Fsecurity | HH
Ir al canal en Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Mostrar más2 008
Suscriptores
-224 horas
Sin datos7 días
-1230 días
Archivo de publicaciones
2 009
Repost from Что-то на пентестерском
⛈ Бесплатный курс по AppSec & Pentesting Android App
Mobile Hacking Labs, которая делает сложные курсы по фаззингу, бинарной эксплуатации в андроиде и делает очень реалистичные бесплатные лабы за которых можно получить халявно сертификат — не давно выпустила бесплатный хороший курс по мобилкам, который вмещает в себя темы из emapt, tcm mobile и прочих курсов, которые были мягко говоря так себе, так еще и стоили прилично. Приятного обучения 😏
Темы курса:
🟢Введение
🟢Android Basics
🟢Android Penetration Testing Basics
🟢Reverse Engineering
🟢Discovering the Android Attack Surface
🟢Certified Android Penetration Tester Exam
📶 Курс
📶 Курс, но на youtube
ЧТНП | #mobile
2 009
Repost from Похек
❗️ RCE через git clone ❗️
CVE-2024-32002
Сложность эксплуатации: простая
#RCE #CVE #git
⚠️ Читать в Teletype
🌚 @poxek
2 009
Repost from Proxy Bar
CVE-2024-32002 GIT RCE
*
Удаленное выполнение кода в подмодулях Git.
Payload может быть активирован через рекурсивное клонирование репозитория Git.
*
POC exploit
#git #rce
2 009
Repost from Pentest HaT
🎟 btconverter
При пентесте 🪟 Active Directory очень часто приходиться работать с Kerberos и в частности с получением и использованием билетов
Для данных целей обычно используют следующие инструменты:
💻 Rubeus
💻 Impacket
При дампе или запросе в Rubeus мы получим закодированный в base64 билет
Если захотим использовать его в инструментах impacket, необходимо конвертировать в формат ccache
Обычно это делается так:
echo "doIGIDCCBhygAwIBBaE(..snip..)9SRzE3LkxPQ0FM" | base64 -d > ticket.kirbi
impacket-ticketConverter ticket.kirbi ticket.ccache
При получение билета в impacket будем конвертировать в обратном порядке. Иной раз делать это приходиться очень часто, поэтому написал небольшой скрипт для автоматизации данной задачи
Для работы скрипта в 💻 Kali есть все необходимые тулзы. Если по какой то причине impacket не установлен:
sudo apt update
sudo apt install python3-impacket
Далее ставим скрипт:
wget https://raw.githubusercontent.com/akhomlyuk/btconverter/main/btconverter.sh
chmod +x btconverter.sh
sudo mv btconverter.sh /usr/bin/btconverter
На вход принимает 1 аргумент, билет в формате .b64|kirbi|ccache
btconverter ticket.b64
btconverter ticket.ccache
btconverter ticket.kirbi
Готово!
💻 Home
#kerberos #tickets #bash #impacket #rubeus
✈️ // Pentest HaT 🎩2 009
+1
🍏 Взлом Apple — SQL-инъекция для удаленного выполнения кода
В начале года команда Project Discovery углубилась во внутреннюю работу Lucee и взглянула на исходники Masa/Mura CMS.
Стало очевидно, что время, потраченное на понимание кода, может окупиться. Исследователям удалось найти несколько точек входа для использования, включая SQL-инъекцию на Apple Book Travel.
Под катом — статья о взломе Apple через SQL-инъекцию, которая привела к RCE.
👉 Читать
2 009
Repost from Caster
Релиз моей статьи об обнаружении атак на протокол Kerberos с использованием Suricata IDS.
Caster - Kerbhammer
Genre: Defensive
Label: exploit.org
Release Date: 19 May 2024
Performed by: Caster
Written by: Magama Bazarov
Cover Man: Magama Bazarov (Sony ILCE-7M3, f/22, 5 sec)
https://blog.exploit.org/caster-kerbhammer
2 009
Возможно пропустили:
Новый ролик на канале 🥳
Хочу также посоветовать:
1 - Наш discord сервер! Где можно пообщаться 👾
2 - Мой Github 🦑
Наш второй канал [Ximera-Chan]
¡Ya disponible! Investigación de Telegram 2025 — los principales insights del año 
