Мощный инструмент для поиска и обнаружения XSS уязвимостей. Написан на
UPD. 2.12
Установка:
go install github.com/hahwul/dalfox/v2@latest
Пример:
dalfox url http://testphp.vulnweb.com/listproducts.php?cat=123&artist=123&asdf=ff -b https://your-callback-url
#soft #dalfox #golang #xss
Please open Telegram to view this post
VIEW IN TELEGRAM
cursor.directory
Cursor Directory
Find the best cursor rules for your framework and language
Вайб кодерам посвящается
The home for Cursor enthusiasts where you can explore and generate rules, browse MCPs, post and follow the latest news on the board, learn, connect, and discover jobs all in one place
#cursor #coding #vibe
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Информационная опасность
https://vulnbank.org
Намеренно уязвимое веб-приложение для отработки тестирования безопасности веб-приложений, API и LLM, безопасного обзора кода и внедрения безопасности в конвейеры CI/CD.
Vulnbank представляет собой банковское приложение с заложенными уязвимостями. Он призван помочь инженерам по безопасности, разработчикам, стажерам, аналитикам QA и специалистам DevSecOps узнать о:
- Распространенных уязвимостях веб-приложений и API;
- Уязвимостях AI/LLM;
- Безопасных методах разработки;
- Автоматизации тестирования безопасности;
- Реализация DevSecOps.
⚠️ ВНИМАНИЕ: Это приложение намеренно уязвимо и должно использоваться только в образовательных целях в изолированных средах.
https://github.com/Commando-X/vuln-bank
Намеренно уязвимое веб-приложение для отработки тестирования безопасности веб-приложений, API и LLM, безопасного обзора кода и внедрения безопасности в конвейеры CI/CD.
Vulnbank представляет собой банковское приложение с заложенными уязвимостями. Он призван помочь инженерам по безопасности, разработчикам, стажерам, аналитикам QA и специалистам DevSecOps узнать о:
- Распространенных уязвимостях веб-приложений и API;
- Уязвимостях AI/LLM;
- Безопасных методах разработки;
- Автоматизации тестирования безопасности;
- Реализация DevSecOps.
⚠️ ВНИМАНИЕ: Это приложение намеренно уязвимо и должно использоваться только в образовательных целях в изолированных средах.
https://github.com/Commando-X/vuln-bank
🔥3
GitHub
GitHub - Chocapikk/CVE-2025-5777: CitrixBleed 2 (CVE-2025-5777)
CitrixBleed 2 (CVE-2025-5777). Contribute to Chocapikk/CVE-2025-5777 development by creating an account on GitHub.
#cve #poc #citrix
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Еще одна AD лаба от авторов NetExec с доступными райтапами, подойдет новичкам для изучения основных техник, неплохая история для тех, кто хочет вкатиться в изучение AD
Главная цель - стать доменным администратором
После окончания установки перезагрузить все машины, дабы выкинуть из памяти (lsass) лишние пароли
Originally featured in the LeHack2024 Workshop, this lab is now available for free to everyone! In this lab, you’ll explore how to use the powerful tool NetExec to efficiently compromise an Active Directory domain during an internal pentest
#windows #lab #ad
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
GitHub
GitHub - ZephrFish/WindowsHardeningScript: Some settings stolen from multiple noscripts @ZephrFish
Some settings stolen from multiple noscripts @ZephrFish - ZephrFish/WindowsHardeningScript
#hardening #windows #powershell
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
InfoGuard Labs
Attacking EDRs Part 1: Intro & Security Analysis of EDR Drivers - InfoGuard Labs
This article gives an overview of the attack surface of EDR software and describes the process to search for attack surface on EDR drivers from a low-privileged user.
Подборка материалов по атакам на EDR системы (англ.)
#edr #analysis #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
TensorGym
Explore Machine Learning with TensorGym's Exercise Collection
Master machine learning concepts through a wide array of interactive exercises on TensorGym. From basics to advanced topics, enhance your skills for real-world applications.
Полезные площадки для тех, кому интересна разработка в области ML
Есть задания в формате вопрос ответ, а также на написание кода различной степени сложности
#ml #coding #tensorgym #deepml #neetcode
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁3
Одна полезная библиотека и один полезный сервис
Curlify - преобразует запрос
Установка:
pip install curlify
Пример:
import curlify
import requests
response = requests.get("http://google.ru")
print(curlify.to_curl(response.request))
# curl -X 'GET' -H 'Accept: */*' -H 'Accept-Encoding: gzip, deflate' -H 'Connection: keep-alive' -H 'User-Agent: python-requests/2.18.4' 'http://www.google.ru/'
print(curlify.to_curl(response.request, compressed=True))
# curl -X 'GET' -H 'Accept: */*' -H 'Accept-Encoding: gzip, deflate' -H 'Connection: keep-alive' -H 'User-Agent: python-requests/2.18.4' --compressed 'http://www.google.ru/'
Curlconverter - сделает наоборот, превратит вашу curl команду в код на множестве ЯП
curl "https://example.com/" -u "some_username:some_password"
$username = "some_username"
$password = ConvertTo-SecureString "some_password" -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential($username, $password)
$response = Invoke-RestMethod -Uri "https://example.com/" -Credential $credential -Authentication Basic
#curl #converter #curlify
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2
Обзоры
UPD 0.6:
😉 Обновленная консоль агента с гибкими настройками😉 Оповещения в Telegram😉 OTP для синхронизации файлов и команд😉 Новая тема Dracula😉 Обновление до Golang 1.24.4
Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal
sudo apt install mingw-w64 make
wget https://go.dev/dl/go1.24.4.linux-amd64.tar.gz -O /tmp/go1.24.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.24.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go
sudo apt install gcc g++ build-essential cmake libssl-dev qt6-base-dev qt6-websockets-dev qt6-declarative-dev
git clone https://github.com/Adaptix-Framework/AdaptixC2.git
cd AdaptixC2
make server
make extenders
make client
cd dist
chmod +x ssl_gen.sh
./ssl_gen.sh
./adaptixserver -profile profile.json
./AdaptixClient
#adaptixc2 #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍1🔥1
#digest #useful #posts
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - hfiref0x/UACME: Defeating Windows User Account Control
Defeating Windows User Account Control. Contribute to hfiref0x/UACME development by creating an account on GitHub.
Различные техники обхода
Defeating Windows User Account Control by abusing built-in Windows AutoElevate backdoor. This project demonstrates various UAC bypass techniques and serves as an educational resource for understanding Windows security mechanisms.
Использование:
akagi32.exe [Method_Number] [Optional_Command]
akagi64.exe [Method_Number] [Optional_Command]
akagi32.exe 23
akagi64.exe 61
akagi32.exe 23 c:\windows\system32\calc.exe
akagi64.exe 61 c:\windows\system32\charmap.exe
Собирать в
#windows #uac #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🤷1
Определение типа файлов по содержимому
Готовые бинарники:
curl --proto '=https' --tlsv1.2 -LsSf https://github.com/google/magika/releases/download/cli/v0.1.3/magika-installer.sh | sh
powershell -ExecutionPolicy Bypass -c "irm https://github.com/google/magika/releases/download/cli/v0.1.3/magika-installer.ps1 | iex"
Также работает в качестве
Установка:
pip install magika
from magika import Magika
m = Magika()
res = m.identify_path('./tests_data/basic/ini/doc.ini')
print(res.output.label)
// ini
#magika #file #content
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
Усовершенствованная версия Ligolo-ng с клиент-серверной архитектурой, позволяющая совместно работать с несколькими параллельными туннелями. Автоматически управляет всеми TUN интерфейсами, а также предоставляет GUI
#ligolomp #tun #pivot #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥1
Forwarded from Похек
Ай! Не туда! Как злоупотреблять симлинками и повышать привилегии (LPE-шиться) в Windows
#windows #microsoft #symlink #LPE #privesc
Символические ссылки присутствуют в Windows практически с момента его появления. Однако лишь немногие курсы по анализу защищенности смогут раскрыть весь их потенциал и позволят нам получить заветный LPE.
Его статья подробно расскажет о символических ссылках, специфике работы с ними, а также наглядно покажет варианты их злоупотребления для получения LPE.
Что такое символическая ссылка?
Символическая ссылка позволяет указать от одного объекта на другой.
Буквально: симлинка example может указывать на файл 1.txt. И вы, обратившись к example, попадете в 1.txt.
🔗 В Windows есть разные виды символических ссылок. Рассмотрим их подробнее.
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#windows #microsoft #symlink #LPE #privesc
Привет всем! Автор статьи Михаил Жмайло, он пентестер в команде CICADA8.
Символические ссылки присутствуют в Windows практически с момента его появления. Однако лишь немногие курсы по анализу защищенности смогут раскрыть весь их потенциал и позволят нам получить заветный LPE.
Его статья подробно расскажет о символических ссылках, специфике работы с ними, а также наглядно покажет варианты их злоупотребления для получения LPE.
Что такое символическая ссылка?
Символическая ссылка позволяет указать от одного объекта на другой.
Буквально: симлинка example может указывать на файл 1.txt. И вы, обратившись к example, попадете в 1.txt.
Please open Telegram to view this post
VIEW IN TELEGRAM
Sud0Ru
Windows Inter Process Communication A Deep Dive Beyond the Surface - Part 1
Windows Inter-Process Communication (IPC) is one of the most complex technologies in the Windows operating system. It consists of multiple layers that can work together or operate independently, depending on the usage context.
For example, you can use RPC…
For example, you can use RPC…
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
Для каждой уязвимости есть:
Выглядит солидно, даже темная тема есть
Добавил на страничку закладок по теме VM
#vm #vulnerability #dbugs #trends #nvd #bdu #cisa
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
This tool exploits a new attack against delegated Managed Service Accounts called the "Golden DMSA" attack. The technique allows attackers to generate passwords for all associated dMSAs offline
#redteam #pentest #dmsa #windows #ad
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
PortSwigger Research
Repeater Strike: manual testing, amplified
Manual testing doesn't have to be repetitive. In this post, we're introducing Repeater Strike - a new AI-powered Burp Suite extension designed to automate the hunt for IDOR and similar vulnerabilities
В этой статье мы представляем Repeater Strike - новое расширение Burp Suite на базе AI, предназначенное для автоматизации поиска IDOR и подобных уязвимостей
#portswigger #web #burp
Please open Telegram to view this post
VIEW IN TELEGRAM