#CheatSheet
File Extension Bypass
PHP: .php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .phps, .pht, .phtm, .phtml, .pgif, .shtml, .htaccess, .phar, .inc, .hphp, .ctp, .module
Working in PHPv8: .php, .php4, .php5, .phtml, .module, .inc, .hphp, .ctp
ASP: .asp, .aspx, .config, .ashx, .asmx, .aspq, .axd, .cshtm, .cshtml, .rem, .soap, .vbhtm, .vbhtml, .asa, .cer, .shtml
Jsp: .jsp, .jspx, .jsw, .jsv, .jspf, .wss, .do, .action
Coldfusion: .cfm, .cfml, .cfc, .dbm
Flash: .swf
Perl: .pl, .cgi
Erlang Yaws Web Server: .yaws
File Extension Bypass
PHP: .php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .phps, .pht, .phtm, .phtml, .pgif, .shtml, .htaccess, .phar, .inc, .hphp, .ctp, .module
Working in PHPv8: .php, .php4, .php5, .phtml, .module, .inc, .hphp, .ctp
ASP: .asp, .aspx, .config, .ashx, .asmx, .aspq, .axd, .cshtm, .cshtml, .rem, .soap, .vbhtm, .vbhtml, .asa, .cer, .shtml
Jsp: .jsp, .jspx, .jsw, .jsv, .jspf, .wss, .do, .action
Coldfusion: .cfm, .cfml, .cfc, .dbm
Flash: .swf
Perl: .pl, .cgi
Erlang Yaws Web Server: .yaws
👍2
Forwarded from NETRUNNER GROUP (Сергей Зыбнев)
image_2022-11-16_22-41-27.png
1 MB
DHCP in One Picture
Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом 2 из 10 категорий угроз, включая SSRF, были отобраны по результатам опросов профессионального сообщества. Пока, по оценке экспертов OWASP, позволяющие проводить атаки SSRF уязвимости с высоким уровнем критичности встречаются нечасто. Но потенциал эксплуатабельности у них высокий, и скоро SSRF может стать серьезной киберугрозой. Мы тоже встречаем SSRF при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – расскажем в этом посте.
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом 2 из 10 категорий угроз, включая SSRF, были отобраны по результатам опросов профессионального сообщества. Пока, по оценке экспертов OWASP, позволяющие проводить атаки SSRF уязвимости с высоким уровнем критичности встречаются нечасто. Но потенциал эксплуатабельности у них высокий, и скоро SSRF может стать серьезной киберугрозой. Мы тоже встречаем SSRF при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – расскажем в этом посте.
👍2
BlackMamba
Это система управления и контроля (C2), которая работает с несколькими соединениями одновременно. Он был разработан на Python и с использованием Qt Framework и имеет множество функций для пост-эксплуатационного этапа.
#tools
Это система управления и контроля (C2), которая работает с несколькими соединениями одновременно. Он был разработан на Python и с использованием Qt Framework и имеет множество функций для пост-эксплуатационного этапа.
#tools
StandOff Talks
Полит отличный! Интересное мероприятие с крутыми опытными спикерами.
Если кто-то захочет подойти - пообщаться, пишите на @szybnev
#мероприятие
Полит отличный! Интересное мероприятие с крутыми опытными спикерами.
Если кто-то захочет подойти - пообщаться, пишите на @szybnev
#мероприятие
🔥5🌚2
Forwarded from Monkey Hacker
#windows
Полезные тулзы во время пентеста Active Directory
Список самый простой, но интересный:
🔘 Impacket - набор для работы с сетевыми протоколами в инфраструктуре AD
🔘 Bloodhound - сбро информации об инфраструктуре AD
🔘 PowerSploit - модифицирует и подготавливает скрипты для выполнения кода на машине жертвы.
🔘 Neo4j - помогает структурировать данные
🔘 Mimikatz - позволяет просматривать и сохранять учетные данные
🔘 Evil-WinRM - WinRM Shell
🔘 Kerbrute - можно сделать User Enumeration
🔘 Responder - можно сделать SMB-Relay
Полезные тулзы во время пентеста Active Directory
Список самый простой, но интересный:
🔘 Impacket - набор для работы с сетевыми протоколами в инфраструктуре AD
🔘 Bloodhound - сбро информации об инфраструктуре AD
🔘 PowerSploit - модифицирует и подготавливает скрипты для выполнения кода на машине жертвы.
🔘 Neo4j - помогает структурировать данные
🔘 Mimikatz - позволяет просматривать и сохранять учетные данные
🔘 Evil-WinRM - WinRM Shell
🔘 Kerbrute - можно сделать User Enumeration
🔘 Responder - можно сделать SMB-Relay
GitHub
GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.
Impacket is a collection of Python classes for working with network protocols. - fortra/impacket
👍2