Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11
Состоялся релиз Kali Linux 2024.4, финальная версия 2024 года.
Краткое описание изменений с момента выпуска 2024.3 в сентябре:
• Python 3.12 — новая версия Python по умолчанию (до свидания pip, привет pipx)
• Смерть i386 — прощай, x86 (образы), но не прощай пакеты
• Устаревшие функции в клиенте SSH — для подключения к очень старым SSH-серверам, теперь нужно будет использовать команду ssh1 вместо ssh
• Поддержка настройки Raspberry Pi Imager — образы Kali для Raspberry Pi теперь поддерживают применение настроек непосредственно из программного обеспечения Raspberry Pi Imager!
• Обновление форумов Kali - Пишут, что их форум ожил, но я пока что-то не верю
• Kali NetHunter — обновления для приложения, ядер, установщика, магазина и веб-сайта
И конечно новые инструменты — добавлили 14 новых утилит, включая Zenmap, sara (Submitted by @casterbyte), findomain и certy
💫 @pentestnotes
Краткое описание изменений с момента выпуска 2024.3 в сентябре:
• Python 3.12 — новая версия Python по умолчанию (до свидания pip, привет pipx)
• Смерть i386 — прощай, x86 (образы), но не прощай пакеты
• Устаревшие функции в клиенте SSH — для подключения к очень старым SSH-серверам, теперь нужно будет использовать команду ssh1 вместо ssh
• Поддержка настройки Raspberry Pi Imager — образы Kali для Raspberry Pi теперь поддерживают применение настроек непосредственно из программного обеспечения Raspberry Pi Imager!
• Обновление форумов Kali - Пишут, что их форум ожил, но я пока что-то не верю
• Kali NetHunter — обновления для приложения, ядер, установщика, магазина и веб-сайта
И конечно новые инструменты — добавлили 14 новых утилит, включая Zenmap, sara (Submitted by @casterbyte), findomain и certy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2
VK bugbounty снова сделали мега крутую сходку багхантеров😊
И даже раскрыли парочку нововведений, которые добавят в следующем году)
💫 @pentestnotes
И даже раскрыли парочку нововведений, которые добавят в следующем году)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤4👍1😱1
Уже совсем скоро начинается 7 сезон hackthebox, в котором я планирую поучаствовать и при подготовке к которому возник вопрос - может начать делать райтапы?
Ниже я запустил голосование по этому поводу
А пока вы голосуете, кратко расскажу про HTB Seasons:
В течение 13 недель каждую неделю будет появляться новая машина, которую нужно успеть взломать до выхода следующей.
На каждой машине расположены два флага:
User flag и Root flag.
По призам, обещают эксклюзивные награды и уникальные ачивки. Игроки, занявшие первые 5, 6-10 и 11-25 места в таблице лидеров, будут награждены дополнительными бонусами.
Первая сезонная машина будет выпущена 11 января 2025 года
Ниже я запустил голосование по этому поводу
А пока вы голосуете, кратко расскажу про HTB Seasons:
В течение 13 недель каждую неделю будет появляться новая машина, которую нужно успеть взломать до выхода следующей.
На каждой машине расположены два флага:
User flag и Root flag.
По призам, обещают эксклюзивные награды и уникальные ачивки. Игроки, занявшие первые 5, 6-10 и 11-25 места в таблице лидеров, будут награждены дополнительными бонусами.
Первая сезонная машина будет выпущена 11 января 2025 года
👍10🤯2
Как вы относитесь к райтапам на hackthebox?
Final Results
69%
Супер, я вообще за любой вид обмена опытом
37%
Хорошо, райтапы помогают новичкам разобраться в теме
29%
Нормально, главное флаги не палить
6%
Нейтрально/мне все равно
6%
Плохо, ведь когда пользуешься чужими решениями не думаешь сам
2%
Ужасно, я против любого вида раскрытия неофициальных решений
🔥4❤🔥2
По итогам голосования среди моих подписчиков были выявлены всего 2 сотрудника hackthebox. Это значит можно приступать к решению тачек 7 сезона
Первая машина попалась windows easy - EscapeTwo
В райтапе разберем:
• Включение хранимой процедуры xp_cmdshell
• Эксплуатацию списков контроля дискреционного доступа (DACL)
• Злоупотребление разрешением WriteOwner для смены владельца объекта
• Аутентификацию пользователя по PFX-файлу
Райтап можно найти тут
💫 @pentestnotes
Первая машина попалась windows easy - EscapeTwo
В райтапе разберем:
• Включение хранимой процедуры xp_cmdshell
• Эксплуатацию списков контроля дискреционного доступа (DACL)
• Злоупотребление разрешением WriteOwner для смены владельца объекта
• Аутентификацию пользователя по PFX-файлу
Райтап можно найти тут
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17😱3👍2😈1
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰15🤔5
Райтап на вторую сезонную тачку Backfire уже готов. В этот раз машина почти полностью посвящена C2 серверам.
В райтапе будет:
- Эксплуатация SSRF to RCE в Havoc C2.
- RCE в HardHatC2
- Эскалация привилегий через iptables
Читать тут
#HackTheBox #Season7 #Writeup #medium
💫 @pentestnotes
В райтапе будет:
- Эксплуатация SSRF to RCE в Havoc C2.
- RCE в HardHatC2
- Эскалация привилегий через iptables
Читать тут
#HackTheBox #Season7 #Writeup #medium
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14😱6
Hackthebox BigBang Writeup
В этот раз было очень больно, но тачку решили)
И разобрали небезопасную десериализацию в плагине Wordpress - BuddyForms
Читать тут
#HackTheBox #Season7 #Writeup #hard
💫 @pentestnotes
В этот раз было очень больно, но тачку решили)
И разобрали небезопасную десериализацию в плагине Wordpress - BuddyForms
Читать тут
#HackTheBox #Season7 #Writeup #hard
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15😍4
This media is not supported in your browser
VIEW IN TELEGRAM
CVE-2025-22828
В Apache CloudStack 4.16.0 и более поздних версиях обнаружена проблема с нарушением контроля доступа, которая позволяет пользователям, знающим UUID ресурсов, читать или добавлять комментарии (аннотации) к ресурсам, к которым у них нет прав доступа. (PoC)
FOFA - 1180 results
Censys - 262 results
Shodan - 185 results
💫 @pentestnotes
В Apache CloudStack 4.16.0 и более поздних версиях обнаружена проблема с нарушением контроля доступа, которая позволяет пользователям, знающим UUID ресурсов, читать или добавлять комментарии (аннотации) к ресурсам, к которым у них нет прав доступа. (PoC)
FOFA - 1180 results
Censys - 262 results
Shodan - 185 results
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13
Hackthebox Cat Writeup
XSS —> SQLi —> Logs —> XSS (Again)
Зато научились воровать печеньки
Читать тут
#HackTheBox #Season7 #Writeup #medium
💫 @pentestnotes
XSS —> SQLi —> Logs —> XSS (Again)
Зато научились воровать печеньки
Читать тут
#HackTheBox #Season7 #Writeup #medium
Please open Telegram to view this post
VIEW IN TELEGRAM
😈11👍5🔥3
Hackthebox Titanic Writeup
LFI —> Gitea —> ImageMagick (CVE-2024-41817)
Читать тут
#HackTheBox #Season7 #Writeup #easy
💫 @pentestnotes
LFI —> Gitea —> ImageMagick (CVE-2024-41817)
Читать тут
#HackTheBox #Season7 #Writeup #easy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤🔥3👍3❤1🤔1
Forwarded from true_security
нашел и решил написать про небольшую фичу в BitrixVM:
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
Telegraph
bitrixvm lpe из коробки
Слово bitrix уже как 3 года в переводе с молдаванского означает рукалицо. Сегодня расскажу вам про интересную фичу bitrixvm. Возможно кто то из вас с этим сталкивался, для меня это было новым. После получения доступа к серверу с bitrix мы обычно имеем права…
👍8😱5🔥4
На VK security confub показали как правильно писать bb отчёты, чтобы их максимально быстро протриажили
🔥10🌚7👾2