110 – Jogos de ação estimulam a violência? no Castbox. Confira esse episódio! https://castbox.fm/vb/138800650

Amaterasu Framework


Can I test my pentest frame and gather information? Make a good time that I'm not updating and few people have tested it, so I do not know what the bugs are. Taste of the re-create from scratch with more libs to make it more malleable. Note: it was written in python 3.6

🌏@RubyOfSec


Owner: @SamMarx

Download: http://github.com/Sam-Marx/Amaterasu

Vazamento de Dados – Sinpol – Pryzraky

Nosso sistema de Monitoramento Avançado Persistente detectou, em 15/04/19, uma publicação no site de compartilhamento de texto Ghostbin que divulga dados vinculados ao Assinpol (Associação dos Investigadores da Polícia Civil do Espírito Santo)

A ação foi reivindicada pelo notório grupo multinacional Pryzraky.

Os dados aparentam ser o dump completo do banco de dados SQL que a página alvejada possui. Dentre as informações contidas incluem-se dados pessoais de usuários e detalhes da aplicação.

🌏@RubyOfSec

Fonte: DefCon-Lab

Freddy - Automatically Identify Deserialisation Issues In Java And .NET Applications By Using Active And Passive Scans


A Burp Suite extension to aid in detecting and exploiting serialisation libraries/APIs.

This useful extension was originally developed by Nick Bloor (@nickstadb) for NCC Group and is mainly based on the work of Alvaro Muñoz and Oleksandr Mirosh, Friday the 13th: JSON Attacks, which they presented at Black Hat USA 2017 and DEF CON 25. In their work they reviewed a range of JSON and XML serialisation libraries for Java and .NET and found that many of them support serialisation of arbitrary runtime objects and as a result are vulnerable in the same way as many serialisation technologies are - snippets of code (POP gadgets) that execute during or soon after deserialisation can be controlled using the properties of the serialized objects, often opening up the potential for arbitrary code or command execution.

Further modules supporting more formats including YAML and AMF are also included, based on the paper Java Unmarshaller Security - Turning your data into code execution and tool marshalsec by Moritz Bechler.

This Burp Suite extension implements both passive and active scanningto identify and exploit vulnerable libraries.

🌏@RubyOfSec

Fonte: KitPloit

Findomain - A Tool That Use Certificate Transparency Logs To Find Subdomains

A tool that use Certificates Transparency logs to find subdomains.

How it works?
It tool doesn't use the common methods for sub(domains) discover, the tool uses Certificate Transparency logs to find subdomains and it method make it tool very faster and reliable. If you want to know more about Certificate Transparency logs, read https://www.certificate-transparency.org/

🌏@RubyOfSec

Fonte: KitPloit

Usando o Software via Vidalia

para quem já usa o FIrefox basta baixar outro client firefox (Waterfox, Palemoon)

após baixar e instalar o outro cliente basta pressionar o Botão Windows + R e digitar:

waterfox.exe -p
palemoon.exe -p

após aparecer uma janela com "Profiles" selecione "Tor" ou "i2p" (Como preferir) e acessar sua rede preferida, sem complicações

O Software também conta com outras ferramentas: Daemon I2P, MicroSIP (Chamadas VOIP) e Waste (Relay Chay via TOR)

Outra forma de usar o Software para que o Proxy do TOR seja conectado no Telegram

Clique em Avançado > Tipo de conexão > Adicionar Proxy Customizado > Clique em Adicionar Proxy > Abrirá essa janela mostrada no Print > Configure de acordo com o Print > Clique em Salvar

Para Verificar se o Proxy realmente foi conectado, desative o Vidalia, caso o Proxy do Telegram fique em "Conectando" o proxy foi configurado corretamente

Um problema que eu mesmo enfrentei, e já vi outras pessoas reclamando do mesmo, foi a configuração persistente dos servidores DNS em uma máquina cliente.
.
Nesta dica, eu compartilho uma solução para este problema onde você pode configurar a ordem de servidores DNS! :)

🌏@RubyOfSec

https://4fasters.com.br/2019/04/24/dns-some-durante-o-boot-no-linux-solucionado/

IMPORTANTE: NOVAS INSCRIÇÕES NA CRYPTORAVE 2019!!!

A participação na CryptoRave é gratuita e todas as atividades são abertas ao público.

Para se inscrever na CryptoRave, você precisa seguir o passo a passo abaixo:

1. Abra o site:
https://tickets.cryptorave.org/cr2019/free/

2. Clique em "Add to cart".

3. Preencha o seu email e quantas vezes você já foi na CryptoRave. O nome é opcional.

4. Confirme a leitura do Código de Conduta do evento e clique: "Submit registration"

5. Pronto! A sua inscrição na CryptoRave está feita e o ticket chegará no seu email!

Apresente o ticket no seu celular ou impresso no dia da CryptoRave na banca de inscrição e a sua entrada está liberada!

Avisa todo mundo, que esse ano tem que fazer inscrição, não vai chegar na hora e atrasar a fila gerando a inscrição no celular.

Curso Black Hat eSecurity

🌍@AcervoRubyOfSec

Linux Server Securuty Hack and Defend

🌍@AcervoRubyOfSec

Professional Linux Kernel Architecture

🌍@AcervoRubyOfSec