• 4 июля стартует курс «Python для Пентестера ©» от команды The Codeby

    Понятные и наглядные учебные материалы с информацией для выполнения ДЗ; Проверка ДЗ вручную – наставник поможет улучшить написанный вами код; Помощь преподавателей при выполнении заданий или в изучении теории; Групповой чат в Telegram с другими учениками, проходящими курс; Опытные разработчики – команда Codeby School, лидер по информационной безопасности в RU-сегменте

    Запись на курс до 15 июля. Подробнее ...

  • 11 июля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 20 июля. Подробнее ...

Мобильный пентест

Статья Настраиваем виртуальную android машину для тестирования на проникновение

  • 3 271
  • 7
Резюме

Виртуальная машина - отличный способ познакомиться с тестированием на проникновение мобильных приложений на базе OS андроид, но для полноценного bug bounty этот способ скорее всего не подойдет. Как бы я ни старался, некоторые apk запускаться отказываются. Так же есть проблемы при взаимодействии с камерой и микрофоном. Плюс довольно большие требования к компьютерному железу.

Этот гайд освещает только клиент-серверное взаимодействие.


Используемый софт:
  • linux mint 20.1 lts (основная машина)
  • virtualbox
  • kali linux(виртуальная машина)
  • genymotion

Установка genymotion

Genymotion - это виртуальная машина, на...

Статья Начало работы в Android приложениях по пентестингу (Часть 1)

  • 6 493
  • 8
Статья является переводом. Оригинал вот

Стремительное развитие и рост мобильных приложений несут в себе кучу уязвимостей, которые злоумышленники готовы эксплуатировать. Если вы разрабатываете приложения для Android и iOS-устройств и не успеваете за стратегиями пентеста, тогда вы должны быстро в них разобраться.

В этой статье я расскажу не только о пентесте приложений для Android, но и о том, как настроить LAB/ENVIRONMENT для тестирования Android, включая различные инструменты и скрипты с открытым исходным кодом.

Приложения для пентеста Android нуждаются в иных методиках, чем пентест веб-приложений. И эта разница заключается в том, что вы должны найти другой метод с помощью приложений для реверс-инженеринга. Кроме того, необходимо настроить эмулятор или реальное устройство в соответствии с типом приложений, которые вы хотите...

Статья Target Wi-FI pwn -> MITM File injection -> meterpreter session (или еще одна статья по митму)

  • 14 182
  • 43
Всем привет. Классній у вас форум. Я искал по теме много, но ничего подобного не нашел, по єтому сделал сам. Поделюсь и с вами.
единственное что я не буду расжевівать совсем єлементарніе вещи, типа как скачать oneshot с помощью git clone и так далее. Это должно біть на втоматизме у любого спеца по КБ.

В общем что нам понадобится:
oneshot.py - такой себе аналог всех вайфайтов, аиргеддонов, вайфайаутопвнеров, которій работает даже с нокии без режима монитора
arpspoof - бинарная версия работает спуфера мак адресов работает куда стабильнее, чем аналоги
bettercap2 (чисто для визуализации процесса, + очень удобній net.sniff сниффер)
mitmproxy 6 dev - потужная штука. Используется в качестве анализатора траффика и, собственно говоря, прозрачного прокси.
пару строчек кода на питоне, в качестве плагина для митмпрокси
msfvenom -
генератор нашего импланта
msfconsole - хендлер нашего бекконекта :D
obfuskapk - опенсоурсній криптер для APK...

Статья Свой RAT для Android - Часть 4

  • 3 744
  • 0
Содержание статьи:
  1. Приветствие
  2. Создаем ServiceReceiver
  3. Создаем CameraView для снимков
  4. Бонус
    1. Получение медиа-файлов с устройства
    2. Получение контактов
  5. Заключение
1. Приветствие
1. Ссылка на первую статью
2. Ссылка на вторую статью
3. Ссылка на третью статью

Всем привет и добрый вечер. Рад что на статьях есть отклик аудитории и надеюсь его будет все больше и больше. В этой статье будет меньше выделений по просьбе администрации, но от Вас хочу увидеть отзыв в опросе.

Думаю пришло время и для четвертой статьи, в которой мы добавим функционал для работы с камерой (делаем срытое фото); сделаем наш...

Статья Трюки с adb на android

  • 9 307
  • 15
Всем привет! Сегодня рассмотрим что можно делать с ADB и для чего он предназначен.
Android Debug Bridge или ADB - это инструмент для запуска команд на подключенном устройстве Android.
ADB позволяет выполнять такие функции:
  • Посмотреть какие устройства подключены и могут работать с ADB.
  • Просматривать логи.
  • Копировать файлы с и на аппарат.
  • Устанавливать/Удалять приложения.
  • Удалять (очищать) раздел data.
  • Прошивать (перезаписывать) раздел data.
  • Осуществлять различные скрипты управления.
  • Управлять некоторыми сетевыми параметрами.
Есть скрипт написаный от metachar под названием PhoneSploit который позволяет упралять возможностями ADB.
Установка на Windows
Код:
git clone...

Статья Универсальный обход SSL pinning для андроид приложений

  • 21 932
  • 14
Привет всем, в этой статье, я объясню как обойти SSL pinning для андроид приложений используя Frida framework. Я попытаюсь объяснить все в деталях,четко и понятно.

В этой статье будет рассмотрено:

1. Введение в Frida и SSL pinning
2. Требования
3. Настройка и установка
4. Установка Frida Server
5. Установка BurpSuite
6. Пушинг CA сертификата прокси
7. Инжект скрипта для обхода SSL pinning
8. Все вещи в двух словах
9. Устранение неисправностей

1. Введение в Frida и SSL pinning

Frida framework это конечная для обхода SSL pinning

Согласно фриде
Это Greasemonkey для приложений, или, говоря более техническими терминами, это dynamic code instrumentation toolkit.
Он позволяет инжектить фрагменты JavaScript или вашей собственной библиотеки в приложения на Windows, macOS, GNU/Linux, iOS, Android и QNX. Frida также предоставляет вам несколько простых инструментов, построенных на...

Статья Установка OS Android на Raspberry Pi 3

  • 13 796
  • 4
Содержание статьи:

1. Введение
2.
Шаги для установки
3. Установка Terrarium TV
4. Заключение

1. Введение

Операционная система Android не спешит выходить на Raspberry Pi, хотя и использует процессор ARM.

Есть пакеты, которые безо всяких проблем могут быть установлены на Pi и позволить системе Android работать в полную силу.

Я перепробовал многие из этих пакетов в прошлом с переменным успехом.

Недавно я снова искал версию операционной системы Android для установки на Pi 3 и наткнулся на достаточно интересную сборку, скачанную с сайта konstakang.com.

29399


Он запускает модифицированные версии установки LineageOS 14.1 (Android 7.1.2) для Raspberry Pi 3.

Он поставляется с базовым браузером, папкой с файлами и несколькими другими приложениями.

Play Store не установлен, что было достаточно хорошо для меня, так как я...