Форум информационной безопасности - Codeby.net

Приветствую вас, форумчане. Хочу коротенечко поделиться с вами своими впечатлениями о прохождении курса WAPT. На данный момент экзамен успешно сдан, на душе чувство полного удовлетворения и покоя. Отмечу, что, записываясь на курс WAPT, я не имел ни малейшего представления с чем мне придётся столкнуться и уж тем более никогда не имел дело с пентестом, но желание научиться «крутить сайты» исходило из далёкого студенчества. Я не ожидал, что будет легко и первым камнем преткновения для меня стал пассивный фаззинг! А если конкретнее, то задание, где необходимо было найти “соседей”, связанных с компьютерной игрой! Сейчас я уже не вспомню сколько я мучился, но точно помню, как я себя материл за свою невнимательность и примитивное мышление!!! Конечно, это не единственная тема, которая ввела меня в ступор. Были и SQLi, и XSS, которые доставили кучу неудобств и бессонных ночей. Благодаря практическим заданиям, а их было более 60, и своему упорству, мне удалось разобраться в представленных в курсе темах и успешно сдать экзамен. Практика на курсе мне прямо ОЧЕНЬ понравились! Создатели подошли к этому...

Здравия всем, дамы и господа - именно так сказал бы @dieZel, однако он останавливает свою работу на территории.. ой, не то.. В общем, @dieZel уходит в отставку, и оставляет ведение новостного дайджеста на меня. Однако, после завершения некоторых тех. работ, он продолжит радовать нас новыми статьями, но уже на своём сайте. А теперь перейдём к произошедшему за неделю!




12 марта Минпромторг запустил биржу импортозамещения в связи с повышением спроса на отечественную промышленную продукцию. Сервис реализован на электронной площадке газпромбанка.
На этой площадке можно публиковать запросы на приобретение продукции, запасных запчастей и комплектующих. А поставщики смогут направлять свои предложения и предлагать аналоги без дополнительных затрат и посредников.
Сейчас доступны лишь два каталога:

• санкционные товары с поиском там потенциальных отечественных производителей;
• импортозамещающая продукция с аналогами, которые уже производятся в стране.

...

Приветствую!​

Предисловие​

Продолжаем проходить лаборатории и CTF с сайта HackTheBox!
В этой лаборатории мы разберём Hard машину Pikaboo, найдём способы эксплуатации LFI до RCE с помощью логов, ну что же, приступим!

---

Данные:​

Задача: Скомпрометировать машину на Linux и взять два флага user.txt и root.txt.
Основная рабочая машина: Kali Linux 2021.4
IP адрес удаленной машины - 10.10.10.249
IP адрес основной машины - 10.10.14.60

Начальная разведка и сканирование портов:​

Запустим Nmap с параметрами -sC и -sV для сканирования нашего хоста:

nmap -sC -sV...

Здравия всем, дамы и господа. Поздравляю всех с началом весны и приглашаюк прочтению нового дайджеста. Кстати, сейчас 4:24 понедельника и я начинаю писать эту статью после трёх дней чемпионата WorldSkills Russia. Те, кто читает мои статьи достаточно давно, знают, что я участвовал ещё и в прошлом году, о чём и написал потом статью. В этот раз, наверное тоже что-нибудь напишу, но уже постфактум. Вставок «с места событий» не будет, т.к. никаких записей я не вёл.




Вы уж меня простите, но начать я решил именно с информации о тех компаниях/сервисах, которые прекратили свою работу на территории РФ. Вообще, я люблю политические дискуссии, но, сейчас буду излагать только сухие факты дабы избежать обвинений в том, что я приверженец какой-либо стороны. Вас призываю сделать то же самое. Оставьте свои мнения за пределами этой статьи, хотя я, скорее всего, не ошибусь, если скажу, что на этом форуме не будут уместны подобные дискуссии в любом разделе. Так вот, ближе к делу:

• Microsoft объявили, что приостанавливают все новые продажи продуктов и услуг компании...​

Друзья, всем привет.

Форум временно работает в ограниченном режиме:

• Закрыты некоторые разделы

Приносим извинения за неудобства и надеемся на понимание.

Привет, дорогой друг! Сегодня я продолжу рассказывать про поиск флага на Hackthebox. Забегу немного вперед: данная статья будет очень короткой. Мне довольно легко и быстро удалось найти флаг.

Итак, само задание:
CHALLENGE DESCRIPTION
Can you find something to help you break into the company 'Evil Corp LLC'. Recon social media sites to see if you can find any useful information.

Если по-русски: нас просят найти в социальных сетях информацию, которая поможет проникнуть в компанию "Evil Corp LLC"

Как и любой специалист, я очень ленив. Чтобы не ломать голову, я пошел в Google и написал там такой запрос:


Не долго думая, кликнул на первую ссылку


и попал в Инстаграм @eryn_mcmahon12



Итак, мы видим Инстаграм какой то девушки. Где же может быть флаг? А флаг может быть везде и нигде. Не стоит забывать, я могу идти по ложному пути. Требуется поискать признаки флага или направления для его поиска в данном аккаунте.
Есть разные способы и инструменты...

Всех приветствую, друзья! Начинается голосование за лучшие статьи февраля.

Участвуют:

• Статья от @Rook - Wireless PMKID атака
• Статья от @Strife - Фильтрация трафика (IPT, NAT, DMZ)
• Статья от @QuietMoth1 - XSS, RCE, SQLi и Docker. Linux Hard HackTheBox EarlyAccess!
• Статья от @Snoop007 - Код Доступа Termux (единое произведение)
• Статья от @zvepb - Как работает цепочка блоков ? Приоткрываем капот Blockchain
• Статья от @DeathDay -...

Приветствую, друзья! Прошу прощения за долгое молчание! Многое нужно было переосмыслить, прежде чем написать новую статью. В один прекрасный серый день, сидя на Хабре, я случайно попал на старенькую статью 2020 года, если судить по репутации - очень авторитетного поста компании T.Hunter.



Ничего с собой поделать не смог: заголовок так и манил прочитать статью. И, по возможности, несколько раз. И что же мы имеем: автор поверхностно прошелся по интерфейсу Windows 10, если для кого то это важно, сборки 1909 c прикрученным списком софта выкорчеванного из привычного нам Kali Linux и других репозиториев, находящихся в git. Вроде бы, более 800 различных программ для тестирования. Совершенно не понятно, как они там работают. За его красивой обложкой может оказаться не только троянский конь или криптомайнер, а что-то более интересное, чем будет управлять кто-то другой, но точно не ты.

Собственно, данную статью можно было бы не писать. Все, что нужно было сказать об этой системе, уже написали до меня в комментариях на...

Здравия всем, дамы и господа, весна уже совсем скоро, а новости уже совсем сейчас, приятного чтения.




Компании по производству электроники уже достаточно долго грезят трёх нанометровым техпроцессом. Qualcomm, ранее планировавшая отдать производство своих чипов нового поколения в руки Samsung, на этой неделе изменила решение и теперь производством займётся тайваньская TSMC. Причём это не первый заказ от Qualcomm, ранее они уже поручали производство 4-ёх нанометровых чипов, это были Snapdragon 8 Gen 1. Тайваньская компания была выбрана из-за проблем у Samsung. Проблемы возникали не только в этом случае. NVIDIA ранее отказалась заказывать свои 7-нм чипы у Samsung, однако Qualcomm всё ещё производит свои 7-нм у Samsung. Если обе компании решат полностью перевести производство на мощности TSMC, то компания потеряет двух крупнейших клиентов и начатый аудит подразделения Samsung Foundry, которое и занимается производством чипов, возможно уже не поможет. Поздно пить Боржоми, как говорится. Но это ещё не всё, ведь у TSMC тоже всё не спокойно и, как сообщают инсайдеры, качественной...