Достаточно позднее включение, но сделал разбор недавней критичной вулны в Nexus Repository Manager 3
Клик сюда
Клик сюда
LamerZen
@lamerzen
Путь от ламера до пентестера
Ставь 💊, если тебе понравилось
LamerZen (Russian)
LamerZen - это Telegram канал, который занимается обучением и поддержкой тех, кто хочет пройти путь от ламера до пентестера. Если ты хочешь стать профессионалом в области тестирования на проникновение, то этот канал идеально подойдет для тебя. Здесь ты найдешь полезные материалы, рекомендации и советы от опытных специалистов. Канал также предлагает обучающие курсы и мастер-классы, чтобы помочь тебе освоить все нюансы этой увлекательной профессии. Вступай в LamerZen и начни свой путь к успешной карьере в сфере кибербезопасности! Ставь 💊, если тебе понравилось!
LamerZen
19 Jun, 19:22
Рассчитывал, что работа с заказчиком завершится пораньше, поэтому в этот раз без истории от меня, но если кто-то хочет поделиться своей историей и попытать удачи, то тыкать сюда
А от меня наконец-то появится актив, и в выходные дропну статью по WiFi
А от меня наконец-то появится актив, и в выходные дропну статью по WiFi
LamerZen
13 May, 10:18
Всем привет, возможно, встретимся на церемонии от Awillix
Ежегодная независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз вас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB 🆕
— Пробив инфраструктуры 🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Также предусмотрены призы: ноутбуки MacBook, смартфоны iPhone, умные часы, колонки и другие подарки от партнеров проекта.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
Ежегодная независимая премия для пентестеров — Pentest award возвращается!
Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.
В этот раз вас ждут 6 номинаций, по три призовых места в каждой:
— Пробив WEB 🆕
— Пробив инфраструктуры 🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка
Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Также предусмотрены призы: ноутбуки MacBook, смартфоны iPhone, умные часы, колонки и другие подарки от партнеров проекта.
Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
LamerZen
26 Feb, 10:52
Штош
Достаточно долго меня не было.
Так как достаточно сильно загружен, но что-то постить нужно, написал небольшую утилиту для перебора пользователей через SMTP-сервера и немного разобрал уязвимости SMTP
Ссылка на пост
Если кому-то лень читать, то сразу скину ссылку на утилиту
Достаточно долго меня не было.
Так как достаточно сильно загружен, но что-то постить нужно, написал небольшую утилиту для перебора пользователей через SMTP-сервера и немного разобрал уязвимости SMTP
Ссылка на пост
Если кому-то лень читать, то сразу скину ссылку на утилиту
LamerZen
16 Jan, 07:01
Всем привет!
Спустя более двух лет канал преодолел порог в 1000 подписчиков (еще в ноябре прошлого года), и это заслуживает особого внимания!
В связи с этим организую стрим. Проведем его вместе с @CuriV (автор канала @pathsecure) и познакомимся друг с другом.
📆 Дата: 21 января (воскресенье)
🕒 Время: 16:00 по Московскому времени
🎙 Что ждет вас:
•
•
•
Спустя более двух лет канал преодолел порог в 1000 подписчиков (еще в ноябре прошлого года), и это заслуживает особого внимания!
В связи с этим организую стрим. Проведем его вместе с @CuriV (автор канала @pathsecure) и познакомимся друг с другом.
📆 Дата: 21 января (воскресенье)
🕒 Время: 16:00 по Московскому времени
🎙 Что ждет вас:
•
Ретроспектива пути: Поделюсь своей историей – от того, как всё начиналось, до того, кем являюсь сегодня.•
Обратная связь: Приглашаю вас высказать свои мысли, идеи и пожелания относительно ресерчей, постов и контента.•
Ответы на вопросы: Буду на связи, готовый ответить на все ваши вопросы. Что вас волнует?
LamerZen
15 Jan, 07:01
В прошлый раз скинул презентацию о namespace'ах.
В этот подготовил мини-доклад о побеге из докера, который слегка расширяет информацию на hacktricks'е
В этот подготовил мини-доклад о побеге из докера, который слегка расширяет информацию на hacktricks'е
LamerZen
31 Dec, 16:24
Всем привет, это последний пост в уходящем году. Поздравляю всех с наступающим Новым Годом!
Хотелось бы кратко подвести итоги
2023 был достаточно интересным и насыщенным на события:
Познакомился с большим количеством крутых людей и специалистов в ИБ
Присоединился в Invuls и поиграл с ними в standoff 12
Организовал и провел Hack in 15 minutes на OFFZONE
Ну и всякого по мелочи
Надеюсь, что в следующем году не буду пропадать надолго и постить хотя бы раз в месяц (но это не точно)
Еще раз поздравляю с наступающим Новым Годом (или с наступившим, зависит от часового пояса) и желаю всем удачи и успехов!
Upd. Спасибо большое за подписки, не ожидал, что так быстро 1000 наберется👉👈
Хотелось бы кратко подвести итоги
2023 был достаточно интересным и насыщенным на события:
Познакомился с большим количеством крутых людей и специалистов в ИБ
Присоединился в Invuls и поиграл с ними в standoff 12
Организовал и провел Hack in 15 minutes на OFFZONE
Ну и всякого по мелочи
Надеюсь, что в следующем году не буду пропадать надолго и постить хотя бы раз в месяц (но это не точно)
Еще раз поздравляю с наступающим Новым Годом (или с наступившим, зависит от часового пояса) и желаю всем удачи и успехов!
Upd. Спасибо большое за подписки, не ожидал, что так быстро 1000 наберется👉👈
LamerZen
11 Dec, 07:05
godfuzz3r несколько месяцев назад написал плагин для бурпа, который декодит unicode
LamerZen
29 Nov, 06:01
Недавно решил пройти задачи, связанные с client-side на rootme.
Первым типом таких тасков выбрал XSS. Поэтому в этой статье кратко рассказал о разновидностях этой атаки и продемонстрировал решение Self XSS - DOM Secrets
Первым типом таких тасков выбрал XSS. Поэтому в этой статье кратко рассказал о разновидностях этой атаки и продемонстрировал решение Self XSS - DOM Secrets
LamerZen
25 Nov, 09:31
Вчера закончился standoff, это были увлекательные 4 дня. ШО по вулнам?
Что-то было очень простым: выкачать .git и по коммитам найти path traversal и remote file inclusion в rce
Что-то достаточно странным: фаззинг директорий и php rce с помощью метода PUT
Была также база: SSTI в шаблонизаторе Jinja2 с неплохим blacklist'ом
Помимо этого была еще куча векторов в банковском сегменте (я был за него ответственным), но чет не получилось докрутить
Хотелось бы поблагодарить всю команду Invuls за классное времяпрепровождение
Что-то было очень простым: выкачать .git и по коммитам найти path traversal и remote file inclusion в rce
Что-то достаточно странным: фаззинг директорий и php rce с помощью метода PUT
Была также база: SSTI в шаблонизаторе Jinja2 с неплохим blacklist'ом
Помимо этого была еще куча векторов в банковском сегменте (я был за него ответственным), но чет не получилось докрутить
Хотелось бы поблагодарить всю команду Invuls за классное времяпрепровождение
LamerZen
19 Oct, 12:52
BounceBack - мощный, настраиваемый и конфигурируемый реверс-прокси с функцией WAF для скрытия вашей C2/phishing/etc-инфраструктуры от блютима, песочниц, сканеров и т.д. По этой причине под капотом используется анализ трафика в реальном времени с помощью различных фильтров и их комбинаций.
Для удобства автор оставил в репе списки блокируемых слов и фильтрацию IP-адресов.
Для удобства автор оставил в репе списки блокируемых слов и фильтрацию IP-адресов.
LamerZen
15 Oct, 13:52
В прошлый раз я разобрал способ получения VPS с помощью codespace.
В этой статье описал еще несколько способов получения доступа к VPS/VDS
В этой статье описал еще несколько способов получения доступа к VPS/VDS
LamerZen
09 Oct, 07:01
Вчера прилетел на гитхабе пул-реквест на один из репозиториев, и я решил почитать предложенные исправления.
Оказалось, что codespaces (встроенный функционал) позволяет получить сервер с минимальными мощностями.
Таким образом, можно получить себе тачку с зарубежным белым IP-адресом.
Прочитать подробнее можно тут.
Оказалось, что codespaces (встроенный функционал) позволяет получить сервер с минимальными мощностями.
Таким образом, можно получить себе тачку с зарубежным белым IP-адресом.
Прочитать подробнее можно тут.
LamerZen
05 Oct, 18:28
Сегодня встретился с
Небольшой ресерч насчет этой уязвимости в посте Monkey Hacker.
TeamCity, уязвимым к CVE-2023-42793, и по этой причине написал 2 PoC'a: один для создания учётной записи администратора, второй под rce.Небольшой ресерч насчет этой уязвимости в посте Monkey Hacker.
LamerZen
30 Sep, 14:04
Несколько недель назад нашел account takeover на web.archive. И решил поделиться информацией об этом
1,224
subscribers
8
photos
11
videos
