает, понимаешь: «Здесь будет вечеринка».
• Всяких самописных CMS, форумов и старых CRM на PHP — тонны для тренировок и лайтового эксплойта.
🎯 Как юзаю PHP в охоте:
• Раскапываю логику upload’ов, ищу path traversal — по классике через
• Сразу лезу в сериализацию/десериализацию объектов:
• Люблю дедовские паблики, где eval или
• Для PoC к RCE всегда держу мини‑шеллы на PHP —
🧟♂ Мем из жизни:
— Только в багбаунти‑PHP можно встретить сайт на 7.x с парсером XML, который жрёт XXE так, что соседний сервер плачет.
💡 Мой вывод:
PHP — не просто язык, а вечный генератор уязвимостей и твой билет на баг‑вечеринку.
Если в багбаунти не видел LFI/RCE на PHP — значит, ты не из нашего времени.
#ДневникХакера #PHP
Сегодня поговорим про PHP — язык, без которого не было бы половины уязвимостей в нашем багхантерском мире 🐘💥
⚡ Почему PHP — топовая забава для хакера?
• Это прям «DNA» старого веба: уязвимости здесь как грибы после дождика — XSS, LFI, RCE, file upload, unserialize, и конечно любимое — SQLi.
• В мире CTF и багбаунти почти каждая олдскул‑тема начинается с PHP: «Привет, у тебя include($_GET‘file’)!»
• Когда видишь в ответе php‑warning или trace с var_dump — сердце тает, понимаешь: «Здесь будет вечеринка».
• Всяких самописных CMS, форумов и старых CRM на PHP — тонны для тренировок и лайтового эксплойта.
🎯 Как юзаю PHP в охоте:
• Раскапываю логику upload’ов, ищу path traversal — по классике через
../../etc/passwd• Сразу лезу в сериализацию/десериализацию объектов:
unserialize($_GET'data') прямо кричит «сломай меня!»• Люблю дедовские паблики, где eval или
preg_replace('/e/') — там просто клад для энтузиаста.• Для PoC к RCE всегда держу мини‑шеллы на PHP —
<?php system($_GET'cmd'); ?> и вижу: жизнь прекрасна!🧟♂ Мем из жизни:
— Только в багбаунти‑PHP можно встретить сайт на 7.x с парсером XML, который жрёт XXE так, что соседний сервер плачет.
💡 Мой вывод:
PHP — не просто язык, а вечный генератор уязвимостей и твой билет на баг‑вечеринку.
Если в багбаунти не видел LFI/RCE на PHP — значит, ты не из нашего времени.
#ДневникХакера #PHP
📓 Дневник хакера: C — тяжёлая артиллерия багханта 💠
Сегодня достаю дедовский арсенал — C.
Это язык, где бит и байт — не просто код, а настоящее поле битвы 😈.
⚡ Почему C — это артиллерия хакера:
• Здесь пишутся самые низкоуровневые эксплойты: от buffer overflow до обхода DEP/ASLR — разруливай память как мастер и ломай всё, что плохо лежит.
• Настоящая бинарная магия: разбираешь ELF/PE, подкидываешь shellcode, делаешь injectы — тут важен каждый байт, тут мутации как в лаборатории.
• C — это ручной exploit dev, когда автоматикой не отделаешься. На нём ковыряешь вылеты, бьёшь по GOT, рисуешь ROP-цепочки как художник.
• Если хочется элегантно уронить сервис, C — входной билет: мозги трещат, но когда работает — багбаунти видит в тебе бога.
🧠 Мой workflow:
• Не доверяю автоматике: беру oldschool гекс-редактор, дизассемблер и IDE — тут уже не grep, а readelf, objdump, gdb и вся магия debug.
• Иногда вручную пишу шеллы на 30 байт, чтобы запустить calc.exe или поднять реверс.
• Люблю угадывать офсеты, проверять, что в стеке, выносить return address и делать manual bruteforce.
🔥 Мем дня:
— “Если баг на C не эксплуатируется ручками — значит, его не существует!”
— Сломал функцию на С, вернул upvote на баг‑бунти, ушёл в закат компилировать следующий эксплойт.
💡 Вывод за день:
C — это язык настоящих хакеров, где автоматизация не спасёт: только руки, грабли и ассемблер под капотом.
В мире багханта автоматом не пробьёшься — тут рулит только тяжёлая артиллерия!
#ДневникХакера #C
Сегодня достаю дедовский арсенал — C.
Это язык, где бит и байт — не просто код, а настоящее поле битвы 😈.
⚡ Почему C — это артиллерия хакера:
• Здесь пишутся самые низкоуровневые эксплойты: от buffer overflow до обхода DEP/ASLR — разруливай память как мастер и ломай всё, что плохо лежит.
• Настоящая бинарная магия: разбираешь ELF/PE, подкидываешь shellcode, делаешь injectы — тут важен каждый байт, тут мутации как в лаборатории.
• C — это ручной exploit dev, когда автоматикой не отделаешься. На нём ковыряешь вылеты, бьёшь по GOT, рисуешь ROP-цепочки как художник.
• Если хочется элегантно уронить сервис, C — входной билет: мозги трещат, но когда работает — багбаунти видит в тебе бога.
🧠 Мой workflow:
• Не доверяю автоматике: беру oldschool гекс-редактор, дизассемблер и IDE — тут уже не grep, а readelf, objdump, gdb и вся магия debug.
• Иногда вручную пишу шеллы на 30 байт, чтобы запустить calc.exe или поднять реверс.
• Люблю угадывать офсеты, проверять, что в стеке, выносить return address и делать manual bruteforce.
🔥 Мем дня:
— “Если баг на C не эксплуатируется ручками — значит, его не существует!”
— Сломал функцию на С, вернул upvote на баг‑бунти, ушёл в закат компилировать следующий эксплойт.
💡 Вывод за день:
C — это язык настоящих хакеров, где автоматизация не спасёт: только руки, грабли и ассемблер под капотом.
В мире багханта автоматом не пробьёшься — тут рулит только тяжёлая артиллерия!
#ДневникХакера #C
Media is too big
VIEW IN TELEGRAM
Здравствуйте, дорогие друзья.
Акция на все наши 23 платные книги, со скидкой в 50% до 1-го сентября!
Более подробнее о предложении, по ссылке: https://vk.com/hacker_timcore?w=wall-44038255_10815
Акция на все наши 23 платные книги, со скидкой в 50% до 1-го сентября!
Более подробнее о предложении, по ссылке: https://vk.com/hacker_timcore?w=wall-44038255_10815
🚀 Я AI-программист — и это не просто ещё один тип кода. Это формально новая профессия, где ты не просто тыкаешь кнопки, а становишься настоящим архитектором цифрового мира.
Раньше был классический девелопер — пишешь code, дебажишь, решаешь баги. Сегодня AI-программисты не просто пишут, они формируют контуры решений, обучают нейронки и проектируют систему интеллекта, которая будет думать и решать задачи вместо нас.
Это как если бы ты не только строил дом, а запускал путеводитель, чтобы роботы строили за тебя, а ты следил, как всё растёт, и вовремя подправлял архитектуру. В AI-программировании ты заботишься о глобальной картине, задаёшь тренды поведения ИИ, разруливаешь логику на уровне системы.
Вместо функции, которую надо написать на 100 строк — теперь задача звучит: “Как научить машину решать задачу с минимальным твоим вмешательством?” Ты перестаёшь быть просто кодером — ты смарт-архитектор, дизайнер сложных интеллектуальных процессов.
Короче, AI-программист — это новый класс кодеров, где 20% пишут руками, 80% мыслишь в масштабах, что сеть, что бизнес, что будущее. Если хочешь рулить будущим — это твой путь.
#blog
#ai
#ai_programmer
Раньше был классический девелопер — пишешь code, дебажишь, решаешь баги. Сегодня AI-программисты не просто пишут, они формируют контуры решений, обучают нейронки и проектируют систему интеллекта, которая будет думать и решать задачи вместо нас.
Это как если бы ты не только строил дом, а запускал путеводитель, чтобы роботы строили за тебя, а ты следил, как всё растёт, и вовремя подправлял архитектуру. В AI-программировании ты заботишься о глобальной картине, задаёшь тренды поведения ИИ, разруливаешь логику на уровне системы.
Вместо функции, которую надо написать на 100 строк — теперь задача звучит: “Как научить машину решать задачу с минимальным твоим вмешательством?” Ты перестаёшь быть просто кодером — ты смарт-архитектор, дизайнер сложных интеллектуальных процессов.
Короче, AI-программист — это новый класс кодеров, где 20% пишут руками, 80% мыслишь в масштабах, что сеть, что бизнес, что будущее. Если хочешь рулить будущим — это твой путь.
#blog
#ai
#ai_programmer
Media is too big
VIEW IN TELEGRAM
Быстрое прохождение 6-ти машин с площадки VulnHub. Тренируйтесь в решении задачек CTF.
Пройденные машины, на видео:
3 части DC:
DC-1
DC-2
DC-7
ColdWorld Immersion
WestWild
dpwwn 1
Все эти машины Вы можете найти на площадке - VulnHub,
и потренироваться в решении задачек CTF.
Пройденные машины, на видео:
3 части DC:
DC-1
DC-2
DC-7
ColdWorld Immersion
WestWild
dpwwn 1
Все эти машины Вы можете найти на площадке - VulnHub,
и потренироваться в решении задачек CTF.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Скрытые endpoints в мобильном API
Что вижу: Все мобилки в проде любят играть в «прятки» — API у них не совпадает с вебом. На фронте кнопка — три запроса, а в бинарнике — ещё 10 эндпойнтов под капотом: /beta/, /internal/, /debug/healthcheck.
Подробнее: https://timcourse.ru/skrytye-endpoints-v-mobilnom-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Скрытые endpoints в мобильном API
Что вижу: Все мобилки в проде любят играть в «прятки» — API у них не совпадает с вебом. На фронте кнопка — три запроса, а в бинарнике — ещё 10 эндпойнтов под капотом: /beta/, /internal/, /debug/healthcheck.
Подробнее: https://timcourse.ru/skrytye-endpoints-v-mobilnom-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Скрытые endpoints в мобильном API — Авторские курсы Михаила Тарасова
Что вижу: Все мобилки в проде любят играть в «прятки» — API у них не совпадает с вебом. На фронте кнопка — три запроса, а в бинарнике — ещё 10 эндпойнтов под капотом: `/beta/`, `/internal/`, `/debug/healthcheck`.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#bug_bounty
#bug_hunting
Authz-bypass через кастомные headers
Что вижу: Сервак принимает кастомные заголовки (X-User-Id, X-Forwarded-For, X-Auth-Role). Админы сами намудрили middleware, и вместо нормального JWT у них — доверие к строке в header.
Подробнее: https://timcourse.ru/authz-bypass-cherez-kastomnye-headers/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
Authz-bypass через кастомные headers
Что вижу: Сервак принимает кастомные заголовки (X-User-Id, X-Forwarded-For, X-Auth-Role). Админы сами намудрили middleware, и вместо нормального JWT у них — доверие к строке в header.
Подробнее: https://timcourse.ru/authz-bypass-cherez-kastomnye-headers/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
Authz-bypass через кастомные headers — Авторские курсы Михаила Тарасова
Что вижу: Сервак принимает кастомные заголовки (`X-User-Id`, `X-Forwarded-For`, `X-Auth-Role`). Админы сами намудрили middleware, и вместо нормального JWT у них — доверие к строке в header.
#forensics
Мобильная форензика: смартфоны как чёрные ящики авиалайнеров (только с твоими секретами)
Мобильная форензика — это твой ларец Пандоры с цифровыми скелетами, только вместо древних страшилок — свеженькие данные, которые ты думал, что навечно отправил в корзину. Смартфоны сегодня — практически копия чёрных ящиков авиалайнеров: оба хранят правду, пусть даже ты очень не хочешь, чтобы она выплыла наружу. Но в отличие от авиационного чёрного ящика, который героически ждет своего часа после крушения, твой телефон каждую секунду пишет новую главу дневника твоей жизни — и однажды его обязательно попросят прочитать вслух.
Подробнее: https://timforensics.ru/mobilnaya-forenzika-smartfony-kak-chyornye-yashhiki-avialajnerov-tolko-s-tvoimi-sekretami/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Мобильная форензика: смартфоны как чёрные ящики авиалайнеров (только с твоими секретами)
Мобильная форензика — это твой ларец Пандоры с цифровыми скелетами, только вместо древних страшилок — свеженькие данные, которые ты думал, что навечно отправил в корзину. Смартфоны сегодня — практически копия чёрных ящиков авиалайнеров: оба хранят правду, пусть даже ты очень не хочешь, чтобы она выплыла наружу. Но в отличие от авиационного чёрного ящика, который героически ждет своего часа после крушения, твой телефон каждую секунду пишет новую главу дневника твоей жизни — и однажды его обязательно попросят прочитать вслух.
Подробнее: https://timforensics.ru/mobilnaya-forenzika-smartfony-kak-chyornye-yashhiki-avialajnerov-tolko-s-tvoimi-sekretami/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Мобильная форензика: смартфоны как чёрные ящики авиалайнеров (только с твоими секретами) | Форензика
Мобильная форензика — это твой ларец Пандоры с цифровыми скелетами, только вместо древних страшилок — свеженькие данные, которые ты думал, что навечно
#forensics
Блокчейн-расследования: следим за “невидимыми” крипто-транзакциями без магии”
Блокчейн-расследования — это не алхимия и не шаманство, а скучно-безжалостная математика и анализ, где магия нужна только тем, кто застрял в 2015 году. Так что забудьте про мистику: даже «невидимые» транзакции крипты — просто жирные следы на цифровом асфальте, если знаешь, где смотреть и чем ковырять.
Подробнее: https://timforensics.ru/blokchejn-rassledovaniya-sledim-za-nevidimymi-kripto-tranzakcziyami-bez-magii/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Блокчейн-расследования: следим за “невидимыми” крипто-транзакциями без магии”
Блокчейн-расследования — это не алхимия и не шаманство, а скучно-безжалостная математика и анализ, где магия нужна только тем, кто застрял в 2015 году. Так что забудьте про мистику: даже «невидимые» транзакции крипты — просто жирные следы на цифровом асфальте, если знаешь, где смотреть и чем ковырять.
Подробнее: https://timforensics.ru/blokchejn-rassledovaniya-sledim-za-nevidimymi-kripto-tranzakcziyami-bez-magii/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Форензика
Блокчейн-расследования: следим за "невидимыми" крипто-транзакциями без магии" | Форензика
Блокчейн-расследования — это не алхимия и не шаманство, а скучно-безжалостная математика и анализ, где магия нужна только тем, кто застрял в 2015 году.
📝 Дневник хакера: программер vs этичный хакер — в чём разница?
Когда думают о программировании, первым делом вспоминают разработку приложений, сайтов, софта. Но если копнуть глубже — ты поймёшь: программирование для этичного хакинга и для обычной разработки — это два разных мира с разными задачами и целями.
⚡ Принципиальные различия:
1. Цель и ментальность
• Обычный девелопер пишет код, чтобы строить функционал, делать интерфейс, оптимизировать процессы для пользователя и бизнеса. Задача — создать работающий, удобный, масштабируемый продукт.
• Этичный хакер пишет скрипты и эксплойты, чтобы ломать этот продукт (но законно!), выявлять уязвимости и показывать, где система слаба. Ментальность — искать дыры, создавать хаос ради безопасности.
2. Приоритеты в коде
• Девелопер фокусируется на архитектуре, читаемости, масштабируемости и поддерживаемости.
• Хакер — на гибкости, скорости, возможностях обхода защиты, автоматизации атаки с минимальными ресурсами.
3. Инструменты и языки
• Девелопер часто использует высокоуровневые языки (Java, Python, JS) с фреймворками и стандартами.
• Хакер берёт всё: от Bash-скриптов до ассемблера, чтобы прикрыть узкие места, «достучаться» до ядра системы и выжать максимум.
4. Отношение к ошибкам
• Для разработчика баги — досадные ошибки, которые надо быстро фиксить.
• Для хакера баг — добыча, уязвимость, средство открыть дверь внутрь.
💡 Итог:
Программирование — универсальный навык, но этичный хакер — это разработчик с суперсилой разрушения и реконструкции. Он не просто пишет код, он идёт смотреть на систему с другой стороны, чтобы потом сделать её крепче.
#ДневникХакера
Когда думают о программировании, первым делом вспоминают разработку приложений, сайтов, софта. Но если копнуть глубже — ты поймёшь: программирование для этичного хакинга и для обычной разработки — это два разных мира с разными задачами и целями.
⚡ Принципиальные различия:
1. Цель и ментальность
• Обычный девелопер пишет код, чтобы строить функционал, делать интерфейс, оптимизировать процессы для пользователя и бизнеса. Задача — создать работающий, удобный, масштабируемый продукт.
• Этичный хакер пишет скрипты и эксплойты, чтобы ломать этот продукт (но законно!), выявлять уязвимости и показывать, где система слаба. Ментальность — искать дыры, создавать хаос ради безопасности.
2. Приоритеты в коде
• Девелопер фокусируется на архитектуре, читаемости, масштабируемости и поддерживаемости.
• Хакер — на гибкости, скорости, возможностях обхода защиты, автоматизации атаки с минимальными ресурсами.
3. Инструменты и языки
• Девелопер часто использует высокоуровневые языки (Java, Python, JS) с фреймворками и стандартами.
• Хакер берёт всё: от Bash-скриптов до ассемблера, чтобы прикрыть узкие места, «достучаться» до ядра системы и выжать максимум.
4. Отношение к ошибкам
• Для разработчика баги — досадные ошибки, которые надо быстро фиксить.
• Для хакера баг — добыча, уязвимость, средство открыть дверь внутрь.
💡 Итог:
Программирование — универсальный навык, но этичный хакер — это разработчик с суперсилой разрушения и реконструкции. Он не просто пишет код, он идёт смотреть на систему с другой стороны, чтобы потом сделать её крепче.
#ДневникХакера