#csharp
#gray_hat
#openvas

#39 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Класс OpenVASManager.

Конструктор класса OpenVASManager принимает один аргумент — OpenVASSession [1]. Если сеанс прошел, поскольку аргумент имеет значение null, мы выбрасываем исключение, поскольку мы не можем общаться с OpenVAS без действующего сеанса. В противном случае мы присваиваем сеанс локальной переменной класса, которую можем использовать из методов класса, например GetVersion().

Подробнее: https://timcore.ru/2023/10/31/39-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-klass-openvasmanager/

#hackthebox
#htb
#hacking

HackTheBox - PC

00:00 - Introduction
01:05 - Start of nmap
03:00 - Googling the port number, and reading more about gRPC
04:45 - Install GRPCurl so we can access the gRPC interface
06:30 - Enumerating the grpc interface
10:30 - Registering a user and logging in
13:45 - Using Verbose with GRPCurl to get extra information which includes an JWT
16:20 - Discovering an SQL Injection in the SimpleApp.GetInfo, enumerating the database to discover SQLite
19:45 - Enumerating the SQLite Database (similar to Information_schema with mysql)
21:45 - Using Group_Concat with a union injection to dump all users and passwords, then SSH into the box
24:45 - Discovering PyLoad is running on localhost, setting up an SSH Tunnel to access it
26:00 - Finding a public POC and running it to exploit PyLoad

https://www.youtube.com/watch?v=AQSLvalzW8g

Здравствуйте, дорогие друзья. Внимание!!!

3-й апдейт видеокурса - «Этичный взлом.»

Что добавил? Все просто: с 9-го по 18-й модуль в виде видеоуроков, продолжительностью 8 часов.

Итого продолжительность: 31 час 14 минут.
Выжимка из моего 7-ми летнего опыта.

Стоимость: 11 000 рублей.
Отзывы вот тут: https://vk.com/topic-44038255_49120521

Добавлен был 9 — 18 модуль. Видеокурс: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.» — 8 часов

Содержание вот тут: https://timcore.ru/kurs-jeticheskij-vzlom/

Для приобретения пишите по контакту: @timcore1

#bug_bounty
#rce

RCE in Progress WS_FTP Ad Hoc via IIS HTTP Modules (CVE-2023-40044)

https://blog.assetnote.io/2023/10/04/rce-progress-ws-ftp/

#csharp
#gray_hat
#cuckoo

#40 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Cuckoo Sandbox.

Здравствуйте, дорогие друзья.

Cuckoo Sandbox — это проект с открытым исходным кодом, который позволяет запускать образцы вредоносного ПО на безопасных виртуальных машинах, затем анализировать и сообщать о том, как вредоносное ПО вело себя в виртуальной песочнице без угрозы вредоносного ПО, заражающее Вашу настоящую машину. Приложение написано на Python, и Cuckoo Sandbox также предлагает REST API. Это позволяет программисту, использующему любой язык, полностью автоматизировать многие функции Cuckoo, такие как запуск песочниц, запуск вредоносного ПО и получение отчетов.

Подробнее: https://timcore.ru/2023/11/02/40-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomatizacija-cuckoo-sandbox/

Внимание!!! Черная Пятница и скидки до 78% до 30 ноября 2023 года!!!

А у нас идет уже черная пятница, которая продлится с 7-го по 30 ноября включительно. Успейте купить услуги и товары в нашем магазине по очень выгодным скидкам, перейдя по ссылке:
https://vk.com/uslugi-44038255?screen=group

Подробнее: https://timcore.ru/2023/11/07/vnimanie-chernaja-pjatnica-i-skidki-do-78-do-30-nojabrja-2023-goda/

Сегодня международный день защиты информации. С праздником, дорогие друзья! 🥳

#hackthebox
#htb
#hacking

HackTheBox - Intentions

00:00 - Introduction
01:00 - Start of nmap
02:30 - Looking at the login request, guessing it is Laravel based upon XSRF being in cookie and header
08:10 - Playing with updating genre and viewing feed to discover an error
10:04 - Opening up SQL Fiddle to explain what I think is going on, its using FIND_IN_SET
14:20 - Discovering space is a bad character and when this happens using the -- comment is bad
17:48 - Manually dumping the database with union statements
25:18 - Using SQL Map showing this SQL Injection
30:54 - Going over our recon and discovering a v2 admin login endpoint which lets us login with the password hash
38:28 - Logged in as an admin (Steve)
42:10 - Talking about Exploiting PHP Object Instanatiations then exploiting ImageMagick
1:01:20 - Shell returned, downloading .git, looking at commits and finding Greg's password
1:07:05 - Talking about the Scanner Binary and showing how we can leak the file one byte at a time
1:10:07 - Creating a python program to run the scanner binary thousands of times to leak files one byte at a time

https://www.youtube.com/watch?v=YmRDV0JR4qg

#kali_linux
#kali
#hacking

Курс Ultimate Kali Linux — 1# Предисловие.

Когда Вы начинаете заниматься этичным взломом и тестированием на проникновение в индустрии кибербезопасности, Вы часто слышите о знаменитом дистрибутиве Linux, известном как Kali Linux. Kali Linux — это дистрибутив Linux для тестирования на проникновение, созданный для удовлетворения потребностей профессионалов в области кибербезопасности на каждом этапе теста на проникновение.

Подробнее: https://timcore.ru/2023/12/05/kurs-ultimate-kali-linux-1-predislovie/

#news

Самым популярным паролем в мире в 2023 году стал «123456»

Разработчики менеджера паролей NordPass уже подводят итоги года и опубликовали традиционный список наиболее распространенных и слабых паролей. Хотя в этом году пароль «password» утратил пальму первенства и занимает лишь седьмое место по популярности, ему на смену пришли «123456», «admin» и «12345678», которые теперь возглавляют список.

Источник: https://xakep.ru/2023/11/21/worst-passwords-2023/

#news

Poloniex установила личность хакера, похитившего около 130 000 000 долларов

Криптовалютная биржа Poloniex утверждает, что установила личность преступника, который похитил у нее около 130 млн долларов в криптовалюте в начале ноября. Хакеру еще раз предложили вернуть все украденные средства, установив срок до 25 ноября и подчеркивая, что к делу уже привлечены правоохранительные органы Китая, России и США.

Источник: https://xakep.ru/2023/11/21/poloniex-message/

#news

У криптовалютной платформы KyberSwap украли 54,7 млн долларов

У децентрализованной биржи KyberSwap похитили почти 54,7 млн долларов в криптовалюте. Компания предложила хакеру вознаграждение в размере 10% от суммы украденных активов за обнаружение уязвимости, однако пока средства не возвращены.

Источник: https://xakep.ru/2023/11/27/kyberswap-hacked/

#news
#kali_linux

Вышла Kali Linux 2023.4 с 15 новыми инструментами

Разработчики представили Kali Linux 2023.4, четвертую и последнюю версию дистрибутива в 2023 году. Новинка уже доступна для загрузки, содержит сразу 15 новых инструментов и GNOME 45.

Источник: https://xakep.ru/2023/12/06/kali-linux-2023-4/

#kali_linux
#kali
#hacking

Курс Ultimate Kali Linux — #2 Введение в Этичный хакинг.

Здравствуйте, дорогие друзья.

Кибербезопасность — одна из наиболее быстро развивающихся областей индустрии информационных технологий (ИТ). Каждый день специалисты по безопасности быстро обнаруживают новые и возникающие угрозы, а активы организаций становятся скомпрометированными со стороны субъектов угроз. Из-за этих угроз в цифровом мире во многих организациях создаются новые профессии для людей, которые могут помочь защитить свои активы.

Подробнее: https://timcore.ru/2023/12/08/kurs-ultimate-kali-linux-2-vvedenie-v-jetichnyj-haking/

Здравствуйте, дорогие друзья!
Внимание, 3-х дневная акция!!! В честь моего дня рождения большие скидки 50% на все товары и услуги в интернет-магазине: https://vk.com/uslugi-44038255?screen=group
Акция продлится с 10 по 12 декабря включительно.

#news

Основатель криптобиржи Bitzlato признал себя виновным

Министерство юстиции США сообщает, что россиянин Анатолий Легкодымов признал себя виновным в управлении криптовалютной биржей Bitzlato, которая, по мнению властей, помогла вымогателям и другим киберпреступникам отмыть более 700 млн долларов США.

Источник: https://xakep.ru/2023/12/08/legkodymov-pleads-guilty/