Forwarded from Пост Импакта
Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
«Red Purple Team»
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
❤6🔥2
OffZone 2023
Уже забыли? А зря!
Организаторы потихоньку начинают выкладывать записи, на данный момент доступны записи следующих треков:
• Track 1
• Track 2 (часть)
• AntiFraud.Zone
Все презентации спикеров, которые пожелали ими подлиться уже выложены на сайте.
Link: https://offzone.moscow/program/
А если хотите почитать впечатления ребят из OSINT mindset (+немножко моих), то можете ознакомиться со статьей на Хабре - OSINT mindset × OFFZONE: как это было.
#offzone
Уже забыли? А зря!
Организаторы потихоньку начинают выкладывать записи, на данный момент доступны записи следующих треков:
• Track 1
• Track 2 (часть)
• AntiFraud.Zone
Все презентации спикеров, которые пожелали ими подлиться уже выложены на сайте.
Link: https://offzone.moscow/program/
#offzone
Хабр
OSINT mindset × OFFZONE: как это было
Начало положено Привет, Хабр! В этом посте мы расскажем, как прошли путь от просто энтузиастов и посетителей до организаторов собственного стенда на ИБ-конференции OFFZONE. Будут описания активностей,...
❤🔥5❤1
Forwarded from MEPhI CTF (Pavel Blinnikov)
Новый #ctfchat
Также хочется рассказать о том, что в результате вчерашнего длительного ночного обсуждения с активными российскими игроками в CTF мы пришли к идее создания нового русскоязычного чата о CTF.
Зайти туда и обсудить реверс Rust можно уже сейчас: https://xn--r1a.website/+dGgkYwJwL4Y5OTQy
Также хочется рассказать о том, что в результате вчерашнего длительного ночного обсуждения с активными российскими игроками в CTF мы пришли к идее создания нового русскоязычного чата о CTF.
Зайти туда и обсудить реверс Rust можно уже сейчас: https://xn--r1a.website/+dGgkYwJwL4Y5OTQy
👍2
Web3 Чат
Значительную часть своих знаний мы получаем благодаря взаимодействию с другими людьми из сферы: знакомства на конференциях, в чатах, посещение локальных митапов, хакерспейсов или просто случайные или запланированные встречи.
Поэтому @whoamins и @curiv решили создать чатик по web3 security, присоединяйтесь! :)
#web3
Значительную часть своих знаний мы получаем благодаря взаимодействию с другими людьми из сферы: знакомства на конференциях, в чатах, посещение локальных митапов, хакерспейсов или просто случайные или запланированные встречи.
Поэтому @whoamins и @curiv решили создать чатик по web3 security, присоединяйтесь! :)
#web3
❤6
Forwarded from sdnv's funk-hole
Пентестеры в СНГ часто сталкиваются с 1С-серверами внутри инфраструктур, один из векторов атак - Консоль Администрирования Кластеров 1С (RAS).
Чтобы попытаться подключиться к нему - подбирают версию клиента коноли аналогичную серверу, скачивают нужный серверный дистрибутив под винду и только тогда смогут зайти под имеющимися/пустыми кредами получая кучу полезной информации.
Я автоматизировал этот процесс благодаря консольной утилите
Этапы: Скан nmap с поиском открытых портов RAS, Сбор информации при успешном подключении к серверу, Выгрузка полученной информации в
https://github.com/sdnv0x4d/rasoff
Чтобы попытаться подключиться к нему - подбирают версию клиента коноли аналогичную серверу, скачивают нужный серверный дистрибутив под винду и только тогда смогут зайти под имеющимися/пустыми кредами получая кучу полезной информации.
Я автоматизировал этот процесс благодаря консольной утилите
rac от 1С для Linux. Более того, больше не нужно подбирать версию клиента и сервера - утилита rac работает с разными версиями серверов.Этапы: Скан nmap с поиском открытых портов RAS, Сбор информации при успешном подключении к серверу, Выгрузка полученной информации в
.csv под каждый сервер. Более подробно в READMEhttps://github.com/sdnv0x4d/rasoff
GitHub
GitHub - sdnv0x4d/rasoff: 1C RAS Offensive Security Tool
1C RAS Offensive Security Tool. Contribute to sdnv0x4d/rasoff development by creating an account on GitHub.
🔥7❤1
KazHackStan 2023
Команда «Kcell» - победители кибербитвы на KazHackStan 2023, рассказали о своей подготовке к кибербитве, векторе до SCADA системы в City и захвате дрона на полигоне CyberKumbez.
https://habr.com/ru/articles/763774/
#kazhackstan
Команда «Kcell» - победители кибербитвы на KazHackStan 2023, рассказали о своей подготовке к кибербитве, векторе до SCADA системы в City и захвате дрона на полигоне CyberKumbez.
https://habr.com/ru/articles/763774/
#kazhackstan
Хабр
Команда «Kcell» путь к победе на KazHackStan 2023
Привет, Username, в данной статье я хочу рассказать тебе о конференции KazHackStan, которая прошла 13-15 сентября 2023 года. Также, поделиться информацией о некоторых векторах атак на полигоне и...
👍2
API Keys
Нашли ключ, но не знаете, для чего он нужен и как его использовать или просто нужны регулярки для поиска секретов? Нижеперечисленные репозитории помогут вам узнать, что за ключ вы нашли и как можно использовать определенные API-ключи, найденные в ходе пентеста / Bug Bounty для проверки их валидности.
• https://github.com/streaak/keyhacks
• https://github.com/mazen160/secrets-patterns-db
• https://github.com/dwisiswant0/gfx
• https://github.com/dwisiswant0/secpat2gf
• https://github.com/sourcegraph-community/no-secrets/
• https://github.com/daffainfo/all-about-apikey
• api-guesser.netlify.app
#api #secrets #tokens
📱 Информационная безопасность
Нашли ключ, но не знаете, для чего он нужен и как его использовать или просто нужны регулярки для поиска секретов? Нижеперечисленные репозитории помогут вам узнать, что за ключ вы нашли и как можно использовать определенные API-ключи, найденные в ходе пентеста / Bug Bounty для проверки их валидности.
• https://github.com/streaak/keyhacks
• https://github.com/mazen160/secrets-patterns-db
• https://github.com/dwisiswant0/gfx
• https://github.com/dwisiswant0/secpat2gf
• https://github.com/sourcegraph-community/no-secrets/
• https://github.com/daffainfo/all-about-apikey
• api-guesser.netlify.app
#api #secrets #tokens
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤1
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
][акер опубликовал призовые кейсы нашей премии Pentest award. Сохраняем их в одном посте, чтобы участникам в следующем году было достаточно референсов:
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
👍6
Offensive Rust
Rust Weaponization for Red Team Engagements.
• Why Rust?
• Examples in this repo
• Compiling the examples
• Compiling the examples in this repo
• Cross Compiling
• Optimizing executables for size
• Pitfalls I found myself falling into
• Interesting Rust Libraries
• Opsec
• Other projects I have have made in Rust
• Projects in Rust that can be hepfull
➡️ trickster0/OffensiveRust
#Rust #OffensiveRust
📱 Информационная безопасность
Rust Weaponization for Red Team Engagements.
• Why Rust?
• Examples in this repo
• Compiling the examples
• Compiling the examples in this repo
• Cross Compiling
• Optimizing executables for size
• Pitfalls I found myself falling into
• Interesting Rust Libraries
• Opsec
• Other projects I have have made in Rust
• Projects in Rust that can be hepfull
#Rust #OffensiveRust
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Standoff Talks №4
Ребята из Standoff(2) 365 открыли регистрацию на Standoff Talks. Если кто-то не знает, то Standoff Talks это ивент, где offensive и defensive security специалисты обменяются опытом с комьюнити. И это не пустые слова, по опыту участие в 3х предыдущих ивентах могу сказать, что оно того действительно стоит. По плану будет 2 дня годных докладов, а в конце общее афтепати.
Если ты социальный гигачад и хочешь послушать доклады оффлайн, то оставляй заявку на сайте, но ради этого придется слегка задеанониться. Если ты не хочешь это делать, то сможешь посмотреть стрим ивента со всеми докладами.
#standoff #talks #bb
Ребята из Standoff
Если ты социальный гигачад и хочешь послушать доклады оффлайн, то оставляй заявку на сайте, но ради этого придется слегка задеанониться. Если ты не хочешь это делать, то сможешь посмотреть стрим ивента со всеми докладами.
#standoff #talks #bb
🔥6👍1💩1
legba
A new multiprotocol credentials bruteforcer / password sprayer and enumerator built with Rust and the Tokio asynchronous runtime in order to achieve better performances and stability while consuming less resources than similar tools.
• AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM and Solace)
• DNS
• FTP
• HTTP
• IMAP
• Kerberos
• LDAP
• MongoDB
• Microsoft SQL
• MySQL
• PostgreSQL
• POP3
• RDP
• SSH / SFTP
• SMTP
• STOMP (ActiveMQ, RabbitMQ, HornetQ and OpenMQ)
• Telnet
• VNC
➡️ evilsocket/legba
#legba #bruteforce #rdp #ssh
📱 Информационная безопасность
A new multiprotocol credentials bruteforcer / password sprayer and enumerator built with Rust and the Tokio asynchronous runtime in order to achieve better performances and stability while consuming less resources than similar tools.
• AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM and Solace)
• DNS
• FTP
• HTTP
• IMAP
• Kerberos
• LDAP
• MongoDB
• Microsoft SQL
• MySQL
• PostgreSQL
• POP3
• RDP
• SSH / SFTP
• SMTP
• STOMP (ActiveMQ, RabbitMQ, HornetQ and OpenMQ)
• Telnet
• VNC
#legba #bruteforce #rdp #ssh
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - evilsocket/legba: The fastest and more comprehensive multiprotocol credentials bruteforcer / password sprayer and enumerator.…
The fastest and more comprehensive multiprotocol credentials bruteforcer / password sprayer and enumerator. 🥷 - evilsocket/legba
🔥7
Yggdrasil-mesh глазами пентестера
Автор канала @pathsecure выпустил статью на хабре про yggdrasil-mesh.
➡️ Статья на хабре
#mesh #yggdrasil_network
📱 Информационная безопасность
Автор канала @pathsecure выпустил статью на хабре про yggdrasil-mesh.
Рассказываю про устройство сети, энумерацию узлов и проблемы с межсетевым экранированием. В конце статьи курьезная история открытой админкой и получением IP-адреса. Приятного прочтения.
#mesh #yggdrasil_network
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Yggdrasil-mesh глазами пентестера
1. Введение В наше время растет популярность децентрализованных альтернатив современным подходам к маршрутизации трафика в вычислительных сетях (например, для обхода санкционных блокировок...
🔥4
Forwarded from Offensive OSINT
Уже в эту субботу пройдёт OSINT mindset conference #1
Приходите послушать доклады, попробовать решить задачи на стендах и выиграть мерч. Конференций в сфере OSINT не много, а возможности открываются большие. Это новый виток развития команды Mindset, такое надо видеть
Советую прийти лично, познакомитесь с множеством специалистов, зададите вопросы спикерам, поучаствуете в активностях. Или смотрите онлайн, все доклады будут транслироваться. В любом случае отличная возможность узнать много нового❤️
Приходите послушать доклады, попробовать решить задачи на стендах и выиграть мерч. Конференций в сфере OSINT не много, а возможности открываются большие. Это новый виток развития команды Mindset, такое надо видеть
Советую прийти лично, познакомитесь с множеством специалистов, зададите вопросы спикерам, поучаствуете в активностях. Или смотрите онлайн, все доклады будут транслироваться. В любом случае отличная возможность узнать много нового
Please open Telegram to view this post
VIEW IN TELEGRAM
Offensive security questions
Ещё можно подписаться на автора
➡️ https://github.com/curiv/russian-offensive-security-questions
📱 Информационная безопасность
Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения.
Ещё можно подписаться на автора
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - curiv/russian-offensive-security-questions: Репозиторий содержит список вопросов по наступальной безопасности.
Репозиторий содержит список вопросов по наступальной безопасности. - curiv/russian-offensive-security-questions
👍4
Forwarded from саша борисова смотреть бесплатно (ENZO)
Привет, мои хорошие
Отчаянно ищу SMM-менеджера в нашу команду маркетинга в BI.ZONE
Пишем про кибербезопасность, генерим креатив для легендарных OFFZONE и BI.ZONE Bug Bounty, пьем пиво на тимбилдингах и устраиваем креативные разгоны для разминки мозгов. Всему научим, везде поддержим.
Описание вакансии смотрите вот тут, туда же шлите резюме. Очень-очень вас ждем😇 🖤
Отчаянно ищу SMM-менеджера в нашу команду маркетинга в BI.ZONE
Пишем про кибербезопасность, генерим креатив для легендарных OFFZONE и BI.ZONE Bug Bounty, пьем пиво на тимбилдингах и устраиваем креативные разгоны для разминки мозгов. Всему научим, везде поддержим.
Описание вакансии смотрите вот тут, туда же шлите резюме. Очень-очень вас ждем
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем привет, на прошлой неделе прошла череда блокировок Telegram каналов в OSINT сфере, в неё попал и мой второй канал @offensiveosint. Большинство каналов уже были разблокированы, но не мой, просьба помочь донести до ТП Telegram следующее сообщение:
У коллег из сферы получилось донести сообщение, с достаточной оглаской получится и у нас.
🌐 Сообщение стоит писать в боты тех. поддержки телеграма:
@PressBot
@AmeliaTearheart
@BotSupport
А также в поддержку Telegram - Открыть настройки -> Снизу будет "Задать вопрос" -> Перейти к вопросу
📬 И на их официальные почты:
dmca@telegram.org
security@telegram.org
recover@telegram.org
abuse@telegram.org
support@telegram.org
Буду благодарен за репост данного поста, это очень сильно увеличит шансы разбана
Канал @offensiveosint был заблокирован. Он содержал ссылки на статьи, презентации с выступлений автора на конференциях и общедоступные инструменты, связанные с информационной безопасностью. На канале никогда не публиковались личные данные или любой другой запрещенный контент. Просьба разблокировать данный канал и снять с @adkkkkkkkk ограничения
@offensiveosint channel has been blocked. It contained links to articles, presentations from the author's conference talks, and publicly available tools related to information security. No personal data or any other prohibited content was ever published on the channel. Please unblock this channel and remove the restrictions from @adkkkkkkkk
У коллег из сферы получилось донести сообщение, с достаточной оглаской получится и у нас.
@PressBot
@AmeliaTearheart
@BotSupport
А также в поддержку Telegram - Открыть настройки -> Снизу будет "Задать вопрос" -> Перейти к вопросу
dmca@telegram.org
security@telegram.org
recover@telegram.org
abuse@telegram.org
support@telegram.org
Буду благодарен за репост данного поста, это очень сильно увеличит шансы разбана
Please open Telegram to view this post
VIEW IN TELEGRAM
2
Forwarded from Offensive OSINT
I'm back
Спустя 6 дней несправедливой блокировки канал был наконец-то разблокирован. Хочу сказать, что ничего бы не получилось без вашей поддержки — спасибо всем, кто писал в техподдержку, а также сотрудникам Telegram. Отдельная благодарность следующим каналам за репост:
https://xn--r1a.website/cybdetective
https://xn--r1a.website/osint_mindset
https://xn--r1a.website/artemov_security
https://xn--r1a.website/anka_per_monetae
https://xn--r1a.website/osintby
https://xn--r1a.website/netskings
https://xn--r1a.website/orkchanel
https://xn--r1a.website/infobase999
Спустя 6 дней несправедливой блокировки канал был наконец-то разблокирован. Хочу сказать, что ничего бы не получилось без вашей поддержки — спасибо всем, кто писал в техподдержку, а также сотрудникам Telegram. Отдельная благодарность следующим каналам за репост:
https://xn--r1a.website/cybdetective
https://xn--r1a.website/osint_mindset
https://xn--r1a.website/artemov_security
https://xn--r1a.website/anka_per_monetae
https://xn--r1a.website/osintby
https://xn--r1a.website/netskings
https://xn--r1a.website/orkchanel
https://xn--r1a.website/infobase999
Forwarded from OSINT mindset
Это анонс OSINT mindset conference #11! 🔥
Совсем недавно прошла наша юбилейная конференция, но новая уже на подходе, а это значит, что именно ты сможешь выступить с докладом о своём опыте или исследовании в мае! 🫵
Ссылка на форму
CFP будет открыто до 9 мая 23:59 (UTC+3). Оставляй заявку по ссылке!
Ждём всех 30 мая в 13:00 (UTC+3) в Благосфере, м. Динамо, 1-й Боткинский проезд, д. 7c1. Все обновления будут в канале OSINT mindset!
Мероприятие полностью бесплатное, без регистрации и возрастного ограничения✨
🌐 Site | 💬 Forum | 🔍 Family |▶ YT
Совсем недавно прошла наша юбилейная конференция, но новая уже на подходе, а это значит, что именно ты сможешь выступить с докладом о своём опыте или исследовании в мае! 🫵
Ссылка на форму
CFP будет открыто до 9 мая 23:59 (UTC+3). Оставляй заявку по ссылке!
Ждём всех 30 мая в 13:00 (UTC+3) в Благосфере, м. Динамо, 1-й Боткинский проезд, д. 7c1. Все обновления будут в канале OSINT mindset!
Мероприятие полностью бесплатное, без регистрации и возрастного ограничения
Please open Telegram to view this post
VIEW IN TELEGRAM