Дневник Хакера: Качаем мозг и готовим iptables 🧠💣

Салют, банда! Сегодня был день смешанных единоборств: половину времени бодался с непокорным сервером, а другую — вливал в себя новые знания. Потому что лучший эксплойт — это твой собственный мозг. 🤓

Часть 1: Битва за gRPC (продолжение) 💥
Итак, наша драма с *.yandex.ru продолжается. Напомню: их WAF сносит мой grpcurl на взлёте, а все попытки загнать его в Burp провалились. grpcurl упрямый, как админ, который не меняет пароль admin:admin. 😅
Сегодняшний план был один — ядерный. ☢️ Раз утилита не хочет идти в прокси по-хорошему, мы заставим её по-плохому. План “Б”, а точнее “И” — iptables. Идея простая: завернуть весь TCP-трафик на 443 порт цели прямо в лапы моему Burp’у. От такого не увернётся никто. Но это я оставил на десерт. 🍮

Часть 2: Прокачка скиллов 🏋️‍♂️
Даже в разгар боя нужно точить топор. Сегодня я засел за теорию и пересмотрел несколько крутых видосов. Делюсь с вами, вдруг тоже пригодится:

1. “ПОЛНЫЙ гайд по Burp Suite для начинающих!” от CyberYozh.
Да, я знаю Burp как свои пять пальцев, но повторение — мать учения. Освежил в памяти работу с Repeater и Intruder. Иногда в базовых вещах кроется ключ к сложной атаке. 🛠️
2. “Как стать охотником за уязвимостями? Полный гайд по Bug Bounty!” от него же.
Полезно, чтобы снова поймать правильный вайб. Recon, выбор программы, скоуп… Вроде всё знаешь, но свежий взгляд помогает не закопаться в рутине. 🎯
3. “Опыт участия в багбаунти Яндекса”
А вот это уже узкоспециализированная тема. Слушать про опыт других на той же платформе, которую ковыряешь сам, — бесценно. Помогает понять, как мыслят их секьюрити-инженеры. 🧠
Итог дня: мозг заряжен, iptables наготове. Завтра продолжим нашу осаду. Этот gRPC-сервис заговорит.

#ДневникХакера

С почином. Первая выплата с площадки Standoff 365.

Где-то меньше месяца работы, куча опыта и эмоций, как положительных, так и не очень.

P.S. Ресурс государственный, так что такая скромная цифра.

#fuzzing
#ml

Интеграция машинного обучения в фаззинг: находим баги быстрее

Фаззинг — это наш хлеб с маслом. Мы скармливаем программе тонны мусорных данных и ждём, когда она упадёт. Классика, как AFL или libFuzzer, работает, но часто вслепую, как пьяный сапёр на минном поле. Пришло время прокачать этот процесс и добавить ему мозгов с помощью машинного обучения (ML).

Подробнее: https://timrobot.ru/integracziya-mashinnogo-obucheniya-v-fazzing-nahodim-bagi-bystree/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bypass
#payload

Обход антивирусов через шифрование пейлоада

Антивирусы — это как сторожевые псы. Они обучены узнавать “плохих парней” по запаху (сигнатурам) и поведению (эвристика). Но что, если наш “плохой парень” наденет чужой костюм и надушится ромашкой? Именно этим мы и займёмся. Шифрование пейлоада — классический, как АК-47, и до сих пор чертовски эффективный способ проскользнуть мимо статического анализа.

Подробнее: https://timrobot.ru/obhod-antivirusov-cherez-shifrovanie-pejloada/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#tools

Топ-10 инструментов для багхантеров / Начинаем в багбаунти

https://www.youtube.com/watch?v=3XBjvKReQ1w

#blog@timneuro
#tunaai@timneuro

Инженеры-биомедики из Duke University разработали платформу TuNa-AI

Инженеры-биомедики из Университета Дьюка разработали инновационную платформу TuNa-AI, которая объединяет искусственный интеллект (ИИ) и роботизированные лабораторные методы для ускорения и оптимизации создания наночастиц, используемых для доставки лекарств. Этот подход открывает новые перспективы для более эффективной и безопасной доставки сложных терапевтических препаратов

Подробнее: timneuro.ru/inzhenery-...

Другие наши проекты:

timcore.ru/
timcourse.ru/
timforensics.ru/
tarasovinvest.ru/
mikhailtarasovcom.ru/
timrobot.ru/
timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
t.me/timcore_ha...
t.me/school_tim...
t.me/programmer...
t.me/timneuro_t...

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Твоя машина знает всё: что расскажет бортовой компьютер о твоих поездках (и не только)

Думаешь, твой самый большой секрет — это история поиска в браузере? Как наивно. Твоя машина знает о тебе больше, чем твоя собственная мать, и, в отличие от неё, не забудет ни одной детали.

Подробнее: https://timforensics.ru/tvoya-mashina-znaet-vsyo-chto-rasskazhet-bortovoj-kompyuter-o-tvoih-poezdkah-i-ne-tolko/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Вскрываем «мозги» железа: форензика прошивок для тех, кто не боится паяльника

Считаешь себя крутым, потому что умеешь восстанавливать удаленные файлы с флешки? Похвально. Но пока ты копаешься в песочнице, настоящие специалисты вскрывают «мозги» железа. Сегодня мы поговорим о форензике прошивок — высшем пилотаже, где вместо мышки и клавиатуры твоими главными инструментами становятся паяльник и логический анализатор.

Подробнее: https://timforensics.ru/vskryvaem-mozgi-zheleza-forenzika-proshivok-dlya-teh-kto-ne-boitsya-payalnika/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Дневник хакера: Два дня в цифровых окопах: мой штурм SSO! 💥

Всем салют! 🤘 Решил поделиться, чем занимался последние 48 часов. Ушёл с головой в пентест SSO одного крупного сервиса. Думал, будет лёгкая прогулка? Ага, сейчас.

День 1: Разведка и лобовая атака 🕵️‍♂️
Начал с базы: прогнал ffuf и dirsearch по всем сабдоменам. Нашёл жирный эндпоинт, который просто умолял проверить его на XSS. 😈
Зарядил свой любимый Burp Intruder, скормил ему словари от Jhaddix и дал огня. Но WAF там оказался не для красоты — все мои пейлоады отлетали, как от стенки горох. Длина ответов была одинаковой, что говорило о хорошей фильтрации. 🧱
Вывод: С Reflected XSS тут ловить нечего.

День 2: Поворот на Open Redirect 🔄
Раз код не засунуть, решил попробовать увести юзера. Нашёл два эндпоинта, которые отвечали за редиректы:
1. /push?retpath=
2. /api/auth/web/autologin-vk?redirectUrl=
Протестировал все свои коронные трюки: //evil.com, ***.ru@evil.com, двойное URL-кодирование. Но их бэкенд оказался на стрёме. На каждый мой выпад сервер отвечал 302 Found, но редиректил на свою же страницу. Валидация домена на месте. 👨‍💻

Итог: Я исключил два мёртвых вектора и собрал кучу инфы об их защите. Это не поражение, это ценные разведданные! 💪

План на завтра: Хватит этих детских игр. Пора штурмовать цитадель — основной OAuth 2.0 эндпоинт. Буду ломать логику redirect_uri, мучать scope и client_id. Настоящий хардкор только начинается! 💣

Stay tuned! Завтра будет интересно. 😎

#ДневникХакера #BugBounty #Pentest #RedTeam #Hacking #OAuth #OpenRedirect #0day

#blog

Дошел до 900 000 рублей по выручке в этом году со своего микробизнеса.

#blog

Годовой книжный челлендж завершен: 100 книг за 2025 год прочитаны

Годовой книжный челлендж завершен: 100 книг за 2025 год прочитаны. Это уже восьмой год моего литературного эксперимента, который я начал в 2017 году, и за все время было освоено более 1100 книг. Этот вызов давно перестал быть просто развлечением — он превратился в систему развития, профессионального роста и личного баланса.

Подробнее: https://mikhailtarasovcom.ru/godovoj-knizhnyj-chellendzh-zavershen-100-knig-za-2025-god-prochitany/

#bug_bounty
#idor

Начинаем в багбаунти: ищем первые уязвимости некорректной настройки прав (Access Control / IDOR)

https://www.youtube.com/watch?v=whDnzTvBzjs

#ДневникХакера 🤘

Всем салют, народ! На связи. 💻

Сегодня был тот ещё денёк. Попалась цель — как крепость, на первый взгляд. Светится, блестит, но все мои попытки пробиться — в молоко. WAF (Web Application Firewall) оказался лютым, рубил все payload’ы на корню. 🥅 LFI? 403 Forbidden. SQL-инъекция? Тишина. Даже RCE-payload’ы сервер переваривал, как ни в чём не бывало. Я уж было подумал, что придётся по-взрослому раскочегаривать Burp Suite…

…но тут, как в старом добром анекдоте, нашлась лазейка. 😈

Решил копнуть старый легаси-код (отголоски Microsoft из нулевых, вы же знаете). И что вы думаете? Файрвол на уровне хостинга не выдержал моего напора и просто выплюнул страницу-заглушку. А там — весь расклад: и IP, и, самое сочное, реальное имя хоста сервера. 🍔

Это был тот самый момент, когда понимаешь: ломился не в ту дверь. Зачем взламывать замок, если админ сам оставил ключ под ковриком?

Мораль дня: самая навороченная защита может пасть из-за одной мелкой ошибки в конфиге. OpSec (операционная безопасность) — не просто модное слово. Админы, следите за своими системами, а то придёт кто-нибудь вроде меня и завернёт всё в красивый отчёт! 😉

NDA, сами понимаете, язык держу за зубами. Но было весело — классический pivot с веб-приложения на инфраструктуру.
Всем пис! Не забывайте про обфускацию и юзайте правильные инструменты! 🤘

#хакинг #кибербез #bugbounty #pentest #redteam

Здравствуйте, дорогие друзья!

Стартует жаркая акция на мою электронную книгу — «Вайб-кодер: от нуля до мастера в эпоху AI»!
Только 3 дня: с 29 сентября по 1 октября действует скидка 33%. Успей забрать книгу за 1000 руб. вместо 1500 руб.

Почему именно эта книга?

Мир кода меняется быстрее, чем ты успеваешь открывать VS Code. GitHub Copilot пишет куски кода за тебя, Cursor общается с проектом как настоящий тимлид, а Replit собирает бэкенд прямо в облаке. Уже не важно, сколько ты печатаешь в минуту — важно, умеешь ли ты управлять этой новой силой.
И именно этому посвящена моя книга. Она — твой практичный и честный гид в эпоху AI-разработки. Без занудства, с юмором и реальными кейсами.

Что тебя ждёт внутри?
• Путь от нуля до мастера — от «Hello, AI!» до деплоя проекта на React и Node.js.
• Разбор GitHub Copilot, Cursor и Replit без маркетинговой шелухи.
• Реальные баги и фейлы AI, их разбор и исправление.
• Практические примеры: фронтенд, бэкенд, базы данных, CI/CD.
• Взгляд в будущее: этика, копирайт и философия вайб-кодера.
• Финальный вайб — кодинг остаётся твоим творчеством, а нейросети — лишь инструмент.

Для кого книга?
Для студентов, начинающих программистов, джунов и даже матерых разработчиков, которые хотят прокачать свою работу с AI-инструментами и оставаться в игре.

⚡ Цена вне акции: 1500 руб.
🔥 Цена сейчас (до 1 октября включительно): 1000 руб.
(Раньше предзаказ был 900 руб., но акция — это твой шанс урвать по выгодной цене, пока она ещё не взлетела обратно!)

Ты готов завести движок своего кода в новой реальности?

Тогда бронируй свой экземпляр сейчас.

Мы в коде. 🚀

Содержание: https://vk.com/hacker_timcore?w=wall-44038255_10761

Для приобретения, пишите по контакту в телеграм: @timcore1

#bug_bounty
#bug_hunting

JWT KID Header атака — когда подписи проверяются по файлу kid=/etc/passwd

JWT (JSON Web Token) придумали как священный грааль авторизации: «вот, у нас всё подписано, всё безопасно». На деле оказалось, что если разработчик рукожоп — подпись превращается из крипты в «cat /etc/passwd через заголовок».

Подробнее: https://timcourse.ru/jwt-kid-header-ataka-kogda-podpisi-proveryayutsya-po-fajlu-kid-etc-passwd/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting

CSP Bypass через trusted CDN — инжекция на легальном Google Tag Manager

Когда разрабы думают, что настроили CSP — в реальности они просто повесили вывеску «мы в безопасности» и ушли бухать. Но если среди script-src торчит https://www.googletagmanager.com, держись крепче: через GTM можно втащить полноценный XSS, и никаких unsafe-inline.

Подробнее: https://timcourse.ru/csp-bypass-cherez-trusted-cdn-inzhekcziya-na-legalnom-google-tag-manager/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#burp_suite
#pentest
#bug_bounty

Master Burp Suite Like A Pro In Just 1 Hour

One of the most common problems with modern tutorials for tools is that they tend to sound a lot like man-pages or documentation. For instance, they'll tell you all about the little command flags, all the little buttons you can click on; but something that they seem to miss out on is "WHY you would use each of these options?"

So, for this video, we're going to do things a little different. Instead, I'm going to walk you through a typical pentest, and we're going to see where you should use each tool within Burp Suite along the way.

Juice Shop Heroku - juice-shop herokuapp com

0:00 Intro
0:57 Setup
1:57 Reconnaissance Steps
2:16 Application Mapping
5:42 Parameter Tampering
9:44 Finding Secrets
14:01 Registration/Login Flow
20:03 Analyzing JWT Tokens
23:16 Special Message
25:25 Exploiting IDOR
26:21 Burp Intruder Workflow
28:06 Advanced Intruder Settings
33:03 Finding Logic Flaws
37:30 Exploiting Logic Flaws
39:31 Success & Homework for you
40:23 Putting it all together (Another logic flaw)
49:26 Stealing Christmas
49:52 How you know you're done
50:50 Wrap up

https://www.youtube.com/watch?v=QiNLNDSLuJY

#vibe_hacking
#ai

Что такое вайб-хакинг?

Братан, сейчас расскажу тебе про одну из самых свежих штук в мире ломания систем. Вайб-хакинг (Vibe Hacking) — это новый тип кибератак, где злоумышленники используют ИИ-агентов не просто как помощников, а как полноценное кибероружие для взлома систем. И это не теория — это уже реальность, браток.

Подробнее: https://timcore.ru/2025/09/30/chto-takoe-vajb-haking/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

«Крот в офисе: как вычислить корпоративного шпиона с помощью цифровых улик»

В эпоху, когда данные стоят дороже нефти, корпоративный шпион — это не вымышленный злодей из шпионских триллеров, а реальная угроза, которая может слить ваши секреты конкурентам быстрее, чем вы скажете “утечка данных”. В этой статье я расскажу, как вычислить такого “крота” с помощью цифровых улик — без нарушения законов и с долей цинизма.

Подробнее: https://timforensics.ru/krot-v-ofise-kak-vychislit-korporativnogo-shpiona-s-pomoshhyu-czifrovyh-ulik/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 vk.com/timcore_games - Разработка игр.
🕵‍♂ vk.com/forensics_timcore - Услуги кибердетектива.
💰 vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
https://t.me/timneuro_timcore
https://t.me/mikhail_tarasov_finance

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.