Форум информационной безопасности - Codeby.net

Статья Ферма Android девайсов - FakeTelephony и WifiInfo

  • 8 147
  • 2
И снова здравствуйте :)

Продолжим обсуждение того, как сделать свою ферму на Android девайсах и не облажаться (а сделать это просто). Если вспомним, то мы уже рассмотрели как нам скрыть root права многими способами и то, как обойти проверки на постоянное нахождение девайса на зарядке. Сегодня же я предлагаю посмотреть на то, как телефон подключен к сети.

Напоминаю что все, что в SharedPref.getXValue или генерируется на удаленном сервере и подбирается для конкретной задачи девайса на сессию, в рамках которой выполняется действие.

WiFi

Сначала рассмотрим Wifi как самый простой способ подключения к интернету.
Хочу обратить внимание на то, что вам нужно будет подумать о том, как не выдавать свой IP. Один из вариантов я описал в этом комментарии...

Статья Раскрытие аналитики у коротких ссылок или деанон goo.gl и bit.ly

  • 4 898
  • 3
Привет,

Иногда нам надо знать что находится “по ту сторону” короткой ссылки (да, там может быть что-то спрятано с полезной нагрузкой, а нам нужно быть готовым к этому). Для этого я рекомендую использовать hoper, он поможет пройти до последнего эндпоинта вашей (или не вашей) короткой ссылки по всем редиректам. Но часто бывает необходимо узнать и аналитику по коротким ссылкам.

Если добавить к ссылке у сервисов goo.gl и bit.ly "+" в конец URL, то можно попасть на страницу статистики, которая раскроет количество кликов, какие браузеры, локации откуда открывали ссылку.

Например, если короткая ссылка такая https://goo.gl/abcd1234, то это значит что аналитика по этой коротной ссылке будет доступна такими способами:

- https://goo.gl/abcd1234+
- https://goo.gl/abcd1234.info (deprecated, но иногда может работать)

А если http://bit.ly/abcd1234, то инфа по ней будет доступна...

Hack The Box: Практический анализ машин для отработки навыков пентеста (Часть 2)

  • 24 411
  • 13
Полное руководство на русском языке о Hack The Box Pen-testing Labs

Первая часть - Hack The Box - все об онлайн лаборатории для пентеста, часть 1

Всем привет. Это вторая часть руководства по Hack The Box. В ней мы проанализируем несколько машин из HTB, проверим ваши знания командной строки lInux и изучим несколько утилит для сканирования.

Поискав на YouTube, я нашел отличнейший плейлист, из которого мы возьмем видеоролики, где проводят сканирование, и разберем парочку:






Просмотрев начало любого видеоролика, вы увидите сканирование IP адреса машины утилитой Nmap. Давайте посмотрим команды, используемы в видеоролике, и найдем к ним справку...

Статья Hack The Box: Онлайн-лаборатория для практики и обучения пентесту (Часть 1)

  • 63 445
  • 21
Полное руководство на русском языке о Hack The Box Pen-testing Labs.

Всем привет. В недавнем времени захотел попрактиковаться в сфере пентеста. Долго искал и выбирал площадки. Выбирал среди этих:
  • HackerLab | CTF-платформа (площадка добавлена в конце 2022 года)
По названию статьи ты наверное понимаешь, что я выбрал последнее. Так началось мое знакомство с этим сайтом.

Для начала нам стоит разобраться что вообще сайт из себя представляет. Hack The Box или HTB -...

Решено Участие команды codeby в The Standoff на Positive Hack Days 9

  • 5 661
  • 14
Соревнования пройдут 21-22 мая на PHDays — международный форум по практической безопасности. Главная. Список команд: Команды The Standoff
The Standoff
Конфликт атакующих и защитников выходит на новый уровень. Битва развернется в городе, вся экономика которого основывается на цифровых технологиях. Городская инфраструктура включает в себя ТЭЦ и подстанцию, железную дорогу, «умные» дома с рекуперацией энергии, банки с банкоматами и киосками самообслуживания. Ну и конечно, в городе работают сотовая связь, интернет, различные онлайн-сервисы.
Подробнее на официальном сайте The Standoff

Приходите поболеть за нас :)

28244


Статья Лёгкий DDoS с помощью Google Sheets

  • 10 959
  • 7

Привет codeby.net!
В этой статье мы разберем . Узнаем актульно ли это, поймем как это работает и напишим свою тулзу для автоматизации атаки.

Теория:
Суть данной атаки в использовании формулы для вставки изображения в ячейку =image("http://www.example.org/image.jpg"). Если вставить данную формулу в Google Sheets, робот google перейдёт по ссылке и скачает файл чтобы затем вставить в таблицу. Одного перехода бота на атакуемый сайт нам недостаточно поэтому нам надо как можно больше вставить таких формул в таблицу но бот не дурак и знает что такая картинка уже есть и он нам отдаст ее из кэша а не пойдет повторно на атакуемый сайт. Однако исследователь под ником chr13 обнаружил что если добавить к ссылке случайный параметр, то робот скачает этот файл ещё раз...

Статья jQuery для Lotus Domino в простых примерах

  • 8 798
  • 14
В этой статье не пойдет речь о сложных вещах, а, скорей всего, о простых, но, которые забываются. Лично я, к проектам подхожу крайне редко, поскольку, однажды сделанное работает годами и через некоторое время уже не помнишь, чего же ты там написал. Для апологетов xPages есть специальная ветка, скажу только, что с помощью jQuery и на седьмом дизайнере 2009 года, вполне, можно создавать сайты любой сложности. А разговоры о смерти технологии Domino, вообще, пустые, покуда работают в интернетах CGI переменные, куки и волшебный Set ctx = ns.DocumentContext в Lotus Script (с). Коснемся немного общих вещей не связанных с jQuery, которые помогут новичками, и вспомнить тем, кто в теме. Итак, поехали...

1. Флажок доступа из WEB использовать JavaScript.

28216


По умолчанию генерит на формах по которым создаются документы вот такой код и открывает паразитный тег form, о котором говорилось здесь...

Решено На форум добавлен видео каталог codeby

  • 4 476
  • 13
Прямая ссылка на видео каталог. Новая веха в развитии кодебай :)

Заливать ролики можно будет прямо на форум, при необходимости. Зачем ? Ютуб изредка удаляет наши ролики и надо 10 раз подумать, ЧТО туда публиковать. С форумом такой проблемы нет.

Добавлять ролики, со временем, смогут все. Можно будет загрузить свой видеофайл на форум, или добавить ссылку на ролик, расположенный на сторонних площадках.

Поддерживаются:
  • Facebook
  • Instagram
  • ...

Статья Инструкция по использованию VeraCrypt

  • 45 276
  • 16
Что такое VeraCrypt
VeraCrypt — это программа для шифрования данных. Ключевыми особенностями шифрования являются надёжность — в программе нет «закладок» — и используемые асимметричные алгоритмы шифрования; они делают невозможными расшифровку данных кем бы то ни было кроме собственника.

У этой программы есть своя история, свои особенности, свои цели. Я не буду останавливаться на этом в данном мануале. Здесь только короткая и понятная инструкция об использовании. Кому интересно, посмотрите статью “VeraCrypt — достойная альтернатива TrueCrypt“.

Что такое контейнер
Тем не менее, необходима совсем краткое теоретическое отступление. На протяжении всей инструкции я буду использовать слово «контейнер». Применительно к VeraCrypt, контейнер —...

Статья Переполнение буфера и размещение шеллкода в памяти - Изучение методов эксплуатации на примерах, часть 6

  • 19 783
  • 30
Все части переполнение буфера
Предыдущая часть Переполнение буфера и перезапись адреса возврата - разработка эксплойтов, часть 5
Следующая часть Переполнение буфера и техника эксплуатации Ret2Libc - разработка эксплойтов, часть 7

Доброго времени суток codeby!!! В предыдущей статье мы познакомились с методом, как перезаписывать адрес возврата используя регистр EIP и так же вычисляли смещение (offset). Это 6 часть цикла статей посвященная разработке эксплойтов. В этой статье мы впервые познакомимся с шеллкодом и напишем с вами первый эксплойт. Шестая часть...