Я знал, что рано или поздно это придет в ИБ. Немножко мемов от @securixy_kz @memekatz
#мемы
#мемы
Информационная безопасность
@cybersecurity_for_all
Знания для всех
Авторы не несут никакой ответственности за любые последствия использования информации, полученной на этом канале.
Для сотрудничества @adkkkkkkkk
Информационная безопасность
17 Nov, 16:26
Уже в эту субботу пройдёт OSINT mindset conference #1
Приходите послушать доклады, попробовать решить задачи на стендах и выиграть мерч. Конференций в сфере OSINT не много, а возможности открываются большие. Это новый виток развития команды Mindset, такое надо видеть
Советую прийти лично, познакомитесь с множеством специалистов, зададите вопросы спикерам, поучаствуете в активностях. Или смотрите онлайн, все доклады будут транслироваться. В любом случае отличная возможность узнать много нового❤️
Приходите послушать доклады, попробовать решить задачи на стендах и выиграть мерч. Конференций в сфере OSINT не много, а возможности открываются большие. Это новый виток развития команды Mindset, такое надо видеть
Советую прийти лично, познакомитесь с множеством специалистов, зададите вопросы спикерам, поучаствуете в активностях. Или смотрите онлайн, все доклады будут транслироваться. В любом случае отличная возможность узнать много нового
Информационная безопасность
28 Oct, 10:40
legba
A new multiprotocol credentials bruteforcer / password sprayer and enumerator built with Rust and the Tokio asynchronous runtime in order to achieve better performances and stability while consuming less resources than similar tools.
• AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM and Solace)
• DNS
• FTP
• HTTP
• IMAP
• Kerberos
• LDAP
• MongoDB
• Microsoft SQL
• MySQL
• PostgreSQL
• POP3
• RDP
• SSH / SFTP
• SMTP
• STOMP (ActiveMQ, RabbitMQ, HornetQ and OpenMQ)
• Telnet
• VNC
➡️ evilsocket/legba
#legba #bruteforce #rdp #ssh
📱 Информационная безопасность
A new multiprotocol credentials bruteforcer / password sprayer and enumerator built with Rust and the Tokio asynchronous runtime in order to achieve better performances and stability while consuming less resources than similar tools.
• AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM and Solace)
• DNS
• FTP
• HTTP
• IMAP
• Kerberos
• LDAP
• MongoDB
• Microsoft SQL
• MySQL
• PostgreSQL
• POP3
• RDP
• SSH / SFTP
• SMTP
• STOMP (ActiveMQ, RabbitMQ, HornetQ and OpenMQ)
• Telnet
• VNC
#legba #bruteforce #rdp #ssh
Информационная безопасность
25 Oct, 09:03
Standoff Talks №4
Ребята из Standoff(2) 365 открыли регистрацию на Standoff Talks. Если кто-то не знает, то Standoff Talks это ивент, где offensive и defensive security специалисты обменяются опытом с комьюнити. И это не пустые слова, по опыту участие в 3х предыдущих ивентах могу сказать, что оно того действительно стоит. По плану будет 2 дня годных докладов, а в конце общее афтепати.
Если ты социальный гигачад и хочешь послушать доклады оффлайн, то оставляй заявку на сайте, но ради этого придется слегка задеанониться. Если ты не хочешь это делать, то сможешь посмотреть стрим ивента со всеми докладами.
#standoff #talks #bb
Ребята из Standoff
Если ты социальный гигачад и хочешь послушать доклады оффлайн, то оставляй заявку на сайте, но ради этого придется слегка задеанониться. Если ты не хочешь это делать, то сможешь посмотреть стрим ивента со всеми докладами.
#standoff #talks #bb
Информационная безопасность
19 Oct, 13:45
Offensive Rust
Rust Weaponization for Red Team Engagements.
• Why Rust?
• Examples in this repo
• Compiling the examples
• Compiling the examples in this repo
• Cross Compiling
• Optimizing executables for size
• Pitfalls I found myself falling into
• Interesting Rust Libraries
• Opsec
• Other projects I have have made in Rust
• Projects in Rust that can be hepfull
➡️ trickster0/OffensiveRust
#Rust #OffensiveRust
📱 Информационная безопасность
Rust Weaponization for Red Team Engagements.
• Why Rust?
• Examples in this repo
• Compiling the examples
• Compiling the examples in this repo
• Cross Compiling
• Optimizing executables for size
• Pitfalls I found myself falling into
• Interesting Rust Libraries
• Opsec
• Other projects I have have made in Rust
• Projects in Rust that can be hepfull
#Rust #OffensiveRust
Информационная безопасность
09 Oct, 07:06
][акер опубликовал призовые кейсы нашей премии Pentest award. Сохраняем их в одном посте, чтобы участникам в следующем году было достаточно референсов:
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
▪️Пробив периметра. Три райтапа победителя Pentest award в номинации «Пробив».
▪️Взлом Seedr. Райтап — победитель Pentest award в номинации «Пробив».
▪️Нескучные байпасы. Работы — победители Pentest award в номинации «Bypass».
▪️**ck the logic. Три исследования логических багов получившие Pentest award.
▪️LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привелегий.
▪️ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота.
Еще раз благодарим всех авторов за качественный контент и смелость. Увидимся на Pentest award 2024 🫡
Информационная безопасность
05 Oct, 17:44
API Keys
Нашли ключ, но не знаете, для чего он нужен и как его использовать или просто нужны регулярки для поиска секретов? Нижеперечисленные репозитории помогут вам узнать, что за ключ вы нашли и как можно использовать определенные API-ключи, найденные в ходе пентеста / Bug Bounty для проверки их валидности.
• https://github.com/streaak/keyhacks
• https://github.com/mazen160/secrets-patterns-db
• https://github.com/dwisiswant0/gfx
• https://github.com/dwisiswant0/secpat2gf
• https://github.com/sourcegraph-community/no-secrets/
• https://github.com/daffainfo/all-about-apikey
• api-guesser.netlify.app
#api #secrets #tokens
📱 Информационная безопасность
Нашли ключ, но не знаете, для чего он нужен и как его использовать или просто нужны регулярки для поиска секретов? Нижеперечисленные репозитории помогут вам узнать, что за ключ вы нашли и как можно использовать определенные API-ключи, найденные в ходе пентеста / Bug Bounty для проверки их валидности.
• https://github.com/streaak/keyhacks
• https://github.com/mazen160/secrets-patterns-db
• https://github.com/dwisiswant0/gfx
• https://github.com/dwisiswant0/secpat2gf
• https://github.com/sourcegraph-community/no-secrets/
• https://github.com/daffainfo/all-about-apikey
• api-guesser.netlify.app
#api #secrets #tokens
Информационная безопасность
03 Oct, 09:10
KazHackStan 2023
Команда «Kcell» - победители кибербитвы на KazHackStan 2023, рассказали о своей подготовке к кибербитве, векторе до SCADA системы в City и захвате дрона на полигоне CyberKumbez.
https://habr.com/ru/articles/763774/
#kazhackstan
Команда «Kcell» - победители кибербитвы на KazHackStan 2023, рассказали о своей подготовке к кибербитве, векторе до SCADA системы в City и захвате дрона на полигоне CyberKumbez.
https://habr.com/ru/articles/763774/
#kazhackstan
Информационная безопасность
02 Oct, 08:51
Пентестеры в СНГ часто сталкиваются с 1С-серверами внутри инфраструктур, один из векторов атак - Консоль Администрирования Кластеров 1С (RAS).
Чтобы попытаться подключиться к нему - подбирают версию клиента коноли аналогичную серверу, скачивают нужный серверный дистрибутив под винду и только тогда смогут зайти под имеющимися/пустыми кредами получая кучу полезной информации.
Я автоматизировал этот процесс благодаря консольной утилите
Этапы: Скан nmap с поиском открытых портов RAS, Сбор информации при успешном подключении к серверу, Выгрузка полученной информации в
https://github.com/sdnv0x4d/rasoff
Чтобы попытаться подключиться к нему - подбирают версию клиента коноли аналогичную серверу, скачивают нужный серверный дистрибутив под винду и только тогда смогут зайти под имеющимися/пустыми кредами получая кучу полезной информации.
Я автоматизировал этот процесс благодаря консольной утилите
rac от 1С для Linux. Более того, больше не нужно подбирать версию клиента и сервера - утилита rac работает с разными версиями серверов.Этапы: Скан nmap с поиском открытых портов RAS, Сбор информации при успешном подключении к серверу, Выгрузка полученной информации в
.csv под каждый сервер. Более подробно в READMEhttps://github.com/sdnv0x4d/rasoff
Информационная безопасность
01 Oct, 09:00
Web3 Чат
Значительную часть своих знаний мы получаем благодаря взаимодействию с другими людьми из сферы: знакомства на конференциях, в чатах, посещение локальных митапов, хакерспейсов или просто случайные или запланированные встречи.
Поэтому @whoamins и @curiv решили создать чатик по web3 security, присоединяйтесь! :)
#web3
Значительную часть своих знаний мы получаем благодаря взаимодействию с другими людьми из сферы: знакомства на конференциях, в чатах, посещение локальных митапов, хакерспейсов или просто случайные или запланированные встречи.
Поэтому @whoamins и @curiv решили создать чатик по web3 security, присоединяйтесь! :)
#web3
Информационная безопасность
27 Sep, 11:47
Новый #ctfchat
Также хочется рассказать о том, что в результате вчерашнего длительного ночного обсуждения с активными российскими игроками в CTF мы пришли к идее создания нового русскоязычного чата о CTF.
Зайти туда и обсудить реверс Rust можно уже сейчас: https://t.me/+dGgkYwJwL4Y5OTQy
Также хочется рассказать о том, что в результате вчерашнего длительного ночного обсуждения с активными российскими игроками в CTF мы пришли к идее создания нового русскоязычного чата о CTF.
Зайти туда и обсудить реверс Rust можно уже сейчас: https://t.me/+dGgkYwJwL4Y5OTQy
Информационная безопасность
19 Sep, 11:19
OffZone 2023
Уже забыли? А зря!
Организаторы потихоньку начинают выкладывать записи, на данный момент доступны записи следующих треков:
• Track 1
• Track 2 (часть)
• AntiFraud.Zone
Все презентации спикеров, которые пожелали ими подлиться уже выложены на сайте.
Link: https://offzone.moscow/program/
А если хотите почитать впечатления ребят из OSINT mindset (+немножко моих), то можете ознакомиться со статьей на Хабре - OSINT mindset × OFFZONE: как это было.
#offzone
Уже забыли? А зря!
Организаторы потихоньку начинают выкладывать записи, на данный момент доступны записи следующих треков:
• Track 1
• Track 2 (часть)
• AntiFraud.Zone
Все презентации спикеров, которые пожелали ими подлиться уже выложены на сайте.
Link: https://offzone.moscow/program/
#offzone
Информационная безопасность
18 Sep, 14:48
Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
«Red Purple Team»
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
2,827
subscribers
30
photos
3
videos
