Хакер Free
Платные статьи из "Хакера" — бесплатно. Взлом, защита, кодинг. По всем вопросам @evgenycarter
إظهار المزيد4 358
المشتركون
+724 ساعات
+157 أيام
+8330 أيام
- المشتركون
- التغطية البريدية
- ER - نسبة المشاركة
جاري تحميل البيانات...
معدل نمو المشترك
جاري تحميل البيانات...
Хакер - HTB AdmirerToo. Захватываем сервер через Fail2ban
В этом райтапе я покажу, как эксплуатировать Adminer, OpenTSDB и OpenCATS. Для повышения привилегий будем использовать комбинацию уязвимостей и неправильных конфигураций ПО: уязвимость произвольной записи файлов OpenCATS для конфигурации whois, whois для получения и инъекции команды терминала ОС в Fail2ban и Fail2ban для ее активации. Все это — в рамках прохождения сложной машины AdmirerToo с площадки Hack The Box.
https://telegra.ph/HTB-AdmirerToo-Zahvatyvaem-server-cherez-Fail2ban-05-08
🔐 @xakep_1
⚡ 2👍 1
Оплачиваемая стажировка и трудоустройство без опыта — ну ничего себе 😳
Все возможно с Добровольным квалификационным экзаменом! Это бесплатный проект Правительства Москвы, где ты можешь показать свои знания по специальности, запомниться потенциальным работодателям и получить оффер в престижные компании Москвы.
Тебя ждет всего три шага:
1️⃣ Пройди тест
После регистрации на сайте ДКЭ тебе будет доступно 70 профессий по 7 направлениям. Выбирай тест по своей специальности и проверь уровень своих знаний!
2️⃣ Реши кейс
Если ты успешно сдал тест, тебя пригласят на следующий этап, где ты с другими участниками в команде будешь решать реальный кейс одного из работодателей.
3️⃣ Стань победителем
Окажись в числе лучших по общему количеству баллов за оба этапа и получи шанс попасть на оплачиваемую стажировку с дальнейшим трудоустройством.
Готов проявить себя? Регистрируйся и начинай проходить тест — https://dke.moscow
Реклама. АНО "РАЗВИТИЕ ЧЕЛОВЕЧЕСКОГО КАПИТАЛА", АНО "РЧК". ИНН 7710364647. erid: LjN8KPWP5
⚡ 2
Хакер - Облака под угрозой. Как пентестить инфру в AWS.
Облака — это, как известно, не только белогривые лошадки, но и прекрасный инструмент, чтобы создать удобную инфраструктуру для приложений и сервисов. Компании и независимые разработчики переносят свои проекты в AWS или Azure, часто не задумываясь о безопасности. А зря. Будут ли эти данные недоступны для хакеров, сможет ли облако гарантировать защиту? Давай разбираться.
Сначала рассмотрим «базу» — перечисление и повышение привилегий в IAM и EC2. В дальнейшем мы научимся закрепляться в этих сервисах, окунемся в волшебство Lambda и SecretManager, найдем пароль в S3, выберемся из контейнера, вытащим данные из EBS, RDS и даже пробросимся в другой VPC!
Часть 1 https://telegra.ph/Oblaka-pod-ugrozoj-Kak-pentestit-infru-v-AWS-CHast-1-05-03
Часть 2 https://telegra.ph/Oblaka-pod-ugrozoj-Kak-pentestit-infru-v-AWS-CHast-2-05-03
🔐 @xakep_1
👍 3⚡ 2
Хакер - HTB Phoenix. Ломаем сайт на WordPress в обход WAF
В сегодняшнем райтапе мы с тобой снова попентестим WordPress. Проэксплуатируем SQL-инъекцию и узнаем учетные данные, потом получим доступ к хосту через уязвимость загрузки файлов, а усложнено это все будет работающим Web Application Firewall. Продвинемся и повысим привилегии, сделав туннель для проброса SSH и выполнив инъекцию в команду rsync. Все это — чтобы пройти сложную машину Phoenix с площадки Hack The Box.
https://telegra.ph/HTB-Phoenix-Lomaem-sajt-na-WordPress-v-obhod-WAF-04-29
🔐 @xakep_1
🔥 3⚡ 2
HTB Paper. Пентестим WordPress и эксплуатируем баг в Polkit
В сегодняшнем райтапе мы проэксплуатируем уязвимости в популярной CMS WordPress, корпоративном мессенджере RocketChat, а также разберем одну из самых нашумевших уязвимостей — Polkit LPE. Все это в рамках легкой машины Paper с площадки Hack The Box.
https://telegra.ph/HTB-Paper-Pentestim-WordPress-i-ehkspluatiruem-bag-v-Polkit-04-24
🔐 @xakep_1
👍 6⚡ 3
HTB Noter. Ломаем веб-приложение на Flask
В этом райтапе мы обойдем авторизацию в приложении на Flask, затем изучим исходные коды приложения, чтобы найти и проэксплуатировать уязвимость. Для повышения привилегий используем уязвимость установки плагина в MySQL.
https://teletype.in/@xakep_1/towMfAOgxue
🔐 @xakep_1
👍 13⚡ 2
Вместе уютно собираемся по вечерам каждый у себя дома и учимся верстать сайты с нуля. В комплекте приятная музыка, тёмная тема и добрейшее сообщество неопытных верстальщиков, которые вообще-то огого и всем ещё покажут.
Всё это будет на бесплатном марафоне по HTML и СSS «ночной кружок по вёрстке», который пройдёт с 18 по 23 апреля.
За 6 дней вы:
— Изучите основы веб-технологий и попробуете себя в роли фронтенд-разработчика;
— Напишете в тренажёрах свои первые строчки кода и увидите как изменяется страница сайта в реальном времени;
— Поймёте нравится ли вам веб-разработка.
Кстати, а ещё мы разыграем курс по HTML и СSS среди участников марафона.
Вступить в кружок.
⚡ 2🔥 1
Картошка-0. Повышаем привилегии в AD при помощи RemotePotato0
В этой статье мы поговорим о разных вариациях кросс‑протокольной атаки NTLM Relay с использованием эксплоита RemotePotato0, а также на этом примере обсудим, как можно спрятать сигнатуру исполняемого файла от статического анализа.
Эта история относится к категории «байки с внутренних пентестов», когда мы попали в среду Active Directory, где члены группы безопасности Domain Users (все пользователи домена) обладали привилегией для удаленного подключения к контроллерам домена по протоколу RDP. Хоть это уже само по себе ужасная «мисконфига», потенциальный злоумышленник все еще должен найти способ для локального повышения привилегий на DC, что проблематично, если на системе стоят все хотфиксы.
Здесь и приходит на помощь баг фича из серии Microsoft Won’t Fix List — кросс‑сессионное провоцирование вынужденной аутентификации по протоколу RPC. При отсутствии защиты службы LDAP от атак NTLM Relay оно мгновенно подарит тебе «ключи от королевства».
https://teletype.in/@xakep_1/yXUexexVFD8
🔐 @xakep_1
👍 4❤ 2⚡ 1
Фундаментальные основы хакерства. Боремся с дизассемблерами и затрудняем реверс программ
Каждый разработчик программ стремится защитить результат своего труда от взлома. Сегодня нам предстоит исследовать способы противостояния самому популярному виду хакерского инструментария — дизассемблерам. Нашей целью будет запутать хакера, отвадить его от взлома нашей программы, всевозможными способами затруднить ее анализ.
https://teletype.in/@xakep_1/-s4gtvga5eD
🔐 @xakep_1
👍 2
HTB Timelapse. Атакуем Windows Remote Management и работаем с сертификатами
В этом райтапе мы с тобой взломаем легкую по уровню сложности машину на Windows: поработаем с сертификатами для службы WinRM, а также с LAPS — чтобы повысить привилегии.
https://teletype.in/@xakep_1/Sk96ipVwnwi
🔐 @xakep_1
👍 8❤ 3⚡ 2