Всем спасибо! Я вас понял!)

И тут же расскажу, что на выходных сдал новый сертификат: Burp Suite Certified Practitioner

Хочу сказать что сертификация классная. Единственное что мне не понравилось это их платформа верификации Examity (полный трешак).

Сдал я не спервого раза, но хочу сказать, что это скорее из-за особенностей моего характера. Т.к. когда на меня давит время я теряюсь и начинаю упускать детали) Во всех прогонах я знал что делать, но мне не хватало времени. Банально терялся на каких-то этапах из-за нервов)

Если кратко:

Вам дается 3 часа и 2 веб приложения в который вы должны выполить по 3 этапа (в каждом).

1. Получить доступ к низкопривилегированному пользователю (Через: XSS, Request Smuggling, Cache Poisoning, User Enumeration, HostHeader Injection, etc..).
2. Поднять привилегии до админа (Через: SQLi, ParamTempering, BusinesLogic Bypass, etc)
3. Прочесть файл: /home/carlos/secret (Через: Deserialization, PTrav, XXE (OOB), Etc)

Стоит сказать что приложения генерируются случайно (случайно выбираются даже этапы для каждого приложения). Т.е. это рандом.
И еще одно замечание - одно приложение будет легким, где для тебя будут оставлять намеки (какую-то функциональность, с которой ты знаешь что делать), а второе приложение будет выглядеть как гроб. Т.е. чисто стандартные механизмы и надо думать головй, что тут может быть.

Для сдачи обязательно нужна Pro версия BurpSuite, (т.к. все SSRF и OOB вектора могут улетать только на BurpCollaborator и на их Exploit сервер (где вы видете только URL и User-Agent).

По ощущениям могу сказать, что если ко мне придет специалист на собес, у которого будет этот серт, я буду знать что если он сдал сам, то он точно шарит за все типовые уязвимости веба, точно чутка задротит в ClientSide баги и у него отточены навыки сплойтинга багов, а не просто их понимание.

В общем, всем могу рекомендовать.

До 15 декабря можно вернуть себе деньги за сертификат, если сдать его) Стоимость - 99$.

Как мнекажется серты лучше сдавать при их появлении, т.к. их стоимость может расти, сложность тоже обычно только растет со временем.

Сертификат валиден 5 лет. Что как мне кажется справедливо.

Пруфецкие: https://portswigger.net/web-security/e/c/b9e62adb2d3aade8

Кстати, если кто собирается сдавать.

Пишите в ЛС, могу накидать лабораторных с PortSwigger Academy, которые мне пригодились для прохождения, и премеры которых я видел в экзамене.

Я хотел посмотреть сколько людей собираются сдавать тоже, и пришло так много, что теперь сложно отвечать)

Добавлю тут пару вещей, которые были важны и которых нет в подготовке.

1. На экзамене были задачи, примеров которых нет в лабораторных.
Например XXE OOB. Т.е. в лабах есть SSRF через XXE, но нет примера вытаскивания файла через SSRF, где нужен внешний DTD для этого. Т.к. на память это не просто повторить не забывайте пользоваться: https://github.com/swisskyrepo/PayloadsAllTheThings. (Вам может пригодиться пример с XXE inside DTD file). Хоть задача и типовая, в виду ограниченного времени можете наткнуться на ошибки при реализиации.
2. Советую сделать акцент на Client Side уязвимостях (XSS, Dom-based, Request Smuggling, Cache Poisoning), т.к. они точно будут. При чем они часто не простые, а с обходом фильтров или например, как было у меня, только с тегом body и только с атрибутом onmessage, что вынуждает тебя писать PostMessage для того чтобы затригерить XSS. Это не сложно, но опять же, когда время ограничено может выбить из себя.
3. Обязательно внимательно прочитайте гайд перед сдачей и пройдите их пробный экзамен. В некоторых случаях когда я тупил, я просто садился, перечитывал гайд и находил там ответы о том, куда копать. (Ссылка на пробный экзамен: https://portswigger.net/web-security/certification/practice-exam)

На сегодня хватит с вас годноты, пора работать;D

#тестируем

Увидел новую возможность в Телеграмме.

@donate

Я конечно не питаю илюзий, что это может быть что-то существенное, но стало крайне интересно попробовать узнать следующее: Скольким из вас контент заходит настолько, что вы готовы угостить автора кофе?

В общем, если есть желание, буду только рад;)

P.S. Скатился в коммерцию

Спасибо всем за поддержку!) Оч прикольно, что многие дали фидбек. Интересный и разный. Обещаю не останавливаться и помогать вам узнать что-то интересное. А деньги эти мы пустим на кокой нибудь конкурс;)

CTF task-based offline для молодежи с ограничениями по здоровью.

5 декабря 2021 в Москве (YotaArena) состоится III Чемпионат по кибербезопасности и киберспорту для молодежи с особыми потребностями.

Среди дисциплин - CTF, командное и индивидуальное соревнование по решению прикладных задач информационной безопасности: поиск и эксплуатация уязвимостей приложений, анализ исходного кода, криптография, форензика, ОСИНТ.
А среди организаторов - лучшие лица и учителя информационной безопасности, создатели PHD - компания Positive Technologies.

Прийти поболеть может каждый. Победители и участники получают призы, мероприятие с мерчем, концертом, крутыми спонсорами и випами.

Если у вас есть знакомые дети, подростки, студенты, готовые попробовать себя в DOTA2, Dron Racing (DCL) и CTF - скиньте им ссылку на регистрацию wugamers.ru или в тг-лс @snailrabbit.

Много раз натыкался в твиттере на всякие полезности от HackerScrolls, и думал что это какая-то иностранная компания пиарится.

А сегодня узнал, что это наши ребята из компании DigitalSecurity начали шарить знания во вне!

Они рассказывают об этом в подкасте: https://music.yandex.ru/album/10321679/track/80252481 (Рекомендую послушать о культуре шаринга знаний, об обучении и сертификатах).

А все полезности собраны в GitHub: https://github.com/hackerscrolls/SecurityTips

И в телеграм: https://news.1rj.ru/str/hackerscrolls

Эт я

P.S.
Ссылочка появилась: https://standoff365.com/media/the-standoff-nov-21/main-stage/mozhno-li-nauchit-khakerstvu/

Как стать хакером? Белым, конечно же 😉

Прямо сейчас в эфире Егор Богомолов из HackerU рассказывает про образование и практический опыт

#phdays #theStandoff

Ну чтож, время рассказать о прошедших событиях.

В эти 3 дня, с утра воскресенья (14.11) и до обеда вторника (16.11), мы (команда True0xA3 - Тру ОАЗ) участвовали в турнире The Standoff.

Надо сказать, что в ноябре ребята из PT делают чуть менее масштабное событие, всего 10 команд атакующих, отобранных по предыдущим играм, и 5 команд защитников. Тем не менее, инфраструктура была не менее громадной. Много чего хочется рассказать о прошедшем: о наших действиях, о соперничестве с командами, о том что нас ждало внутри инфраструктуры уже не кибергорода а киберстраны, но на это не хватит сообщения, поэтому попросту отмечу тут наши результаты, участников и наш отзыв.

В этом году мы заняли второе место среди 10 команд. Как водится мы вновь разменяли позиции с все теми же заклятыми соперниками;) (ни в коем случае не более того), с которыми меняемся местами уже не первый год. От этого как мне кажется, каждый Standoff становится еще интереснее для нас, т.к. ни разу пока ни кто не выигрывал два раза подряд, и мы все ждем этого момента с нетерпением. Это как те партии в шахматы или любые другие "качели" из соревновательных игр. Только попытка у нас раз в полгода.

В этот раз инфраструктура не порадовала нас пробивами доменов или богатой поверхностью атаки. Сеть была построена так, что все должны были идти стройной дорожкой через ряд DMZ'тов (демилитаризованных зон), развернуться по сетям удалось только под конец игры, когда уже было поздновато. Однако внутри сети нас ждало уже более 45 (еще пяток был собран по дороге) разных целей для атаки (возможных для реализации рисков), от которых разбегались глаза.
Если кратко, в этот раз инфраструктура была сложнее, защищеннее и прямолинейнее. Об этом говорит и то число рисков, которое удалось реализовать. (Не более 6 рисков среди всех команд).

В заключение повторю мантру прошлых лет: The Standoff - это для несгибаемых ребят, обладающих всем спектром навыков по атакам на информационные системы и слаженностью высокого уровня.

Здесь отмечу имена победителей, кто потратил любую долю своего времени в целях победы:

Иван Булавин
Павел Шлюндин
Роман Алфёров
Азиз Алимов
Сергей Гилев
Андрей Рогожкин
Константин Костеневский
Алексей Хайдин
Сергей Колесников
Саид Эфендиев
Николай Топорков
Никита Чистяков
Егор Богомолов
Антон Прохоров
Вячеслав Цепенников
Игорь Мотрони
Дмитрий Фролов

Спасибо всей моей команде за слаженность и поддержку, и спасибо каждому кто болел за нас;)

Ждем следующей возможности проявить себя!

#podcast

С пылу, с жару, спешу порадовать вас новым записанным подкастом!

В этот раз я поговорил с Денисом Рыбиным (Head of AppSec - бывшего Mail.ru, нынешнего бизнес юнита Mail.ru в VK) о том, кто такие AppSec специалисты, чем они отличаются от пентестров, чем отличается их скиллсет и траектория обучения, а также обо всем, что окружает их в работе!

Мне кажется наш подкаст становится с каждым разом все лучше и лучше, надеюсь вы это тоже оцените.

Все вопросы можете оставлять в чате, Я и Денис сможем на них поотвечать.

Егор Богомолов и Денис Рыбин — Взгляд на работу AppSec специалиста изнутри (https://podcast.ru/1589311841)

Я этого действительно уже заждался. Одна из самых толковых конференций в РФ.

🚩Конференция OFFZONE пройдет 25–26 августа 2022 года 🚩

Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате.

Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах.

К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой. 

Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее.

Цены, локация, спикеры, доклады — обо всем этом позже.

Следите за новостями на сайте конференции и в соцсетях: 
• Телеграм-канал
• Twitter
• Instagram
• Facebook

О, действительно любопытно. Думаю многим бы хотелось знать типовые подходы по обходу экрана блокировки Android.

Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам

Happy hacking 😎

#podcast

Подкаст!

Спешу порадовать записью нового выпуска подкаста MasterTalk;)

По прошествии TheStandoff мне оч. захотелось познакомить публику с капитаном нашей команды True0xA3, а также обсудить ряд тем:

1. Чуть конкретнее рассказать о произошедшем на турнире.
2. Поговорить о “внутренностях” нашей команды.
3. Поговорить об особенностях работы капита в подобных хакерских турнирах.
4. И в конце обсудить подобные подходы к корпоративному обучению и его целесообразоности.

Приятного прослушивания: https://podcast.ru/1589311841

Merry christmas

Exploitation guide
https://www.lunasec.io/docs/blog/log4j-zero-day/

Attack surface
https://github.com/YfryTchsGD/Log4jAttackSurface

#rce #0day #java #ldap

Какая жесть;)