#hacking #malware

Подсказали забавный YouTube канал с троянами/вирусами и прочим всех времен. Автор собрал видео с запусками и объяснением действий различных троянских программ и вирусов.

Computer viruses, trojans, and worms in action. From digital mischief to outright destruction, I try to sample a bit of everything that made older malware (malicious software) unique from its modern day counterparts.
https://www.youtube.com/user/danooct1/videos

#misc

Крутейший подгон!

#hacking #beginners #clientSide

URL сложнее чем кажется! Смотрите новое видео на LiveOverflow. Очень интересно рассказывает о проблемах парсинга URL и о том, что такое UXSS.

https://youtu.be/0uejy9aCNbI

#hacking #LPE

Полезный ресурс со списком Unix команд (исполняемых файлов) с примерами эксплуатации их для повышения привилегий в системе.

Description:
GTFOBins is a curated list of Unix binaries that can be exploited by an attacker to bypass local security restrictions.

Спасибо, @PaHUEllo!

https://gtfobins.github.io/

#knowledge #clientSide

Отличный ресурс-шпаргалка по работе TLS протокола! Очень наглядно и понятно показывает как работает TLS в деталях. Просто посмотрите на это!

https://tls.ulfheim.net/

#hacking #PHP #LFI

Наткнулся на интересную статью о LFI через PHPINFO(). Я что-то об этом уже слышал, но сейчас закрепил знания. Также в статье приводятся примеры других способов провести LFI с исполнением произвольного кода.
Enjoy!

https://www.insomniasec.com/downloads/publications/LFI%20With%20PHPInfo%20Assistance.pdf

#hacking #CTF #PHP

Write-Up на задание с HITCON CTF 2018 от Orange Tsai. Задание создано с особым подходом, в нем задействованы интереснейшие тонкости работы PHP, рекомендую ознакомиться и разобраться, узнаете много нового.

https://blog.orange.tw/2018/10/hitcon-ctf-2018-one-line-php-challenge.html

#instruments

Крутецкий проект на GitHub подсказал @russtone: https://github.com/akavel/up

Это дебагер pipe’ов. Вы только посмотрите что он делает! (По ссылке есть гифка)

Ееееее, бой! @Burp_Suite: https://twitter.com/Burp_Suite/status/1055436883805827073?s=09

#knowledge #android

Продолжающийся с 2017 года цикл статей на тему детального разбора работы Android ОС. Кому интересно разобраться или узнать, что-то новое рекмендую!

Как работает Android, часть 1 - https://habr.com/company/solarsecurity/blog/334796/
Как работает Android, часть 2 - https://habr.com/company/solarsecurity/blog/338292/
Как работает Android, часть 3 - https://habr.com/company/solarsecurity/blog/338494/
Как работает Android, часть 4 - https://habr.com/company/solarsecurity/blog/427431/

#CTF #hacking

Вчера зашел на старый добрый root-me.org, чтобы проверить не появилось ли новых задачек в категории web-servers, и обнаружил, что появился новый challenge! [Server SIde Request Forgery](https://www.root-me.org/en/Challenges/Web-Server/Server-Side-Request-Forgery)
- «Easy!» - подумал я
Но оказалось, что в таске просят одержать победу в одной из задач категории CTF All The Day. Это необычные задачки, в которых могут принимать участие несколько человек c развернутой для них виртуальной инфраструктурой, которую можно крушить, ломать и делать все, что угодно. Своеобразные лаборатоные из OSCP на минималках (Или на максималках).
Всем, кто еще не пробовал, очень рекомендую поиграться, потратил вечерок, чтобы решить не простой таск на SSRF, и получил огромное удовольствие от игры!

Ссылка на CTF All The Day:
https://www.root-me.org/en/Capture-The-Flag/CTF-all-the-day/

#Conference #BiZone

Attention! The #OFFZONE agenda is now up on the website!

https://t.co/54sZ4U0II2 https://t.co/hhSOKf28ip

#hacking #knowledge

Наткнулся на полезный сайт. Если работаете с SpringBoot фреймворком и не понимаете структуру приложения, то можете попробовать за несколько секунд сгенерировать себе тестовое SpringBoot приложение, с нужным вам сборщиком, версией и зависимостями. Получаете исходники в архиве и вперед.

https://start.spring.io/

Осталась всего неделя до конференции OFFZONE!

Не пропусти свой шанс узнать много нового о защите технологий в финансовой сфере, проблемах безопасности веб-приложений и низкоуровневых уязвимостях в широко используемых девайсах. Для самых отчаянных мы запасли постапокалиптическое пиво, привезли тату мастеров и подготовили уйму трофеев для победителей различных конкурсов. Все это и даже больше в Digital October уже через неделю 😎

Узнать больше о программе и купить билеты: https://offzone.moscow

#offzone #offzone2018

#knowledge
Как-то я тут постил ресурс с разбором TLS1.2, ловите обнову с разбором TLS1.3!
https://tls13.ulfheim.net/

#Conference

OFFZONE начнется уже в четверг! Всем рекомендую по возможности. Получилось очень насыщенное мероприятие: куча актвиностей, интересные треки и толпа известных и интересных личностей)
Приходите на https://xn--r1a.website/offzone_moscow! Рад буду всех там видеть)

#knowledge

Что-то новенькое. Недавно узнал, что в chrome есть интересный механизм дебага для решения различных проблем, вроде: работы с кешем, работы с dns резолвами, работы HTTP/2, TCP/IP протоколами, работой прокси и пр. Механизм этот доступен по адресу: chrome://net-internals
Полезно знать, может когда-нибудь пригодится.

#knowledge #python

Еще узнал кое-чего новое о изменениях в синтаксисе python 3.7, а точнее о возможности самодокументирования участков кода, описывающих типы данных.
Только посмотрите на изображение)
(По сути такое указание типа ничего не меняет, но говорит читающему о предполагаемом типе переменной)

#ctf
Наконец-то затащил что годное. Спасибо Валарму за возможность!

1. empty.jack 1096
2. Beched 1096
3. BlackFan 1096
4. yarbabin 1096
5. Kaimi 1096
6. r0hack 1096
7. drakylar 842
8. Forst 842
9. Sailor 842
10. swan'i 842

#hacking #recon

Крутейшая статья с описанием способов и инструментов разведки в сети. К каждому инструменту описан способ инсталляции и пример запуска.

https://pentester.land/cheatsheets/2018/11/14/subdomains-enumeration-cheatsheet.html