Друзья, напоминаю, сегодня 09.11.2020 состоится 5-й подкаст, начало в 14.20 msk time zone

Обучающий видео курс "SQL Injection. Основы и способы эксплуатации" от Pentestit Lab, 2014 год, запись с экрана

Внедрение SQL-кода (англ. SQL injection) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Это в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

В программу курса входят этапы:
+ Разбор сути SQLi;
+ Методы и способы утилизации SQLi;
+ Разбор сложных SQL инъекций ("Blind SQLi").

План занятия:
+ Создание и подготовка площадки для экспериментов;
+ Демонстрация уязвимости и ее разбор;
+ Утилизация SQLi: использования уязвимости, как промежуточное звено атаки;
+ Демонстрация слепых SQLi и методы утилизации.

#web #pentest

SQL Injection. Основы и способы эксплуатации (2014)

#web #pentest

Книга "Шелл-хантинг, или все технические моменты поиска и защиты от шеллов" от Pensionary, 2013 год, PDF, язык русский

«Веб-шелл» (WEB-Shell) вредоносный скрипт (программа), который злоумышленники используют для управления чужими сайтами и серверами: выполнения команд терминала, перебора паролей, доступа к файловой системе и т.п. Для размещения скрипта чаще всего используются уязвимости в коде сайта или подбор паролей.

Из книги вы узнаете:
+ что такое шеллы, принцип работы, как они попадают на сайт;
+ зачем ломают сайты и как на этом зарабатывают;
+ как настроить сайт и хостинг для минимизации угрозы взлома;
+ как обнаружить размещение шелла, устранить последствия и методы профилактики

#book #web #pentest

Учебные пособия (Guide [PDF]) к обучающему курсу "SQL Injection. Основы и способы эксплуатации"

#book #web #pentest

Обучающий видео курс "Тестирование на проникновение с использованием Metasploit Framework", 2013 год, запись с экрана (PCRec)

Константин Левин, инструктор из компании PentestIT, расскажет о работе с профессиональным инструментом пентестеров - фреймворком Metasploit. Будут продемонстрированы практически все этапы тестирования на проникновение: от разведки и сбора информации до написания собственных модулей, эксплойтов, используя Metasploit Framefork.

Содержание курса:

Занятие I
- Введение в Metasploit;
- Сбор информации и сканирование;
- ОС — оценка уязвимости и эксплуатации.

Занятие II
- Краткий обзор прошлого занятия;
- Эксплуатация на стороне клиента и обход антивирусов;
- Использование Meterpreter для исследования скомпрометированной цели;
- Продвинутый Meterpreter скриптинг.

Занятие III
- Краткий обзор прошлого занятия;
- Работа с модулями;
- Работа с эксплоитами;
- Работа с Armitage.

#pentest #metasploit

Занятие I
- Введение в Metasploit;
- Сбор информации и сканирование;
- ОС — оценка уязвимости и эксплуатации.

#pentest #metasploit

Занятие II
- Краткий обзор прошлого занятия;
- Эксплуатация на стороне клиента и обход антивирусов;
- Использование Meterpreter для исследования скомпрометированной цели;
- Продвинутый Meterpreter скриптинг.

#pentest #metasploit

Занятие III
- Краткий обзор прошлого занятия;
- Работа с модулями;
- Работа с эксплоитами;
- Работа с Armitage.

#pentest #metasploit

Учебные пособия к курсу "Тестирование на проникновение с использованием Metasploit Framework"

#book #pentest #metasploit

CobaltStrike's source code,tested some code and function - в свободный доступ выложены исходники эксплойт пака Cobalt Strike (путем декомпиляции и восстановления кода из бинарного файла)

[GitHub]
https://github.com/Freakboy/CobaltStrike

[INFO]
https://www.cobaltstrike.com/
https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike

#pentest #hacktools

Mind map iOS vulnerability assessment

#pentest

@w2hack официально стал медиа партнером The Standoff, пожалуй, самого крупнейшего эвента и кибер битвы на территории РФ и пост-советского пространства на текущий момент. The Standoff изначально был частью 2-х дневного PHDays, шел параллельно с выступлениями спикеров, различными хак конкурсами и квестами, и вот в 2020 году стал самостоятельной платформой, где каждый в составе команды или в индивидуальном зачете может попробовать свои силы на стороне Red Team (атакующие) и Blue Team (защитники) в рамках достаточно достоверно воспроизведенной инфраструктуры крупного города - от домашних роутеров до банков, ж\д станций и объектов КИИ, к примеру, таких как нефтедобывающие вышки, турбины ГЭС и т.д.

#info #ctf #event

Помимо традиционных медиа, The Standoff поддержали и крупные отраслевые телеграм-каналы, оперативно освещающие новости ИТ и ИБ, и чаты сообществ. Вот их перечень, советуем подписаться!

@Social_engineering
@sysadm_in_channel
@true_secator
@codeby
@cybred
@cybershit
@exploitex
@antichat
@singlesecurity
@CyberSecurity_webinars
@attack_community
@cybersecuritytechnologies
@w2hack
@ruscadasecnews
@cKure
@InfoBezEvents

Присоединяйся к The Standoff

Freedom Downtime is a 2001 documentary film sympathetic to the convicted computer hacker Kevin Mitnick, directed by Emmanuel Goldstein and produced by 2600 Films.

Storyline

Computer hackers are being portrayed as the newest brand of terrorists. This is a story of a hacker named Kevin Mitnick, imprisoned without bail for nearly five years. Freedom Downtime tries to uncover the reasons why the authorities are so scared of Mitnick as well as define what exactly he did. Surprisingly, no real evidence is ever presented by the authorities to back up the sensationalist claims in mass media. But when a Hollywood studio decides to make a movie about Mitnick's life through the eyes of one of his accusers, hackers turn to activism to get their message out. Through interviews with relatives, friends, lawyers, and experts in the computer and civil liberties arena, a picture of a great injustice becomes apparent. A cross-country journey uncovers some realities of the hacker culture as well as the sobering fact that so many technically-adept young people are being imprisoned.

[YouTube]
https://www.youtube.com/watch?v=WN4fCK23Srk

[Wikipedia]
https://bit.ly/36tgmcV

[The Complete List Of Hacker And Cybersecurity Movies, v2.0]
https://bit.ly/2GTsU4u

#celebrety

Для старой гвардии @w2hack комьюнити и всех адекватных людей, кто занимается делом, а не ̶х̶у̶й̶ ̶п̶о̶й̶м̶и̶ ̶ч̶е̶м̶ ̶п̶о̶п̶а̶л̶о̶ ̶и̶ ̶п̶и̶з̶д̶о̶б̶о̶л̶ь̶с̶т̶в̶о̶м̶ подборка самых интересных материалов из моих закладок на тему тестирования защищенности Active Directory

Active Directory Kill Chain Attack & Defense - референсы на такие техники как Scanning, Data Mining, User Hunting, Zerologon, Kerberos Vulnerability, Insecure ACLs Permission Rights, DCShadow, Pass The Hash и т.д.
https://bit.ly/3ksDOvv

AD Pentesting - большой Awesome List на тему тестирования защищенност AD
https://bit.ly/2GWvQ0c

Awesome Windows Domain Hardening - материалы на тему усиления безопасности AD инфрастуруктуры
https://bit.ly/35nOxTN

Active Directory penetration test and attack by harmj0y - авторские статьи от armj0y
https://bit.ly/3nn95Ch

Active Directory Penetration Testing Checklist - поглядеть глазами:)
https://bit.ly/2K0GgwZ

#pentest #education #windows

Погружение в AD: разбираем продвинутые атаки на Microsoft Active Directory и способы их детекта - PT рассказывает всем
https://bit.ly/3ngSyPZ
https://bit.ly/3niojs8

Атаки на Active Directory. Разбираем актуальные методы повышения привилегий
https://bit.ly/2Ix7HNX

10 шагов для успешной атаки на Windows Active Directory
https://bit.ly/2IsWheF

Взлом и защита Active Directory
https://bit.ly/35nOJTe

Школьникам не читать! Делать уроки! Тупые вопросы мне не писать - бан автоматом перманентно со всех ресурсов!

#pentest #education #windows

Подборка доков к предыдущему посту по тестированию защищенности AD

#pentest #education #windows #book

Слив учебных материалов (только PDF книги Guide и Lab) с обновленного в этом году EC-Council CEH v11

#education #book