Форум информационной безопасности - Codeby.net

Всем большой и трайхардовый привет!

Как и обещал эту статью, в продолжении идеологии просвещения в OSCP - я уделю внимание именно инструментарию и полезным ссылкам...

!Хочу обратить внимание, этот гайд предназначен не только для подготовки к экзамену, так же применим к CTF и очень пригодится для построения структуры работ при проведении тестирования на проникновение или Pentest'ов в реальной жизни. Вам нужно выработать навык владения инструментарием, научиться конспектировать и строить структурные отчеты и всегда докапываться до мелочей и никогда не сдаваться.



ВОДА:

Как я описывал ранее весь процесс подготовки и сдачи экзамена OSCP достаточно сердитый процесс, требующий не только знаний, но и организации рабочего места для самого процесса экзаменирования. Описанные в прошлой статье 10 шагов действительно помогут Вам быть готовыми на все 99,9%

Но, независимо от Ваших знаний и самооценки требует уделить особое внимание к процессу подготовки и сделать...

Здравствуйте, сегодня вы узнаете, как создать архив эксплуатируя уязвимость Path Traversal архиватора WinRAR до версии 5.61 включительно. Данная уязвимость получила идентификаторы CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253.
Кому интересны детали, могут почитать эту статью: research.checkpoint.com

Уязвимость позволяет принудительно поместить файл по указанному пути. Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR.

Для работы нам понадобится python3. Качаем архив (прикреплён к статье), распаковываем.
Далее нас интересует winrar_exp.py



Мы можем изменять значения rar_filename, evil_filename, target_filename, filename_list

rar_filename - имя результатирующего rar архива
evil_filename - имя файла (полезная нагрузка), который мы будем помещать в нужную нам папку благодаря уязвимости
target_filename - путь, куда будет помещён наш evil_file (полезная нагрузка)
filename_list - список файлов, которые будут помещены в архив обычным способом...

Привет, сегодня я расскажу про установку Metasploit-Framework на твое Android-устройство.
На сегодняшний день, Metasploit является одним из лучших инструментов пентеста. В нем собранно несколько тысяч эксплоитов и не только. С его помощью даже можно создать свой новый инструмент.
И так к делу

Нам понадобится:

Запустив приложение вы увидите это:



Перед началом нужно обновить пакеты:
Далее нужно включить в репозитории нестабильные пакеты:

Всем привет!

Сегодня мы представим перевод статьи компании Snyk Ltd. авторами которой являются 2 специалиста:

• @liran_tal - Node.js Security WG & Developer Advocate из компании Snyk
• @omerlh - DevSecOps Engineer из компании Soluto

Скачать памятку по безопасности образов Docker

Памятка рассчитана для повышения безопасности контейнеров Docker.

1. Используйте минимальные образы

Зачастую Вы начинаете проекты с общего образа контейнера Docker, например, писать Dockerfile с FROM node , как обычно. Однако при указании образа ноды вы должны учитывать, что полностью установленный дистрибутив Debian является базовым образом, который используется для его сборки. Если вашему проекту не требуются какие-либо общие системные библиотеки или системные утилиты, лучше избегать использования полнофункциональной операционной системы в качестве базового образа.

В...

Привет дорогой читатель.

Данную статью решил написать, как большую и полную заметку по своей дороге к достаточно важному для меня лично пути к саморазвитию, а именно будущей сертификации от компании Offensive Security - OSCP он же Penetration Testing Training with Kali Linux он же PWK



Вводная часть:

Постараюсь в ней отразить всю необходимую информацию для подготовки к экзамену и другие нюансы, которые помогут Вам не распыляться между различными источниками информации, а действительно увидеть все в одной статье и пользоваться ею как закладкой и своеобразным путеводителем в мир забвения и практики в информационной безопасности.

Давайте сразу поясним, те кто набрел на статью случайно и ты новичок, тем кто уже принял участие в сдаче этого экзамена и те кто целенаправленно ищет информацию - будет повод задуматься, ведь основная моя цель...

Приветствую тебя читатель. Приглашаю тебя на этот цикл статей по OS Kali Linux. я если честно в нём нифига не соображаю, но мы вместе с вами будем разбираться со всеми сложившимися ситуациями. И так поехали.

Первое что мы делаем это скачиваем дистрибутив самого Kali с официального сайта. Можно скачать посредством uTorrent или по прямой ссылке. Пока качается наш образ необходимо определится как и на что будет проходить установка системы, VirtualBox, VMware, Live USB. Я выбрал Live USB. Почему? Очень просто VirtualBox не хотел работать корректно, VMware просто не хотел устанавливаться из-за не совместимости с процессором.

В принципе Live USB это: Удобно, практично, динамично, и почти всегда мобильно.
хватит ораторства, перейдём к сути. У вас явно возникнет вопрос как же поставить дистрибутив Kali на флешку. Есть множество способов это сделать, но я выбрал программу Rufus. Как самый умный я пошёл на офф сайт и скачал последнюю версию и с довольным лицом отправился пилить систему на флешку. Запустил программу, выбрал флешку выбрал образ, запустил программу где меня предупредили что данный ISO это 'ISOHybrid' и надо типа выбрать систему...

Всем доброго!

Огромное количество людей предпочитают стационарным компьютерам ноутбуки. Естественно, он удобнее, мобильнее, и, если правильно подобрать параметры, не так уж уступает в скорости работы и мощности. Если брать нашу сферу деятельности, до без ноутбука практически никуда.

Но так, как ноутбук создан для мобильности, и дома он находится только 50% времени, то его можно либо потерять, либо его могут украсть. К примеру, возвращаешься ты в машину, а стекла нет, и сумки с любимым ноутом тоже. Горе, слезы, крик "НЕТ..." в небеса на коленях - это все понятно. Но помимо самого ноутбука потеряна и локальная информация.

Что ты потерял - каждый может прокрутить в голове. Но дело не только в том, что ты потерял ее, но и кто-то еще получит к ней доступ... Начиная от истории браузера, заканчивая какими-то документами, базами или авторским кодом, который никто не должен лицезреть. В общем у любого человека есть скелеты в шкафу, и предпочтительно, чтоб они там и остались. И вот несколько примеров, которые помогут, в случае этой потери, удаленно удалить данные с ноутбука, и не дать злоумышленнику завладеть ими.

Первый способ -...

1. Инструкция применима к Kali Linux 2.0 с ядром 4.0 и Kali Linux 1.1.0 с ядром 3.18.
2. Если у вас видеокарта от AMD, то обратитесь к статье “Установка проприетарного драйвера AMD ATI fglrx на Kali Linux 1.1.0a“.
3. Если у вас Kali Linux установлена в виртуальной машине, то она никогда не увидит вашу видеокарту. Т.е. эта инструкция не применима для ОС в виртуальной машине.

Установка драйвера NVIDIA на Kali Linux 2.0

Эта инструкция объясняет, как установить проприетарный “NVIDIA Accelerated Linux Graphics Driver” или, проще говоря, драйвер NVIDIA на систему Kali Linux 2.0 с ядром 4.0. По умолчанию, Kali Linux устанавливает драйвер NVIDIA с открытым исходным кодом nouveau, который работает прекрасно, если вам нужно просто отображение. Наличие драйверов с открытым исходным кодом может быть подтверждено командой smod | grep nouveau. Но это не даёт вам фукнций 3D ускорения или GPU ускорения в приложениях, которые основываются на GPU ускорении (такие как CUDA и перебиральщики паролей с...