Forwarded from Brut Security 2.0
This media is not supported in your browser
VIEW IN TELEGRAM
CVE-2024-55550 POC
🔥1
Forwarded from Cybred
🔥 9.9 Critical
Post Auth RCE для Roundсube
Небезопасная десериализация. Инжектится через GET-параметр
Пошагово, как работает эксплоит:
1. Подменяет
2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через
4. Во время вызова GPG-логики, Roundcube вызывает
5. Триггерится код из первого шага
exploit // nuclei // research
Post Auth RCE для Roundсube
Небезопасная десериализация. Инжектится через GET-параметр
_from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения. ?_task=settings&_action=upload&_from=mail%2Finbox
Пошагово, как работает эксплоит:
1. Подменяет
_from сериализованным объектом.2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через
rcube_pgp_engine → Crypt_GPG_Engine.4. Во время вызова GPG-логики, Roundcube вызывает
unserialize().5. Триггерится код из первого шага
exploit // nuclei // research
👍2
Forwarded from Turan Security
Turan Security | PIZZA CTF!
📣 Do'stlar, bizda navbatdagi yangilik!
Siz uchun 🚩 CTF (Capture The Flag) musobaqasini uyushtirishni rejalashtirdik. Kiberxavfsizlik bo‘yicha aqlni charxlaydigan qiziqarli vazifalar tayyorlab qo'yganmiz. Musobaqa g'oliblariga oldin va'da qilib o'tilgan 📚 kitoblar va 💸 pul mukofoti beriladi.
🍕Ishtirokchilar hamkorimiz Bellissimo Pizzalari bilan mehmon qilinadi.
Qo'shimchasiga kompaniyamiz mutaxassislaridan sohada rivojlanishga oid tavsiyalar olish va do'stlar orttirish imkoniyatiga ega bo'ling.
🗓 Ro‘yxatdan o‘tish muddati: 12-iyun, 2025
📆 Sana: 14-iyun, 2025
📍 Manzil: Parkent ko'chasi 74
💰 Narx: Bepul. Ro‘yxatdan o‘tish shart
🎙 Format: Offlayn
📣 Do'stlar, bizda navbatdagi yangilik!
Siz uchun 🚩 CTF (Capture The Flag) musobaqasini uyushtirishni rejalashtirdik. Kiberxavfsizlik bo‘yicha aqlni charxlaydigan qiziqarli vazifalar tayyorlab qo'yganmiz. Musobaqa g'oliblariga oldin va'da qilib o'tilgan 📚 kitoblar va 💸 pul mukofoti beriladi.
🍕Ishtirokchilar hamkorimiz Bellissimo Pizzalari bilan mehmon qilinadi.
Qo'shimchasiga kompaniyamiz mutaxassislaridan sohada rivojlanishga oid tavsiyalar olish va do'stlar orttirish imkoniyatiga ega bo'ling.
🗓 Ro‘yxatdan o‘tish muddati: 12-iyun, 2025
📆 Sana: 14-iyun, 2025
📍 Manzil: Parkent ko'chasi 74
💰 Narx: Bepul. Ro‘yxatdan o‘tish shart
🎙 Format: Offlayn
👍2
SecList for CyberStudents
https://github.com/openwall/john/blob/bleeding-jumbo/run/pfx2john.py
bruteforce .pfx files.
Example: e-imzo )
Example: e-imzo )
😁2
Forwarded from OSINT | Форензика
👽 Forensics: подборка полезных ссылок
Фреймворки
1. dff (Digital Forensics Framework) — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
2. PowerForensics — утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
3. The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.
Реал-тайм утилиты
1. grr (GRR Rapid Response) — инструмент для расследования и анализа инцидентов.
2. mig (Mozilla InvestiGator) — распределенная реал-тайм платформа для расследования и анализа инцидентов.
#Tool #Framework #Analysis #Forensics 🧿 OSINT | Форензика
Фреймворки
1. dff (Digital Forensics Framework) — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
2. PowerForensics — утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
3. The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.
Реал-тайм утилиты
1. grr (GRR Rapid Response) — инструмент для расследования и анализа инцидентов.
2. mig (Mozilla InvestiGator) — распределенная реал-тайм платформа для расследования и анализа инцидентов.
#Tool #Framework #Analysis #Forensics 🧿 OSINT | Форензика
SecList for CyberStudents
https://www.ssh-audit.com/hardening_guides.html
GitHub
GitHub - jtesta/ssh-audit: SSH server & client security auditing (banner, key exchange, encryption, mac, compression, compatibility…
SSH server & client security auditing (banner, key exchange, encryption, mac, compression, compatibility, security, etc) - jtesta/ssh-audit
Forwarded from Похек
Интересное видео с демонстрацией Account Takeover через punycode
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
🌚 @poxek
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Forwarded from Сертификат безопасности
Жители Казахстан 16kk.7z
1 GB
По просьбам трудящихся выкладываю архивный файл "
Пароль:
Жители Казахстан 16kk.csv"Пароль:
@qcakzForwarded from OSINT
Инструмент с открытым исходным кодом, разработанный специально для OSINT-анализа данных из Instagram*. Позволяет визуализировать связи между аккаунтами, хэштегами, местоположениями и другими сущностями.
Удобный интерфейс, гибкость и визуальная подача делают Osintgraph интересным решением для анализа цифровых следов в Instagram*.
*Запрещен в России и принадлежит компании Meta, признанной экстремистской и запрещённой на территории РФ
⤷ Ссылка на сервис
@osintru
Please open Telegram to view this post
VIEW IN TELEGRAM