Forwarded from NETRUNNER GROUP (Сергей Зыбнев)
image_2022-11-16_22-41-27.png
1 MB
DHCP in One Picture
Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом 2 из 10 категорий угроз, включая SSRF, были отобраны по результатам опросов профессионального сообщества. Пока, по оценке экспертов OWASP, позволяющие проводить атаки SSRF уязвимости с высоким уровнем критичности встречаются нечасто. Но потенциал эксплуатабельности у них высокий, и скоро SSRF может стать серьезной киберугрозой. Мы тоже встречаем SSRF при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – расскажем в этом посте.
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом 2 из 10 категорий угроз, включая SSRF, были отобраны по результатам опросов профессионального сообщества. Пока, по оценке экспертов OWASP, позволяющие проводить атаки SSRF уязвимости с высоким уровнем критичности встречаются нечасто. Но потенциал эксплуатабельности у них высокий, и скоро SSRF может стать серьезной киберугрозой. Мы тоже встречаем SSRF при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – расскажем в этом посте.
👍2
BlackMamba
Это система управления и контроля (C2), которая работает с несколькими соединениями одновременно. Он был разработан на Python и с использованием Qt Framework и имеет множество функций для пост-эксплуатационного этапа.
#tools
Это система управления и контроля (C2), которая работает с несколькими соединениями одновременно. Он был разработан на Python и с использованием Qt Framework и имеет множество функций для пост-эксплуатационного этапа.
#tools
StandOff Talks
Полит отличный! Интересное мероприятие с крутыми опытными спикерами.
Если кто-то захочет подойти - пообщаться, пишите на @szybnev
#мероприятие
Полит отличный! Интересное мероприятие с крутыми опытными спикерами.
Если кто-то захочет подойти - пообщаться, пишите на @szybnev
#мероприятие
🔥5🌚2
Forwarded from Monkey Hacker
#windows
Полезные тулзы во время пентеста Active Directory
Список самый простой, но интересный:
🔘 Impacket - набор для работы с сетевыми протоколами в инфраструктуре AD
🔘 Bloodhound - сбро информации об инфраструктуре AD
🔘 PowerSploit - модифицирует и подготавливает скрипты для выполнения кода на машине жертвы.
🔘 Neo4j - помогает структурировать данные
🔘 Mimikatz - позволяет просматривать и сохранять учетные данные
🔘 Evil-WinRM - WinRM Shell
🔘 Kerbrute - можно сделать User Enumeration
🔘 Responder - можно сделать SMB-Relay
Полезные тулзы во время пентеста Active Directory
Список самый простой, но интересный:
🔘 Impacket - набор для работы с сетевыми протоколами в инфраструктуре AD
🔘 Bloodhound - сбро информации об инфраструктуре AD
🔘 PowerSploit - модифицирует и подготавливает скрипты для выполнения кода на машине жертвы.
🔘 Neo4j - помогает структурировать данные
🔘 Mimikatz - позволяет просматривать и сохранять учетные данные
🔘 Evil-WinRM - WinRM Shell
🔘 Kerbrute - можно сделать User Enumeration
🔘 Responder - можно сделать SMB-Relay
GitHub
GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.
Impacket is a collection of Python classes for working with network protocols. - fortra/impacket
👍2
Интересная фан-тулза для обусификации бинарных исполняемых файлов. Фишкой инструмента является бесполезная, но довольно занимательная функция, которая позволяет запутать файл таким образом, что при попытке его реверса внутренние функции будут отображается в виде предварительно загруженного изображения.
Можно поиздеваться над SOC и оставить им несколько шелов, где будет написано на картинке shell1, shell3, shell4, shell 7. И пусть ищут по всей сети думая, что у них 7 shell'ов в системе))
GitHub | https://github.com/JuliaPoo/Artfuscator
Thx @beacon_channel
Можно поиздеваться над SOC и оставить им несколько шелов, где будет написано на картинке shell1, shell3, shell4, shell 7. И пусть ищут по всей сети думая, что у них 7 shell'ов в системе))
GitHub | https://github.com/JuliaPoo/Artfuscator
Thx @beacon_channel
GitHub
GitHub - JuliaPoo/Artfuscator: A C compiler targeting an artistically pleasing nightmare for reverse engineers
A C compiler targeting an artistically pleasing nightmare for reverse engineers - JuliaPoo/Artfuscator
🌚1🌭1
Forwarded from НеКасперский
Говорят, можно получить предоплату и ничего не делать
Но мы все равно не советуем заходить на сайт
Но мы все равно не советуем заходить на сайт
🤣6