Ralf Hacker Channel
26.7K subscribers
407 photos
16 videos
503 files
487 links
Download Telegram
Burp Pro 2021.4

#soft #burp #web
Burp Pro 2021.5

#soft #burp #web
Burp Pro 2021.7.2 + подробная инструкция по установке внутри

P.S. Если вы и прошлый Burp брали с нашего канала, просто замените у себя JAR файл)))

#soft #burp #web
Burp Pro 2021.8 + подробная инструкция по установке внутри

P.S. Если вы и прошлый Burp брали с канала, просто замените у себя JAR файл)))

#soft #burp #web
SSRF.png
3.4 MB
Хороший mindmap по SSRF

#web #mindmap
File_Upload.png
3 MB
Хороший mindmap по уязвимостям в технологии загрузки файлов на сервер

#web #mindmap
Burp Pro 2021.10 + подробная инструкция по установке внутри

P.S. Если вы и прошлый Burp брали с канала, просто замените у себя JAR файл)))

#soft #burp #web
Burp Pro 2022.1 + подробная инструкция по установке внутри

P.S. Если вы и прошлый Burp брали с канала, просто замените у себя JAR файл)))

#soft #burp #web
Burp Pro 2022.2 + подробная инструкция по установке внутри

P.S. Если вы и прошлый Burp брали с канала, просто замените у себя JAR файл)))

#soft #burp #web
Burp Pro 2022.3.4 + инструкция по установке

P.S. Если вы и прошлый Burp брали с канала, просто замените у себя JAR файл)))

#soft #burp #web
attacking_bitrix.pdf
3.6 MB
Мануал по атакам на Bitrix

"Сотни интернет-студий и веб-дизайнерских бюро, ежегодно разрабатывают тысячи сайтов, используя платформу 1С-Битрикс. <...> Эльдорадо, Связной, МТС, Азбука Вкуса, ТВОЕ, Банк "Россия", РСБ, Payeer, Ассист, Банки.ру, РЖД, Мультикарта и сотни других брендов, используют битрикс в своих бизнес процессах.

В связи с этим, экспертам по информационной безопасности приходится часто натыкаться на продукт, при проведении аудитов и анализе защищенности различных проектов."

#pentest #web
Burp_Pro_2022.5.1.zip
519.9 MB
Burp Pro 2022.5.1 + инструкция по установке

P.S. Если вы и прошлый Burp брали с канала, просто замените у себя JAR файл)))

#soft #burp #web
Burp Pro 2022.8 - Early Adopter
Burp Pro 2022.7.1 - Stable Release
+ инструкция по установке

P.S. Если вы и прошлый Burp брали с канала, просто замените у себя JAR файл)))

#soft #burp #web
Burp Pro 2023.2.2 (1 марта). Инструкция по лицензированию внутри

#burp #web #soft
Burp Pro 2023.6.2 (29 июня). Инструкция по лицензированию внутри

#burp #soft #web
Forwarded from SHADOW:Group
​​💻Что поискать на сайте с IIS?

1. Используем shortscan, для поиска коротких (а по возможности и полных) имен файлов и расширений.

2. Проверяем наличие реверс прокси и пробуем directory traversal:
/backend/ -> 10.0.0.1/api/
/backend/..%2Ftest -> 10.0.0.1/test
Подробнее можно почитать тут.

3. Когда удастся получить раскрытие файлов, смотрим ключи в web.conf и пробуем получить RCE через дисериализацию. Почитать об этом тут.

4. Пробуем грузить файлы .asp, .aspx, .ashx и тд (полный список тут)

#web #iis #rce
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SHADOW:Group
🔎Собираем поддомены и IP в RSECloud

Недавно нашел новый ресурс, под названием RSECloud, который позволяет собирать поддомены и IP'шники организации по домену или имени организации. Работает как в вебе, так и через API.

Чтобы удобно прикрутить его к своей автоматизации накидал небольшой скрипт на GO, который предполагает 3 варианта использования:

Сбор поддоменов:
rsescan -d example.com -key YOUR_API_KEY


Сбор IP'шников по домену:
rsescan -d example.com -cn -key YOUR_API_KEY


Сбор IP'шников по имени организации:
rsescan -so "Organization Name" -key YOUR_API_KEY


Для получения API ключа нужно просто пройти регистрацию по почте. Для всех желающих залил скрипт на гитхаб.

Ссылка на RSECloud
Ссылка на скрипт

#web #recon
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SHADOW:Group
🖊️Семантические уязвимости в серверах Apache

В связи с недавно прошедшими мероприятиями и моим отпуском не было времени упомянуть некоторые крутые недавно опубликованные доклады. И к одному из таких относится ресерч старины Orange Tsai, в ходе которого было найдено сразу несколько CVE и различных мисконфигов в серверах Apache.

Странно, что никто об этом еще не написал, так как материал очень интересный и я всем рекомендую ознакомиться с оригиналом по ссылке. Я также набросал несколько шаблонов для Nuclei на основе этого доклада, которые вы можете доработать или использовать как есть на своих целях (закину их в комменты под постом).

#web #apache #cve
Please open Telegram to view this post
VIEW IN TELEGRAM