Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
⚛️ Nuclei AI — Browser Extension
Nuclei AI Browser Extension, built on top of cloud.projectdiscovery.io, simplifies the creation of vulnerability templates, by enabling users to extract vulnerability information from any webpages to quickly and efficiently create nuclei templates, saving valuable time and effort.
🚀 Features
— Context Menu Option to Generate Template
— HackerOne Report to Nuclei Template Generation
— ExploitDB exploit to Nuclei Template Generation
— BugCrowd / Intigriti / Synack support (Coming soon)
🔗 https://github.com/projectdiscovery/nuclei-ai-extension
#nuclei #template #generator #chrome #extension
Nuclei AI Browser Extension, built on top of cloud.projectdiscovery.io, simplifies the creation of vulnerability templates, by enabling users to extract vulnerability information from any webpages to quickly and efficiently create nuclei templates, saving valuable time and effort.
🚀 Features
— Context Menu Option to Generate Template
— HackerOne Report to Nuclei Template Generation
— ExploitDB exploit to Nuclei Template Generation
— BugCrowd / Intigriti / Synack support (Coming soon)
🔗 https://github.com/projectdiscovery/nuclei-ai-extension
#nuclei #template #generator #chrome #extension
Всем привет!
Мы пока не до конца привыкли к традиции отмечать 10 ноября как День работников цифровизации и информационных технологий, но уже второй год календарь напоминает о хорошем поводе вспомнить о роли той сферы, которую мы все выбрали и, людях, которые ее развивают. Само появление этого дня в Казахстане говорит о том, какую значимую роль играет IT-индустрия в нашей стране. Этот день — прекрасная возможность поблагодарить вас за ту важную работу, которую вы делаете каждый день.
С Праздником!
Мы пока не до конца привыкли к традиции отмечать 10 ноября как День работников цифровизации и информационных технологий, но уже второй год календарь напоминает о хорошем поводе вспомнить о роли той сферы, которую мы все выбрали и, людях, которые ее развивают. Само появление этого дня в Казахстане говорит о том, какую значимую роль играет IT-индустрия в нашей стране. Этот день — прекрасная возможность поблагодарить вас за ту важную работу, которую вы делаете каждый день.
С Праздником!
Forwarded from Поросёнок Пётр
Часто кто-то из вас тестировал подобное?
А вот зря! Больше подробностей тут - https://starlabs.sg/advisories/23/23-32530/
Скуля через ssl cert 🤯
А вот зря! Больше подробностей тут - https://starlabs.sg/advisories/23/23-32530/
Скуля через ssl cert 🤯
Forwarded from Радио «ЭХО лОСЕЙ»
Media is too big
VIEW IN TELEGRAM
«ЭХО лОСЕЙ» снова выходит на связь со Standoff-12 и снова с эксклюзивом только для наших подписчиков!
На этот раз наведались к «плохишам» кибербитвы, команде красных и побеседовали со Станиславом, вице-капитаном команды CodeBy (кстати, четырехкратных победителей Standoff). Смотрите и слушайте первыми!
На этот раз наведались к «плохишам» кибербитвы, команде красных и побеседовали со Станиславом, вице-капитаном команды CodeBy (кстати, четырехкратных победителей Standoff). Смотрите и слушайте первыми!
Forwarded from Codeby
Принимаем поздравления в комментариях
https://hackingweek.ru/standoff-12/
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from In4sek stories
Telegraph
Standoff 12 Как это было. Пятикратные чемпионы и первый опыт на Talks
Вот и закончилась напряженная неделя кибербитвы. Ноутбуки можно охладить, померить новый мерч, выпить чаю с ромашкой и ехать домой... Я очень рад был повидать друзей. Каждая такая встреча очень ламповая и сопровождается приятными моментами. На фотке три Паши.…
Forwarded from Caster
Я выпускаю релиз новой версии 2.1 моего сниффера Above.
Caster - Above 2.1 (Codename: Vivid)
Genre: Offensive, Defensive
Subgenre: Penetration Testing, Network Security
Label: github.com
Release Date: 28 November 2023
Инструмент стал работать в несколько раз быстрее, теперь анализ протоколов на безопасность происходит одновременно;
Полностью переписан на основе Scapy, поддержка 12 сетевых протоколов канального и сетевых уровней, вместе с L7;
Добавлена функция поиска 802.1Q-тегов для обнаружения проблем безопасности сегментации;
В силу его специфики работы - его невозможно обнаружить во внутренней сети;
Добавлена поддержка Windows;
Устранены баги.
Данный релиз также предназначен для отправки инструмента в Kali Linux. Займусь этим в ближайшее время.
Link: github.com/wearecaster/Above
Release Link: github.com/wearecaster/Above/releases/tag/vivid
Caster - Above 2.1 (Codename: Vivid)
Genre: Offensive, Defensive
Subgenre: Penetration Testing, Network Security
Label: github.com
Release Date: 28 November 2023
Инструмент стал работать в несколько раз быстрее, теперь анализ протоколов на безопасность происходит одновременно;
Полностью переписан на основе Scapy, поддержка 12 сетевых протоколов канального и сетевых уровней, вместе с L7;
Добавлена функция поиска 802.1Q-тегов для обнаружения проблем безопасности сегментации;
В силу его специфики работы - его невозможно обнаружить во внутренней сети;
Добавлена поддержка Windows;
Устранены баги.
Данный релиз также предназначен для отправки инструмента в Kali Linux. Займусь этим в ближайшее время.
Link: github.com/wearecaster/Above
Release Link: github.com/wearecaster/Above/releases/tag/vivid
Forwarded from OpenBLD.net (Yevgeniy Goncharov)
Обновление можно назвать экспериментальным, так как часть устоявшихся стабильных системных установок пришлось переработать, что в итоге дало прирост в скорости отклика на ~10ms
Что еще. В DoH RIC добавилась опция "all" т.е. можно пробовать использовать DoH DNS без фильтрации. Этот эксперимент, в случае успешности может привести к DoH RIC с опцией "children" где будет меньше "синего кита", "наркотиков", "сект".
Именно скорость, безопасность получаемого контента формируют наше внутреннее состояние. Стабильное удержание такого отклика с течением времени нужно наблюдать, так как часть изменений экспериментальны, успех зависит буквально от нас всех.
Как попробовать. Просто настрой браузер, используй какое-то время, если что-то не будет работать, приходи сразу ко мне @sysadminkz
Станешь ты лучшей частью того, что уже есть, все зависит конкретно от тебя, твоего фидбека. Задумайся об этом. Peace ✌️
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Рестарт
This media is not supported in your browser
VIEW IN TELEGRAM
Годнота: сервис Mine покажет, где в интернете хранятся ваши личные данные, и поможет их удалить в два клика.
Для этого достаточно зарегистрироваться и запустить сканирование. Тулза быстро выдаст отчет со всеми сайтами, где вы засветились.
Юзаем тут. Но для некоторых российских почтовых адресов фича может не работать.
Для этого достаточно зарегистрироваться и запустить сканирование. Тулза быстро выдаст отчет со всеми сайтами, где вы засветились.
Юзаем тут. Но для некоторых российских почтовых адресов фича может не работать.
SecuriXy.kz
Годнота: сервис Mine покажет, где в интернете хранятся ваши личные данные, и поможет их удалить в два клика. Для этого достаточно зарегистрироваться и запустить сканирование. Тулза быстро выдаст отчет со всеми сайтами, где вы засветились. Юзаем тут. Но…
Единственный нюанс:
Нужно дать полный доступ к своему почтовому ящику
Сервис просканирует все письма и выдаст информацию о сайтах/компаниях имеющие ваши персональные данные (ФИО, страна, email)
После чего сервис позволяет выбрать какие сайты/компании оставить, а каким выслать запрос на удаление ваших данных.
Удаление может занимать до нескольких недель.
При этом сервис может самостоятельно вести переписку от вашего имени на тему удаления данных.
После завершения всех удалений, можно удалить и сам аккаунт в сервисе Mine.
А вообще потом рекоммендую зайти в https://myaccount.google.com/security-checkup или другую почту, которую указываете при регах на сервисах и почикать права доступа...
Нужно дать полный доступ к своему почтовому ящику
Сервис просканирует все письма и выдаст информацию о сайтах/компаниях имеющие ваши персональные данные (ФИО, страна, email)
После чего сервис позволяет выбрать какие сайты/компании оставить, а каким выслать запрос на удаление ваших данных.
Удаление может занимать до нескольких недель.
При этом сервис может самостоятельно вести переписку от вашего имени на тему удаления данных.
После завершения всех удалений, можно удалить и сам аккаунт в сервисе Mine.
А вообще потом рекоммендую зайти в https://myaccount.google.com/security-checkup или другую почту, которую указываете при регах на сервисах и почикать права доступа...
Google
The new Security Checkup
Take 2 minutes to check your security status and get personalized tips to strengthen the security of your Google Account.
Forwarded from SecAtor
Исследователь Skysafe Марк Ньюлин обнаружил критическую уязвимость Bluetooth, которая может быть использована получения контроля над устройствами Android, Linux, macOS и iOS.
Отслеживаемая как CVE-2023-45866 проблема затрагивает несколько стеков Bluetooth и связана с обходом аутентификации, позволяя злоумышленнику подключиться к обнаруживаемому хосту без подтверждения пользователя, перехватывать соединения и выполнять инъекции нажатий клавиш.
В частности, атака заставляет целевое устройство думать, что оно подключено к клавиатуре Bluetooth, используя механизм неаутентифицированного сопряжения, определенный в спецификации Bluetooth.
Успешная эксплуатация уязвимости может позволить злоумышленнику, находящемуся в непосредственной близости, подключиться к уязвимому устройству и реализовать установку вредоносных приложений или выполнение произвольных команд.
Стоит отметить, что атака не требует специального оборудования и может быть осуществлена с компьютера Linux с помощью обычного Bluetooth-адаптера.
Она затрагивает Android (начиная с версии 4.2.2, выпущенной в ноябре 2012 года), Linux, iOS и macOS (когда Bluetooth включен и клавиатура Magic Keyboard сопряжена с уязвимым устройством), даже если на устройствах Apple включен режим блокировки.
Google также в своей недавней рекомендации отметила, что CVE-2023-45866 может привести к удаленному (ближайшему/смежному) повышению привилегий без необходимости дополнительных привилегий на выполнение.
Пока только команда Android исправила уязвимость. Ожидается, что дополнительные технические подробности уязвимости будут опубликованы в будущем.
Отслеживаемая как CVE-2023-45866 проблема затрагивает несколько стеков Bluetooth и связана с обходом аутентификации, позволяя злоумышленнику подключиться к обнаруживаемому хосту без подтверждения пользователя, перехватывать соединения и выполнять инъекции нажатий клавиш.
В частности, атака заставляет целевое устройство думать, что оно подключено к клавиатуре Bluetooth, используя механизм неаутентифицированного сопряжения, определенный в спецификации Bluetooth.
Успешная эксплуатация уязвимости может позволить злоумышленнику, находящемуся в непосредственной близости, подключиться к уязвимому устройству и реализовать установку вредоносных приложений или выполнение произвольных команд.
Стоит отметить, что атака не требует специального оборудования и может быть осуществлена с компьютера Linux с помощью обычного Bluetooth-адаптера.
Она затрагивает Android (начиная с версии 4.2.2, выпущенной в ноябре 2012 года), Linux, iOS и macOS (когда Bluetooth включен и клавиатура Magic Keyboard сопряжена с уязвимым устройством), даже если на устройствах Apple включен режим блокировки.
Google также в своей недавней рекомендации отметила, что CVE-2023-45866 может привести к удаленному (ближайшему/смежному) повышению привилегий без необходимости дополнительных привилегий на выполнение.
Пока только команда Android исправила уязвимость. Ожидается, что дополнительные технические подробности уязвимости будут опубликованы в будущем.
X (formerly Twitter)
Marc Newlin (@marcnewlin) on X
I've been getting to know Bluetooth recently, and it is a scary place :) https://t.co/ymJa9x66Qi
⚙️ GetMyIP from Sys-Admin
Наконец-то запилил службу, которая возвращает внешний IP по curl или в браузере.
Возможности:
- Может возвращать реальный IP даже если клиент ходит через Cloudflare
- Быстрый. написан на Go
- IP можно смотреть через браузер или curl или wget
пользуйтесь...
Наконец-то запилил службу, которая возвращает внешний IP по curl или в браузере.
Возможности:
- Может возвращать реальный IP даже если клиент ходит через Cloudflare
- Быстрый. написан на Go
- IP можно смотреть через браузер или curl или wget
пользуйтесь...
curl https://ip.sys-adm.in
wget -qO- https://ip.sys-adm.in
CrackMapExec - все...
переходим на NetExec
Вышла обнова v1.1.0 - nxc4u, новые фичи типа Kerberos Constrained Delegation, Execute Tasks on behalf of logged-on Users with Scheduled Tasks, BloodHound now supports computer accounts, FTP Enhancement, Module sorting, WinRM improvements и др
https://www.netexec.wiki
Ставиться проще простого через pipx
Запускается тоже просто
Для простоты восприятия можете добавить ~/.zshrc
переходим на NetExec
Вышла обнова v1.1.0 - nxc4u, новые фичи типа Kerberos Constrained Delegation, Execute Tasks on behalf of logged-on Users with Scheduled Tasks, BloodHound now supports computer accounts, FTP Enhancement, Module sorting, WinRM improvements и др
https://www.netexec.wiki
Ставиться проще простого через pipx
apt install pipx git
pipx ensurepath
pipx install git+https://github.com/Pennyw0rth/NetExec
Запускается тоже просто
NetExec
nxc
nxcdb
netexec
nxcdb
Для простоты восприятия можете добавить ~/.zshrc
alias cme=netexec
alias crackmapexec=netexec