Форум информационной безопасности - Codeby.net

CTF Врайтап Pentestit Lab 12 - для начинающих (часть 4)

  • 7 663
  • 11
Последний и самый не простой рывок в сторону коллекционирования оставщихся 3 токенов.
Глубоко вздохнули и погнали...

API Token
Натыкаемся еще на один упущенный айпишник: 172.16.2.16

Bash:
Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-06 02:04 Oaio?aeuiay Acey (ceia)
Nmap scan report for 172.16.2.16
Host is up (0.20s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE
8000/tcp open http-alt
Nmap done: 1 IP address (1 host up) scanned in 197.34 seconds

Думаем, что можно сделать.
Bash:
.\dirsearch.py -u http://172.16.2.16:8000 -e php,txt,bak,json,html,log,conf,cfg,ini,xls,doc,phtml -x 301,403,503,302 --random-agent
_|. _ _ _ _ _ _|_ v0.3.8
(_||| _) (/_(_|| (_| )
Extensions: php, txt, bak, json, html, log, conf, cfg, ini, xls, doc, phtml | Threads: 10 | Wordlist size: 10148
Target: http://172.16.2.16:8000
[02:51:29] Starting:
[02:53:16] 405 - 178B - /auth
[02:54:56] 405 - 178B - /search
Task Completed

Нашли 2 странички: auth...

CTF Врайтап Pentestit Lab 12 - для начинающих (часть 2)

  • 9 082
  • 3
Продолжение первой статьи Врайтап Pentestit Lab 12 - для начинающих (часть 1)

REPOSITORY Token
Мы понимаем, что репозиторий это или Веб-сервис или файловая шара. Ищем...

repository.jpg

http://172.16.1.15/ но нам нужен логин и пароль - закрыто htpasswd.
Bypass .htpasswd не помог.
repository2.jpg

Идем дальше...
________________________________________

SIEM Token
Мы понимаем, что искать нужно веб-морду сервиса. Ищем...
http://172.16.1.12/
pentestit12-siem-prewikka.jpg
нашли сервис Prewikka, это OSSEC-SIEM Prelude-SIEM/prewikka

Пробуем зайти под имеющимися info@test.lab и sviridov@test.lab
Не отканывает...
Пробуем бурпануть логины и пароль
Адски долго....

Знаете первый раз, я подумал верно, но потратил очень много времени чтобы...

Пишем графическую оболочку на Python - часть 3

  • 10 229
  • 14
Часть 1 Часть 2

Всем привет!

В предыдущих частях мы познакомились с двумя методами позиционирования элементов - pack() и place(). Для выполнения простых задач они вполне подходят. А если у нас планируется программа, где будет сложный интерфейс, или просто большое количество элементов, то самым лучшим методом будет несомненно grid(). На первый взгляд метод немного посложнее, но разобравшись в сути, он не станет выглядеть сложным.

Метод grid() как ясно из названия, представляет собой сетку. Выглядит схематично это следующим образом:

То есть окно программы делится на столбцы и строки, а нумерация начинается с нуля. И прежде чем начать программировать, лучше всего начертить будущую программу на обычном листочке в клеточку. Это даст полное представление в какие...

CTF Врайтап Pentestit Lab 12 - для начинающих (часть 1)

  • 27 442
  • 33
Привет друзья, всех с Новым 2019 годом!

Хотел выложить статью в Декабре 2018, но очень хотелось найти оставшиеся токены для полноты картины и не давать Вам шансов к легкому прохождению. Так, как пока что (на момент 03.01.2019) - лидер выполнивший все задания только 1 и это CSV, который к тому же единственный, кто выполнил все токены включая Image 21-го декабря.

И вот 04.01.2019 г. пьедестал полностью сформирован и целая группа талантливых персонажей взяли последний и мучительный для них токен Image! перечислю ники на всякий случай: BadBlackHat, Mister_BertOni, zpointer, rOhack, ASV, cryptObOy из этого форума codeby.net взявшие последний токен в один день, так же ребята rack2009, nerf, oneGuard и конечно же монстр лабы, который прошел ее просто молниеносно, CSV! Браво всем!

pentestit12-image-6person.jpg


С разрешения создателей,

Хочу представить Вашему вниманию прохождение всем известной и любимой нашей...

Встречи, форумы и вебинары по Domino

  • 26 316
  • 102

Интересно - кто из наших будет\планирует принять участие в ?:)
Moscow, Russia
Date coming
Local contact: Uffe Sorensen

(uffe@dk.ibm.com)

Берем под контроль мышь и клавиатуру Python

  • 67 405
  • 29
Привет форум Codeby.net. Сегодня рассмотрим как можно взять под контроль мышь и клавиатуру на Python. В конце мы напишем скрипт, который будет автоматически проходить авторизация на форуме Codeby.net

Вводная часть.
В то время как все хацкеры лелеют командную строку, в стороне находится графический интерфейс GUI. Работа с графическим интерфейсом все равно имеет некоторые преимущества, это касается случаев с пост-эксплуатацией системы.

Ведь у нас имеется и мышь и клавиатура, которые мы можем использовать в наших целях, это касается не только злонамеренных действий. В частности мы можем автоматизировать некоторые скучные и рутинные действия, тем самым экономя наше драгоценное время.

Что такое PyAutoGUI и с чем его едят.
Итак, работать мы будем с помощью кроссплатформенного модуля для эмуляции действий пользователей PyAutoGUI. Его основная задача в автоматизации(эмуляции)...

Статья Что хранят в себе скрытые файлы и папки на веб-сервере? Часть II

  • 4 084
  • 2
Предыдущая часть

Так же много информации в себе хранят файлы проектов IDE:

IDE (интегрированные среды разработки) используется многими программистами, для хранения настройки проектов, куча дополнительной информации в их собственных файлах. Если такая папка лежит на веб-сервере — это уже другой источник информации о этом веб-сервере.

Например, возьмем приложения JetBrains IDEs : IntelliJ IDEA, WebStorm, PHPStorm, RubyMine

Каждый проект, в каждой продукции JetBrains, создает собственные скрытые директории - .idea/.
Эти директории содержат всю информацию о нынешних проектах, их файлов, другие директории и IDE настройки.

aaasqqasa1.png


Один из этих файлов, является очень важным с точки зрения безопасности — workspace.xml.
Этот файл содержит много ценной информации...

Статья Что хранят в себе скрытые файлы и папки на веб-сервере? Часть I

  • 8 834
  • 3
Доброго времени суток! Сегодня я хочу рассказать, что содержат в себе скрытые папки и файлы на веб-сервере.

Скрытые файлы и директории, которые оставляют на веб сервере, могут иметь важную, конфиденциальную информацию. Веб-сервер может содержать много скрытой информации:

  • исходные коды версии системных папок и файлов (.git, .gitignore, .svn)
  • файлы конфигурации (.npmrc, package.json, .htaccess)
  • пользовательские файлы конфигурации (.json, .yml, .xml)
  • и многое другое

Эти данные можно поделить на 3 группы:
  1. Файлы конфигурации для IDE (Интегрированная среда разработки)
  2. Исходный код системы контроля версий
  3. Проекты и/или файлы конфигурации и настройки для конкретной технологии

Давайте взглянем на все это более детально, что бы узнать какую информацию можно от них ожидать

Исходный код системы контроля версий

Git

Git «является...