Всем привет, и так, у нас есть победитель 🥇 @K1bers
(Можете написать ему в лс что он красавчик)
Поздравляем 🎉
P.S. : WriteUP будет в понедельник)
(Можете написать ему в лс что он красавчик)
Поздравляем 🎉
P.S. : WriteUP будет в понедельник)
👍8🔥4❤2❤🔥1😍1
Всех с наступающим Новым годом 🎉
Хотелось бы провести итоги года 🤔
30 апреля, мы сделали наш Дискорд сервер, где начали учить людей, это было нам в новинку и мы может делали что то не так, но подняли уровень обучения)
За этот год к нам присоединилось почти 1500 людей, а количество людей в дискорде составляет 470 человек (почти 500😁)
Мы начали сотрудничать со многими сообществами 🤝
Нашли много друзей в сфере ИБ
31 октября мы представили вам наш сайт, где провели наш первый небольшой CTF 🏆
Мы рады что вы с нами ❤️
P.S. От всей команды NR желаем вам удачи в новом году, учитесь и еще раз учитесь)
Хотелось бы провести итоги года 🤔
30 апреля, мы сделали наш Дискорд сервер, где начали учить людей, это было нам в новинку и мы может делали что то не так, но подняли уровень обучения)
За этот год к нам присоединилось почти 1500 людей, а количество людей в дискорде составляет 470 человек (почти 500😁)
Мы начали сотрудничать со многими сообществами 🤝
Нашли много друзей в сфере ИБ
31 октября мы представили вам наш сайт, где провели наш первый небольшой CTF 🏆
Мы рады что вы с нами ❤️
P.S. От всей команды NR желаем вам удачи в новом году, учитесь и еще раз учитесь)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥17👍4
Forwarded from "Cyber detective" & "Irina Daily Tech Tips" твиты на русском
Если у вас есть какие-то интересные идеи (опыт работы с чем-то, результаты независимых исследований и т.д.) связанные с IT-сферой и вы хотели бы их где-то опубликовать, то можно рассмотреть англоязычные платформы, которые платят tech-авторам за контент:
Digital Ocean
https://www.digitalocean.com/community/pages/write-for-digitalocean
от $75 до $400 за пост, в зависимости от реакции аудитории (темы: Linux, ИБ, Docker)
Draft Dev
https://draft.dev/write
от $315 до $578 за пост (статьи строго про tech-маркетинг)
Neptune
https://neptune.ai/write-for-us
от $300 до $600 за пост на темы связанные с Data Science/Machine Learning
AirByte
https://airbyte.com/write-for-the-community
до $900 за 1500 слов (список свободных тем здесь https://github.com/airbytehq/write-for-the-community/issues?q=is%3Aissue+is%3Aopen+label%3A%22looking+for+author%22)
CircleCi
https://circleci.com/blog/technical-authors-program/
до $600 за 1500-2000 слов, широкий выбор тем связанных с веб-разработкой (примеры https://circleci.com/blog/tag/tutorials/)
Content Turbine
https://contentturbine.com/freelance
от $150 за пост
SignozHQ
https://signoz.io/technical-writer-program/
$150 (пост 1000-1500 слов про узкие темы вроде OpenTelemetry, Distributed tracing, Application performance monitoring, но можно и про Devops в целом)
CivoCloud
https://www.civo.com/write-for-us
$500 за пост (о том, как какая-либо техническая проблема была решена с помощью Civo)
Hasura
https://hasura.io/blog/the-hasura-technical-writer-program/
$300 за пост (строго на тему GraphQL)
Помимо денег еще один плюс таких платформ в том, что они позволяют засветить свое имя, ссылки на соцсети и блоги перед широкой аудиторией (иногда до нескольких сотен тысяч человек).
Возможные подводные камни: очень много редакторских правок, жесткие требования к контенту, возможные трудности с переводом денег в Россию (этот момент надо уточнять перед началом работы, так как ситуация постоянно меняется).
P.S. Пост является исправленной и дополненной версией Twitter-трида от Hasan Toor https://twitter.com/hasantoxr/status/1609557613594697730 .
@user_it_channel
Digital Ocean
https://www.digitalocean.com/community/pages/write-for-digitalocean
от $75 до $400 за пост, в зависимости от реакции аудитории (темы: Linux, ИБ, Docker)
Draft Dev
https://draft.dev/write
от $315 до $578 за пост (статьи строго про tech-маркетинг)
Neptune
https://neptune.ai/write-for-us
от $300 до $600 за пост на темы связанные с Data Science/Machine Learning
AirByte
https://airbyte.com/write-for-the-community
до $900 за 1500 слов (список свободных тем здесь https://github.com/airbytehq/write-for-the-community/issues?q=is%3Aissue+is%3Aopen+label%3A%22looking+for+author%22)
CircleCi
https://circleci.com/blog/technical-authors-program/
до $600 за 1500-2000 слов, широкий выбор тем связанных с веб-разработкой (примеры https://circleci.com/blog/tag/tutorials/)
Content Turbine
https://contentturbine.com/freelance
от $150 за пост
SignozHQ
https://signoz.io/technical-writer-program/
$150 (пост 1000-1500 слов про узкие темы вроде OpenTelemetry, Distributed tracing, Application performance monitoring, но можно и про Devops в целом)
CivoCloud
https://www.civo.com/write-for-us
$500 за пост (о том, как какая-либо техническая проблема была решена с помощью Civo)
Hasura
https://hasura.io/blog/the-hasura-technical-writer-program/
$300 за пост (строго на тему GraphQL)
Помимо денег еще один плюс таких платформ в том, что они позволяют засветить свое имя, ссылки на соцсети и блоги перед широкой аудиторией (иногда до нескольких сотен тысяч человек).
Возможные подводные камни: очень много редакторских правок, жесткие требования к контенту, возможные трудности с переводом денег в Россию (этот момент надо уточнять перед началом работы, так как ситуация постоянно меняется).
P.S. Пост является исправленной и дополненной версией Twitter-трида от Hasan Toor https://twitter.com/hasantoxr/status/1609557613594697730 .
@user_it_channel
Digitalocean
Write for DOnations | DigitalOcean
Technical tutorials, Q&A, events — This is an inclusive place where developers can find or lend support and discover new ways to contribute to the community.
👍3🔥2❤🔥1❤1
Успевайте сдать экзамен до 10 числа ❗️
С 10 числа цены на сдачу экзамена будут такие :
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟢 Новичок (600) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟣 Средние (800) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🔵 Опытные (1000) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟡 Скрипто-Препод (1250) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🔴 Pentester (1500) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟠 Индивидуальные занятия на усмотрение учителя (300 - 1000) Рублей
Абонементы были убраны, вместо них будут индивидуальные обучения по вашей желаемой теме) (писать : @TripiniFKYL)
С 10 числа цены на сдачу экзамена будут такие :
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟢 Новичок (600) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟣 Средние (800) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🔵 Опытные (1000) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟡 Скрипто-Препод (1250) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🔴 Pentester (1500) Рублей
⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼⎼
🟠 Индивидуальные занятия на усмотрение учителя (300 - 1000) Рублей
Абонементы были убраны, вместо них будут индивидуальные обучения по вашей желаемой теме) (писать : @TripiniFKYL)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥3👍3🤔3❤2🔥1
Подобные вопросы будут на экзамене ❗️
1. Для чего нужны операторы в линуксе?
2. Что делает оператор pipe | (труба)?
3. Как показать содержимое папки /etc?
4. Как узнать в какой директории ты сейчас находишься?
5. Где находится приватный ключ от ssh?
6. Физический уровень, это какой уровень по счету?
7.Что быстрее в передачи данных, TCP или UDP?
8. На каком уровне OSI находится роутер?
9. FTP это какой уровень TCP IP?
10. Как узнать свой айпи на линуксе?
11. Какой загрузчик стандартно используют дистрибутивы линукс?
12. Как узнать какие порты открыты у себя на хосту?(Ответ с nmapом и ss -lntp будут оба верны)
13. Apache - это что такое?
14. Какой этап загрузки происходит сразу как ты нажал на кнопку включения?
15. Как сделать массив в PHP?
16. Какой по стандарту HTTP метод используется для запроса данных?
17. Какой код говорит нам, что мы не имеем право видеть эту страницу?
18. Где используется switch в PHP?
19. Виден ли код PHP в веб браузере?
20. Какая функция в PHP позволяет открывать файлы?
1. Для чего нужны операторы в линуксе?
2. Что делает оператор pipe | (труба)?
3. Как показать содержимое папки /etc?
4. Как узнать в какой директории ты сейчас находишься?
5. Где находится приватный ключ от ssh?
6. Физический уровень, это какой уровень по счету?
7.Что быстрее в передачи данных, TCP или UDP?
8. На каком уровне OSI находится роутер?
9. FTP это какой уровень TCP IP?
10. Как узнать свой айпи на линуксе?
11. Какой загрузчик стандартно используют дистрибутивы линукс?
12. Как узнать какие порты открыты у себя на хосту?(Ответ с nmapом и ss -lntp будут оба верны)
13. Apache - это что такое?
14. Какой этап загрузки происходит сразу как ты нажал на кнопку включения?
15. Как сделать массив в PHP?
16. Какой по стандарту HTTP метод используется для запроса данных?
17. Какой код говорит нам, что мы не имеем право видеть эту страницу?
18. Где используется switch в PHP?
19. Виден ли код PHP в веб браузере?
20. Какая функция в PHP позволяет открывать файлы?
👍10
Зачем нам изучать веб-фреймворки?
Изучение фреймворков даёт глубокое понимание его внутреннего устройства. Т.к. большинство дефолтных методов при пентесте, которые можно использовать, могут не сработать. А еще их можно заспидранить. Давайте разберемся, как и зачем.
Изучение фреймворков даёт глубокое понимание его внутреннего устройства. Т.к. большинство дефолтных методов при пентесте, которые можно использовать, могут не сработать. А еще их можно заспидранить. Давайте разберемся, как и зачем.
❤10🔥5👍1
TREVORspray 2.0
TREVORspray is a modular password sprayer with threading, SSH proxying, loot modules, and more!
Установка:
#tools
TREVORspray is a modular password sprayer with threading, SSH proxying, loot modules, and more!
Установка:
pip install git+https://github.com/blacklanternsecurity/trevorproxyGithub
pip install git+https://github.com/blacklanternsecurity/trevorspray
#tools
GitHub
GitHub - blacklanternsecurity/TREVORspray: TREVORspray is a modular password sprayer with threading, clever proxying, loot modules…
TREVORspray is a modular password sprayer with threading, clever proxying, loot modules, and more! - blacklanternsecurity/TREVORspray
👍3❤2🔥1
A Red-Teamer diaries
Общедоступные заметки о моих экспериментах по пентестингу/red team, протестированных на нескольких контролируемых средах/инфраструктурах, которые включают использование различных инструментов и методов, используемых пентестерами и red teamer'ами во время оценки безопасности.
Github
#Awesome
Общедоступные заметки о моих экспериментах по пентестингу/red team, протестированных на нескольких контролируемых средах/инфраструктурах, которые включают использование различных инструментов и методов, используемых пентестерами и red teamer'ами во время оценки безопасности.
Github
#Awesome
GitHub
GitHub - ihebski/A-Red-Teamer-diaries: RedTeam/Pentest notes and experiments tested on several infrastructures related to professional…
RedTeam/Pentest notes and experiments tested on several infrastructures related to professional engagements. - ihebski/A-Red-Teamer-diaries
❤2
Forwarded from Похек
HOUDINI
Hundreds of Offensive and Useful Docker Images for Network Intrusion
HOUDINI (Hundreds of Offensive and Useful Docker Images for Network Intrusion) - это курируемый список Docker-образов, связанных с сетевой безопасностью, для целей сетевого вторжения. Многие образы создаются и обновляются с помощью нашего проекта RAUDI, который способен автоматически обновлять Docker-образ каждый раз, когда появляется новая версия.
HOUDINI - это совместный проект, созданный SecSI, где каждый может внести свой вклад в создание новых функций веб-приложений или просто добавить новый инструмент. Мы рады поделиться своими знаниями с сообществом разработчиков открытого кода, потому что мы считаем, что таким образом мы все можем расти и становиться лучше в своей работе.
#Docker
Hundreds of Offensive and Useful Docker Images for Network Intrusion
HOUDINI (Hundreds of Offensive and Useful Docker Images for Network Intrusion) - это курируемый список Docker-образов, связанных с сетевой безопасностью, для целей сетевого вторжения. Многие образы создаются и обновляются с помощью нашего проекта RAUDI, который способен автоматически обновлять Docker-образ каждый раз, когда появляется новая версия.
HOUDINI - это совместный проект, созданный SecSI, где каждый может внести свой вклад в создание новых функций веб-приложений или просто добавить новый инструмент. Мы рады поделиться своими знаниями с сообществом разработчиков открытого кода, потому что мы считаем, что таким образом мы все можем расти и становиться лучше в своей работе.
#Docker
👍7❤🔥3
#ЦиклСтатей_HTB
Всем привет! Сегодня будет довольно простая тачка Precious от HackTheBox, Writeup подготовил дон, приятного чтения😉
Всем привет! Сегодня будет довольно простая тачка Precious от HackTheBox, Writeup подготовил дон, приятного чтения😉
👍11❤🔥1❤1🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
dive
Инструмент для изучения образа docker, содержимого слоев и поиска способов уменьшения размера образа Docker/OCI.
Установка:
Инструмент для изучения образа docker, содержимого слоев и поиска способов уменьшения размера образа Docker/OCI.
Установка:
wget https://github.com/wagoodman/dive/releases/download/v0.9.2/dive_0.9.2_linux_amd64.debили
sudo apt install ./dive_0.9.2_linux_amd64.deb
go get github.com/wagoodman/diveДля анализа образа Docker просто запустите команду dive с тегом/ID/digest образа:
dive <your-image-tag>
Подробнее на Github👍5❤1🔥1
1 февраля начинается новая волна Script-Kiddie (1 ур.)
Ссылка на чат где будет вся информация - ТЫК 👈🏻
Наберите 150 человек в чате)
P.S. Извините за задержку 🙏
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍4❤🔥1❤1
FAQ_по_физическому_пентесту_Отвечаем_на_вопросы_будущих_взломщиков.pdf
3.2 MB
FAQ по физическому пентесту. Отвечаем на вопросы будущих взломщиков в белой шляпе - Хакер
В пентестерском комьюнити не так уж часто разбирают тему физической безопасности объектов, на которых расположены интересующие нас серверы. А зря! При анализе векторов атаки не стоит забывать и о возможности физического проникновения, а не только о «бруте хешей паролей». В этой статье мы ответим на самые животрепещущие вопросы, связанные с физическими пентестами, а еще я поделюсь историей одного такого проекта.
#Хакер
В пентестерском комьюнити не так уж часто разбирают тему физической безопасности объектов, на которых расположены интересующие нас серверы. А зря! При анализе векторов атаки не стоит забывать и о возможности физического проникновения, а не только о «бруте хешей паролей». В этой статье мы ответим на самые животрепещущие вопросы, связанные с физическими пентестами, а еще я поделюсь историей одного такого проекта.
#Хакер
👍15❤2❤🔥1😍1
This media is not supported in your browser
VIEW IN TELEGRAM
csprecon
Обнаружение новых целевых доменов с помощью политики безопасности содержимого (CSP)
Установка:
Обнаружение новых целевых доменов с помощью политики безопасности содержимого (CSP)
Установка:
go install github.com/edoardottt/csprecon/cmd/csprecon@latest
Примеры запуска:csprecon -u https://github.com
csprecon -l targets.txt
🔥5👍2❤🔥1
Offensive OSINT s04e04 - Open Source Surveillance
Общаясь с нашими подписчики, мы узнали о потребности в годных OSINT гайдах для CTF'еров, для себя любимого)
Поэтому поресерчили на нашли статью о наступательном OSINT'е. Так что пользуйтесь в своё удовольствие этими инструментами)
Наблюдение из открытых источников выводит сбор разведданных и кибершпионаж на совершенно новый уровень. Он может использоваться для обеспечения безопасности наступательных операций, но с другой стороны может быть полезен в OSINT и расследованиях правоохранительных органов. Благодаря 18 модулям, OSS может показать вид города в реальном времени с различных камер, постов в социальных сетях или устройств, подключенных к Интернету. Прочитайте статью, чтобы ознакомиться с инструментом и потенциальными случаями, в которых он может помочь.
Подробнее
Общаясь с нашими подписчики, мы узнали о потребности в годных OSINT гайдах для CTF'еров, для себя любимого)
Поэтому поресерчили на нашли статью о наступательном OSINT'е. Так что пользуйтесь в своё удовольствие этими инструментами)
Наблюдение из открытых источников выводит сбор разведданных и кибершпионаж на совершенно новый уровень. Он может использоваться для обеспечения безопасности наступательных операций, но с другой стороны может быть полезен в OSINT и расследованиях правоохранительных органов. Благодаря 18 модулям, OSS может показать вид города в реальном времени с различных камер, постов в социальных сетях или устройств, подключенных к Интернету. Прочитайте статью, чтобы ознакомиться с инструментом и потенциальными случаями, в которых он может помочь.
Подробнее
🔥4👍3❤1
Пробуем
Heroinn - это Кроссплатформенная платформа C2/post-exploitation framework, реализованная на Rust.
Функции:
1. GUI
2. Интерактивная оболочка PTY
3. Сбор системной информации
4. Поддержка файлового менеджера с возобновлением прерванной передачи и большого файла
5. Поддержка Win10+(Windows Server 2019+) & Linux & BSD & OSX
6. Множество протоколов связи (TCP & HTTP & надежный UDP)
#tools
Github
Heroinn легальноHeroinn - это Кроссплатформенная платформа C2/post-exploitation framework, реализованная на Rust.
Функции:
1. GUI
2. Интерактивная оболочка PTY
3. Сбор системной информации
4. Поддержка файлового менеджера с возобновлением прерванной передачи и большого файла
5. Поддержка Win10+(Windows Server 2019+) & Linux & BSD & OSX
6. Множество протоколов связи (TCP & HTTP & надежный UDP)
#tools
Github
👍7❤🔥2
Старт бесплатного обучения модулю script-kiddie
Когда?
🔔 7 февраля в 17:00 (МСК)
Что в программе?
🟠 Обучение работы в kali linux
🟠 Обучение основам сетей
🟠 Системное администрирование сетевых сервисов под Linux (nginx, ftp, ssh)
🟠 Программирование веб-приложений на языке программирования PHP
Преподаватель:
🎙Дон @dongani
Когда?
Что в программе?
Преподаватель:
🎙Дон @dongani
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤3👍2
Forwarded from Похек
CVE-2022-21587
Oracle E-Business Suite (EBS)
Status: Exploited in the Wild
CVE-2022-21587 может привести к неавторизованному удаленному выполнению кода. 16 января 2023 года компания Viettel Security опубликовала анализ этой проблемы, подробно описав первопричину и метод использования уязвимости для получения возможности выполнения кода через полезную нагрузку Perl. Эксплойт, основанный на методе анализа Viettel Security, был опубликован на GitHub "HMs" 6 февраля 2023 года. Oracle приписала "l1k3beef" в качестве первооткрывателя уязвимости.
Анализ показал, что во время эксплуатации также возможно использование полезной нагрузки на основе Java Server Page (JSP) для RCE.
P.S. POC
Oracle E-Business Suite (EBS)
Status: Exploited in the Wild
CVE-2022-21587 может привести к неавторизованному удаленному выполнению кода. 16 января 2023 года компания Viettel Security опубликовала анализ этой проблемы, подробно описав первопричину и метод использования уязвимости для получения возможности выполнения кода через полезную нагрузку Perl. Эксплойт, основанный на методе анализа Viettel Security, был опубликован на GitHub "HMs" 6 февраля 2023 года. Oracle приписала "l1k3beef" в качестве первооткрывателя уязвимости.
Анализ показал, что во время эксплуатации также возможно использование полезной нагрузки на основе Java Server Page (JSP) для RCE.
P.S. POC
SSTImap
Это программное обеспечение для тестирования на проникновение, которое может проверять веб-сайты на наличие уязвимостей Code Injection и Server-Side Template Injection и эксплуатировать их, предоставляя доступ к самой операционной системе.
Этот инструмент был разработан для использования в качестве интерактивного средства тестирования на проникновение для обнаружения и эксплуатации SSTI, что позволяет осуществлять более продвинутую эксплуатацию.
#tools
Github
NetRunner 👾
Это программное обеспечение для тестирования на проникновение, которое может проверять веб-сайты на наличие уязвимостей Code Injection и Server-Side Template Injection и эксплуатировать их, предоставляя доступ к самой операционной системе.
Этот инструмент был разработан для использования в качестве интерактивного средства тестирования на проникновение для обнаружения и эксплуатации SSTI, что позволяет осуществлять более продвинутую эксплуатацию.
#tools
Github
NetRunner 👾
👍6