Форум информационной безопасности - Codeby.net
CTF SSTI и Docker Image. Bolt Medium HackTheBox!
Приветствую!
Предисловие
Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину Bolt.В этой статье мы отыщем уязвимые пути и файлы в изображении Docker и найдем SSTI в веб приложении. Приступаем!
Данные:
Задача: Скомпрометировать машину на Linux и взять два флага user.txt и root.txt.Основная рабочая машина: Kali Linux 2021.4
IP адрес удаленной машины - 10.10.11.114
IP адрес основной машины - 10.10.14.66
Начальная разведка и...
Статья Код Доступа Termux ч.5-я
Бесследная проверка существования email
Давайте ощутим азартные эмоции /владыки -a: проверив за 50 секунд существует ли у Codeby почта, например, на Яндексе и без отправки писем и лишних следов активности (относительно Codeby).
Для анализа разведданных нам понадобятся два инструмента: в связке с , которые присутствуют в репозитории Termux.
Код:
#Проверка существования emai...
Давайте ощутим азартные эмоции /владыки -a: проверив за 50 секунд существует ли у Codeby почта, например, на Яндексе и без отправки писем и лишних следов активности (относительно Codeby).
Для анализа разведданных нам понадобятся два инструмента: в связке с , которые присутствуют в репозитории Termux.
Код:
$ pkg install dig netcat-openbsd#Проверка существования emai...
Статья Код Доступа Termux ч.4-я
Собираем легендарный инструмент аудит паролей, в основном написанный на Cи — John The Ripper
John The Ripper (далее ) — это софт для аудита паролей.
JTR хорош по отношению к любому подобному ПО тем (часть опубликована мной), что он может самостоятельно извлекать хэш любого формата с помощью внутренних скриптов *2john. Например, нужно восстановить пароль от своей забытой БД — для извлечения хэша используем keepass2john и т.д.. В , например, на большинстве форматов пользователю необходимо уже иметь готовый хэш на руках, а где его брать, или чем извлекать пользователю киберпанкам из Hashcat не интересно, но в сети встречаются дискуссии: когда таких пользователей Hashcat-овцы...
John The Ripper (далее ) — это софт для аудита паролей.
JTR хорош по отношению к любому подобному ПО тем (часть опубликована мной), что он может самостоятельно извлекать хэш любого формата с помощью внутренних скриптов *2john. Например, нужно восстановить пароль от своей забытой БД — для извлечения хэша используем keepass2john и т.д.. В , например, на большинстве форматов пользователю необходимо уже иметь готовый хэш на руках, а где его брать, или чем извлекать пользователю киберпанкам из Hashcat не интересно, но в сети встречаются дискуссии: когда таких пользователей Hashcat-овцы...
Статья Код Доступа Termux ч.3-я
Программирование на Android
Уметь ловко писать сценарии на хороший навык, но ограниченный. В Termux репозитории имеются пакеты языков программирования (ЯП), например, , , , , а так же , , , ...
Уметь ловко писать сценарии на хороший навык, но ограниченный. В Termux репозитории имеются пакеты языков программирования (ЯП), например, , , , , а так же , , , ...
Статья Код Доступа Termux ч.2-я
Парсинг данных
«Лошадью ходи, лошадью!»
Однажды по пути в командировку мне на глаза попалась свежая chess-news: во время девятой, зимней, недавно завершившейся, партии за звание ЧМ по шахматам среди мужчин 2021г. наш «декабрист» допустил грубейшую ошибку (на уровне «любителя»), повлиявшую и на окончательный итог турнира не в его пользу. Поискав в сети саму партию в чистом виде для импорта/анализа в шахматном движке на своём Android — столкнулся с проблемой: всякие, разные, шахматные сайты/базы требовали регистрацию/авторизацию что бы поработать с данными. Например, на одном таком, русскоязычном, шахматном сайте партия отображалась, но без аккаунта — скачать её было «невозможно». Расшарив...
Статья Код Доступа Termux ч.1-я
Эта и другие ниже по тексту gif были созданы в Termux
Статья посвящается любителям CLI в знак солидарности лучшего терминала на OS Android, который испытывает «кошмарную» монополию Google.
Эта диаграмма создана в Termux
Termux — это Android приложение под свободной GPL3+ лицензией: эмулятор терминала для среды GNU/Linux, которое работает напрямую без необходимости рутирования. Минимальный базовый функционал устанавливается автоматически, расширенные возможности подтягиваются с помощью менеджера пакетов и установкой стороннего ПО с git, а продвинутая деятельность на телефоне достигается за счёт рут-прав пользователя и установкой proot дистрибутивов GNU/Linux.
Сам Termux весит ~100 Мб (расширяется на Гб) работает на OS Android v7-11.
Termux-среда — киберпанковские разработки и некоторые пакеты содержат кучу ошибок, исправлением которых при...
Видео Подкаст с B4TR - NitroTeam
Всем привет! Герой нашего подкаста - Тютеев Батыржан! Директор NitroTeam.
Компания NitroTeam основана в 2018 году, но объединяет специалистов со стажем более 10 лет в сфере информационной безопасности. Наши специалисты по праву заслужили репутацию экспертов международного уровня и имеют большой опыт в вопросах защиты банков, телекомов, веб и мобильных приложений.
Обсудим такие темы, как:
Образование StandOFF Команда NitroTeam Мотивация Хакеры Хакинг И многое другое!
Статья Новостной дайджест по ИБ/IT за 7.02-14.02
Здравия всем, дамы и господа, уже вечереет, а я только начал писать статью. Что ж, свою оплошность признаю и поскорее перехожу к сути.
ЦБ рекомендовал банкам оперативно выявлять счета, по которым проводятся операции с «необычно большим количеством» граждан — более 10 в день и более 50 в месяц, а также более 30 транзакций с физлицами в день. Также под подозрение подпадают «значительные объемы» операций между гражданами — более 100 тысяч рублей в день или более 1 млн рублей в месяц. Банки будут рассматривать такие переводы как возможную легализацию преступных доходов или финансирование терроризма, а при наличии оснований будут блокировать их. Если у одного клиента выявят два и более подобных перевода в год, то с ним могут расторгнуть договор. В Ассоциации банков России допустили, что поручение правительства сделает контроль банков более строгим...
Я знаю, что вы купили прошлым летом
ЦБ рекомендовал банкам оперативно выявлять счета, по которым проводятся операции с «необычно большим количеством» граждан — более 10 в день и более 50 в месяц, а также более 30 транзакций с физлицами в день. Также под подозрение подпадают «значительные объемы» операций между гражданами — более 100 тысяч рублей в день или более 1 млн рублей в месяц. Банки будут рассматривать такие переводы как возможную легализацию преступных доходов или финансирование терроризма, а при наличии оснований будут блокировать их. Если у одного клиента выявят два и более подобных перевода в год, то с ним могут расторгнуть договор. В Ассоциации банков России допустили, что поручение правительства сделает контроль банков более строгим...
Статья XSS, RCE, SQLi и Docker. Linux Hard HackTheBox EarlyAccess!
Приветствую!
Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину EarlyAccess (Linux - Web).Сегодня мы применим уязвимости такие как SQLi, XSS и RCE, а так же рассмотрим повышение привилегий через Docker! Начинаем)
Данные:
Задача: Скомпрометировать машину на Linux и взять два флага user.txt и root.txt.Основная рабочая машина: Kali Linux 2021.4
IP адрес удаленной машины - 10.10.11.110
IP адрес основной машины - 10.10.14.66
Начальная разведка и сканирование портов:
Запустим Nmap для сканирования нашего хоста:nmap...Статья Как работает цепочка блоков ? Приоткрываем капот Blockchain
Привет Codeby !
Я впервые затрагиваю тему криптовалюты, не кидайте камни :3 Я не буду скидывать все в общий котел, копипастить определения из вики и тому подобное. Все рассмотреть сейчас у меня не получится и эта статья будет посвещена основной идее добычи, а именно - майнинге криптовалюты. О том, что из себя представляют все эти транзакции, блокчейны и процесс их добывания. Вам необязательно покупать тачки для майнинга, вкладывать деньги или пытаться заработать на этом другими путями (как-то незаконно например), чтобы просто разобраться в этом. И я считаю, что само фундаментальное понятие - криптовалюта, должно иметь место быть в любом информационном и электронном мире. При всем при этом, переход на децентрализованную электронную систему крипто денег, колоссально изменит и нашу жизнь и экономику. Ну или все закончится печальным Fallout'ом, кто знает...
Я впервые затрагиваю тему криптовалюты, не кидайте камни :3 Я не буду скидывать все в общий котел, копипастить определения из вики и тому подобное. Все рассмотреть сейчас у меня не получится и эта статья будет посвещена основной идее добычи, а именно - майнинге криптовалюты. О том, что из себя представляют все эти транзакции, блокчейны и процесс их добывания. Вам необязательно покупать тачки для майнинга, вкладывать деньги или пытаться заработать на этом другими путями (как-то незаконно например), чтобы просто разобраться в этом. И я считаю, что само фундаментальное понятие - криптовалюта, должно иметь место быть в любом информационном и электронном мире. При всем при этом, переход на децентрализованную электронную систему крипто денег, колоссально изменит и нашу жизнь и экономику. Ну или все закончится печальным Fallout'ом, кто знает...
