165
Канал начал своё существование здесь https://t.me/chtivvvo/4 Начало личных постов https://t.me/chtivvvo/356
Хакеры обманули CSP и крали данные кредиток
Подробнее: https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/
eval-stdin.php или легальный вебшелл
(на скриншоте логи админского ханипота)
Подробнее: https://thephp.cc/news/2020/02/phpunit-a-security-risk
Reverse Engineering Code with IDA👷♂️🧶
+ http://fuckilfakp5d6a5t.onion.pet/ 🤫
(http://fckilfkscwusoopguhi7i6yg3l6tknaz7lrumvlhg5mvtxzxbbxlimid.onion/)
#eng #reverse #ida
Хакинг - искусство эксплойта 🪓
Довольно популярная и очень полезная для PWN'еров и реверсеров ⚙️
Основы бинарных уязвимостей и написания своих эксплоитов
NOP цепочки⛓, Buffer, stack, heap overflow и куча всего интересного только в первой части🤓
#pwn #reverse #network #binexp #ru
Когда то разработчиков Burp Suit'a попросили добавить темную тему.
Но, кажется, они совершенно забыли об этом.
Хорошо что есть опенсурс:
https://github.com/CoreyD97/BurpCustomizer
Какой Web был раньше, с технологической точки зрения? У пользователей стоит специальная программа (старый добрый тёплый ламповый Web-броузер), которая по стандартизованному HTTP протоколу (говорящему какой документ, какой ресурс нужно получить), подключаясь к серверам, получает HTML (возможно плюс изображения) документ и отображает его. Это распределённая сеть хранения документов в которой один протокол. Мы по сети получаем готовые документы, которые можно сохранить на жёстком диске и читать без дальнейших подключений к серверам.
Как работает Web «корпораций»? У пользователя стоит специальная программа (до сих пор обзывающаяся Web-броузером), которая по транспортному протоколу (это HTTP, но который к гипертексту отношения уже никакого не имеет, который можно заменить какими угодно другими протоколами передачи файлов) получает программу, написанную на JavaScript (хотя сейчас это может быть какой-нибудь WebAssembly, являющийся обычным бинарным исполняемым кодом, аналогично .exe файлу), запускает её в виртуальной машине и эта программа по своему собственному протоколу (то есть правилам взаимодействия с сервером и форматом сообщений) начинает общение с сервером чтобы получить данные и их отобразить на экране. Сохранить отображённые данные, думая что это документ, вряд ли получится. Автоматизировать получение документов тоже не получится, потому-что каждый отдельный сайт это отдельная программа и свой протокол общения со своим форматом сообщений (структурой JSON запросов, например). Теперь это распределённая сеть приложений, скачиваемых на пользовательские компьютеры.
Безусловно, все эти программы являются закрытыми, так как код, как минимум, обфусцирован и не пригоден для чтения или правки людьми. Раньше мы один раз устанавливали себе программу реализующую один заданный протокол и поддерживающую, как минимум, один стандартизованный формат документов. Теперь, каждый раз, с каждым сайтом мы скачиваем очередную отличающуюся программу.
#retro #web #лонгрид
Источник: /channel/netstalking_networks/209180
😆 Что нужно знать о Windows 10? 🌚
1. Синхронизация данных по умолчанию включена, в том числе:
> История посещений браузера и открытые страницы
> Настройки приложений
> Название сетей WiFi и сохраненные пароли
2. Для каждого пользователя по умолчанию генерируется уникальный "идентификатор получателя рекламы"
> Используется разработчиками приложений и рекламными сетями, чтобы предлагать более актуальную рекламу в приложениях
3. Кортана (голосовой ассистент) собирает обширный набор данных, в том числе:
> Нажатые клавиши, поисковые запросы и записи с микрофона
> Текущее местоположение
> Данные календаря
> Твою любимую музыку
> Данные о кредитных картах
> Покупки
4. Кроме того, Microsoft отдельно собирает и другие данные, такие как:
> Сохраненные пароли
> Демографические данные
> Привычки и интересы
> Статистику использования
> Данные о контактах
> Данные о местоположении
> Контентные данные (почта, сообщения, история звонков, аудио- и видеозаписи)
5. Данные могут быть переданы третьим лицам
> При установке Windows 10, ты соглашаешься с тем, что Microsoft может передавать вышеуказанные данные любым третьим лицам, с или без твоего согласия.
😨 Как это отключить? 😠
xd (тут картинка)
✅ Рекомендуемый вариант - удалите Windows
Либо используйте W10 Privacy — утилиту, которая использует известные методы для отключения основных настроек для слежки в Windows 10.
#win #win10 #LinuxIsBetter #privacy
🍯 Бочёнок мёда – обман 🤥
Админ создал канал @webhoney, в котором автоматически публикуются подозрительные запросы к веб-серверу (сохраняется URI, IP, порт, заголовки и тело самого запроса).
Данная информация может быть полезна для различных исследований, в том числе для мониторинга сканируемых угроз в режиме реального времени
🇺🇸 Сервисы из Великобритании и США (5 глаз) 🇬🇧
📃 UKUS SIGINT — соглашение между Великобританией, США, Австралией, Канадой и Новой Зеландией по совместному сбору, анализу и обмену разведывательной информации.
🔎 Члены этой группы, известные как "Пять глаз", занимаются сбором и анализом данных в разных частях мира. Несмотря на то, что упомянутые страны договорились не шпионить друг за другом, утечки Сноудена продемонстрировали, что некоторые члены проводили слежку за гражданами других стран группы, чтобы избежать нарушения национального законодательства, запрещающего слежку за своими гражданами.
👀 Альянс "Пяти глаз" также сотрудничает с группой иных стран для обмена информацией (т.н. альянсы "Девяти глаз" и "Четырнадцати глаз"), однако "Пять глаз" и другие страны также могут осуществлять и осуществляют шпионаж в отношении друг друга.
😉 Так что будьте осторожны при использовании VPN из Америки
#интересное
🤓 Курс от HackerOne 😏
HackerOne — крупнейшая платформа для координации поиска уязвимостей и выплат вознаграждений (bug bounty program). Этот короткий видеокурс, составленный для тех, кто ладит с английским. Всего за полтора часа обучит азам разных хакерских штучек.
Ссылка на сам курс: https://www.youtube.com/watch?v=zPYfT9azdK8&list=PLxhvVyxYRviZd1oEA9nmnilY3PhVrt4nj&index=1
#course #hackerone #YT
Держите небольшой mind map по изучению пентеста
#pentest #mindmap
📖 Steganography Techniques for Digital Images.
"Анон, что это у тебя за картинка? Покажи!" (тут могла быть более остроумная фраза о стеганографии, но у меня творческий кризис)
#stego #image #book
🤓 Админы ушли самосовершенствоваться (чего и вам советуем), поэтому активность временно убавилась 😔
В этом посте хотим предоставить годные ресурсы для подготовки к CTF! 🏴🏳️ (ловим флажочбки)
- Великий CTF - Инструментарий
- Райтап Pentestit Lab 12 - для начинающих (часть 1)
- Райтап Pentestit Lab 12 - для начинающих (часть 2)
- Райтап Pentestit Lab 12 - для начинающих (часть 3)
- Райтап Pentestit Lab 12 - для начинающих (часть 4)
- CTF для новичков KHS 2018 (Part 1) - FTP
- CTF для новичков KHS 2018 (Part 2) - Brain
🖼 Стеганография:
- CTF для новичков KHS 2018 (Part 3) - Steganography 2
- CTF для новичков KHS 2018 (Part 4) - Steganography 3
- CTF для новичков KHS 2018 (Part 5) - Steganography 4
- CTF для новичков KHS 2018 (Part 6) - Steganography 5
Другое:
- CTF для новичков KHS 2018 (Part 7) - Reversing Python
- CTF для новичков KHS 2018 (Part 8) - WTFilee
- CTF для новичков KHS 2018 (Part 9) - Finde the cat
- CTF HTB - Beatles
🤯 Более продвинутый уровень:
- Дорога к OSCP или мотивация к Try Harder!
- Дорога к OSCP - утилиты и ссылки
Материалы доклада доступны тут: /channel/DEFCON7495/357
#osint #доклад #RuCTFE
В четверг будет выложен первый доклад с RuCTFE Conference от нашего представителя soxoj.
🍪Тема - использование утечек информации из сервисов в целях OSINT.
Приходите послушать 14 января в 17:00 по Москве!
https://www.youtube.com/channel/UCg7OyAkRMnGQurEsCzMoRYw
Поиск похожих объектов на спутниковых снимках с помощью GeoVisual Search
Иногда поиск локации на спутниковых снимках заходит в тупик, и местонахождение затопленной шахты, автозаправки или ветряной электростанции не сходится с другими найденными доказательствами.
В системе GeoVisual Search вы сможете выбрать объект на карте и найти похожие объекты. Для поиска доступны два каталога:
снимки NAIP, полученные в 2014-2015 во время сельскохозяйственных вегетационных периодов на континентальной части США, с разрешением 1 м
снимки поверхности Земли, полученные спутником Landsat-8 в 2013-2017, с разрешением 15 м
https://www.descarteslabs.com/company/geovisual/
#тулзы
🧂 Name That Hash
Тулза для идентификации хеша
Бывает очень полезна при пентесте
https://github.com/HashPals/Name-That-Hash
Новый подход злоумышленников для кражи данных кредитных карточек заключается в блокировке бесконтактных кредитных карт
https://krebsonsecurity.com/2021/02/bluetooth-overlay-skimmer-that-blocks-chip/
Ретроспектива строительства и развития пакетной радиосвязи в Словении от Matjaz Vidmar, S53MV. Приводятся фотографии и схемы радиомодемов, трансиверов и даже самодельных ПК SuperVozelj на процессорах 68000 семейства. Карты цифровых репитеров и скриншоты работы в сети. В конечном счете ребята достигли скоростей в 10Mbps, однако низкая помехоустойчивость AX.25 не позволила развить реально высокую скорость на стеке TCP/IP. Многие из радиомодемов и ПК проработали в отдалённых областях порядка 20 лет, что, на мой взгляд, уже интересно само по себе.
Словенские радиолюбители не опустили рук и работают над доработкой AX.25 под современные реалии и бодрейты.
http://lea.hamradio.si/~s53mv/nbp/ax25.html
🦾Подборка полезных ботов 🤖
@etlgr_bot - Почтовый-клиент для Telegram. Позволяет принимать и отсылать письма. Удобно использовать для регистрации на различных сайтах.
@InstaBot - Бот скачивает фото, видео, аватарки и истории из Instagram.
@mailsearchbot - Сервис помогает проверить вашу почту на слитые пароли.
@vkmusic_bot - Бот позволяет искать, скачивать и прослушивать любую музыку.
@SaveYoutubeBot - Бот скачает за пару кликов видео, плейлисты, аудио с популярного видео хостинга YouTube.
@iLyricsBot - Бот, который показывает текст любых песен из различных источников, а также предоставляет ссылки на YouTube, SoundCloud и Spotify.
@stickers - Бот с помощью которого можно создавать собственные стикер паки.
@flibustafreebookbot - Книжный бот, помогает бесплатно скачать любую интересующую вас книгу.
@YTranslateBot - Удобный переводчик от Яндекса.
@mnp_bot - Бот выдает данные о введенном номере телефона.
@zdorobot - Инструкции к лекарствам и значение симптомов. Чат с консультантом.
@Maksobot - Бот синтезирует написанный вами текст в голос робота.
@last4mailbot - Бот который ищет номер телефона по почте
@rextester_bot - Бот для выполнения фрагментов кода на большинстве популярных ЯПов
@ShipRobot - Бот для отслеживания посылок
@sm0ki_bot - Бот для подсчёта выкуренных сигарет / пачек
Low/High interaction 🍯
В кратце - низкий уровень взаимодействия == эмуляция известных уязвимостей;
Высокий == реальные сервисы, что способствует обнаружению настоящих 0day уязвимостей
https://www.omnisecu.com/security/infrastructure-and-email-security/low-interaction-honeypots-and-high-interaction-honeypots.php
#полезное #honeypot
🕸Pentesting web checklist '
Достаточно много тулз, методов и идей для пентеста веб апликух
#web #pentest #checklist
#пятничное
my-qr.art - интересная разработка, позволяющая создавать QR из фотографий.
Для заинтересовавшихся во внутренней кухне:
📜 Исходники: https://github.com/raatmarien/my-qr.art
🧐 Объяснение, как автору это удалось: https://marienraat.nl/hacking-qr-codes.html
Ещё есть тулза, которая умеет цветные QR, даже из гифок! міу
#qr #qrcode #сайт
🥸 Временные (и полезные) почтовые сервисы ⏰
Все мы немного кремлеботы ботоводы, поэтому парочка сервисов для временной почты не будет лишней:
% tempmail.plus
& 10minutemail.net/
% dropmail.me/ru/
& temp-mail.org/ru/
% www.crazymailing.com/ru/
& gmailnator.com — прием почты на email адрес gmail.com
% Mail2Tor — бесплатный анонимный почтовый сервис в сети Tor.
& @etlgr_bot — бот для приема и отправки почты, доступно более 100 алиасов (есть проблемы с подпиской, будьте осторожны)
% @TempGMailBot — бот для приема почты с адресом gmail.com, бесплатно
#почта #tmp #tg #web #www
👁 Больше данных для осинта! 🔎
Внушительная коллекция полезностей, ресурсов и форумов по теме #osint.
Ссылка: start.me/p/DPYPMz/the-ultimate-osint-collection
Интересный факты про Windows95 и его первую защиту 🛡
https://www.youtube.com/watch?v=cwyH59nACzQ
Как Махмуд SSRFку искал🔍
https://rohit-soni.medium.com/story-behind-sweet-ssrf-40c705f13053
😎 Изучаем Linux с нуля 🖥
Вы ещё помните про челендж? В любом случае, хотим предложить марафон - изучить линукс за несколько месяцев (на уровне, достаточном, чтобы применять систему для повседневного использования). Начнём с книги, которая восхитительно описывает базовые понятия, особенности и команды дистрибутивов Linux.
Потом с периодичностью в неделю-две будем отправлять новую книгу, чтобы повышать сложность.
Возможно, мы найдём достойный перевод этих книг на русский, и в таком случае отправим оба варианта (вдруг кто ленивая задница и не хочет учить английский).
#linux #books #RBJ
🕸 Ловим сетевых негодников 👼
В сети активно действует огромное число ботов, распространяющих malware, создающих ботнеты и просто скиды, чья цель - позабавиться над сторонними информационными ресурсами.
Данная статья охватывает тему создания и настройки собственной ловушки (так называемый honeypot) для CentOS 7. Приятного прочтения 😊
https://encryp.ch/blog/making-internet-more-secure-with-honeypots/
#cowrie #ssh #honeypot #diy #статья #авторское
Проверяем сайт
Небольшая статья о поиске информации о сайте.
Приятного чтения.
