Похек – Telegram

Похек

16.4K subscribers

2.08K photos

110 videos

243 files

3.06K links

All materials published on the channel are for educational and informational purposes only.

Мнение автора ≠ мнение компании, где работает автор

Чат: @poxek_chat

Реклама: @PoxekAds_bot или
https://telega.in/c/poxek

РКН: https://clck.ru/3FsVhp

Download Telegram

About

Blog

Apps

Platform

16.4K subscribers

🌚

OverTheWire Bandit
#лаба

Спонтанный пост для тех, кто ищет чем заняться на выходных)
Полезная головоломка для начинающих специалистов и "повторение - мать учения" для прожжённых самоварчиков.

Смысл сей авантюры в том, что вы с 0 до 34 уровня должны подключаться по ssh к следующему уровню. А как это сделать вам и придется выяснить :))
Эта игра будет полезна в первую очередь для начинающих в освоении Linux на базовом уровне и по ходу решения уровней, сможете постигать тонкости нативных утилит.

ssh [email protected] -p 2220

🌲

Please open Telegram to view this post

VIEW IN TELEGRAM

10❤3👎11

2.12K viewsSergey Zybnev, 18:37

SSH ProxyCommand == RCE
CVE-2023-51385
#RCE

SSH’s ProxyCommand is a feature quite widely used to proxy ssh connections by allowing to specify custom commands to be used to connect to the server. Arguments to this directive may contain tokens like %h, %u which refer to hostname and username respectively.

When coming from untrusted sources, a hostname can be malicious and look something like malicious-command (backticks would allow a command to be executed in shell)

Malicious config:

Host *.example.com
  ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p

Latest PoC:

url = ssh://'`open -aCalculator`'foo.example.com/bar

Exploit: https://github.com/vin01/poc-proxycommand-vulnerable-v2

For Remediation you need update to:
OpenSSH 9.6p1
libssh 0.10.6 and 0.9.8

🌚

Please open Telegram to view this post

VIEW IN TELEGRAM

👎108❤33

2.33K viewsSergey Zybnev, 09:01

Forwarded from AKTIV.CONSULTING

⚡️

Не пропустите свежий выпуск подкаста «Безопасный выход»!

Ведущие Анастасия Харыбина, Тимофей Матреницкий и приглашенный эксперт Алексей Петухов обсудили одну из самых актуальных тем для многих компаний — проблему кадрового голода 🍽

Участники подкаста рассмотрели:

⏩откуда взялась проблема нехватки ИБ-кадров;

⏩какие существуют регуляторные требования и профессиональные стандарты, и как они влияют на рынок;

⏩что необходимо сделать для популяризации профессии ИБ-специалиста среди молодежи;

⏩почему компаниям-лидерам отрасли важно объединяться для обмена опытом и лучшими методиками для подготовки сотрудников;

⏩что стоит взять на вооружение организациям для решения проблем кадрового голода.

Смотрите и слушайте, где вам будет удобно:

📹 Youtube

💬 VK Видео

🎧 Аудио

Приятного просмотра и прослушивания!

#подкаст

Please open Telegram to view this post

VIEW IN TELEGRAM

7☃2🔥21

2.08K viewsSergey Zybnev, 13:01

This media is not supported in your browser

VIEW IN TELEGRAM

🌚

БагБаунти с АстраЛинус или то, что нужно знать о защищённости защищённой ОС

Автор захотел поделиться своим опытом участия в программе баг-хантинга ГК Астра (да, да - именно той, которая недавно совершила ~~каминг‑аут~~ IPO) на платформе BI.ZONE Bug Bounty.

Опыта участия в публичных программах поиска багов у него до этого не было, а первичной мотивацией было стремление посмотреть на Astra Linux в контексте информационной безопасности и в целом оценить собственные возможности в поиске дефектов данной ОС, ведь за плечами у него уже был богатый опыт ковыряния ядра да и вообще, линуксов.

🌚

Please open Telegram to view this post

VIEW IN TELEGRAM

12😈2

2.41K viewsSergey Zybnev, edited 07:02

💰

С Наступающим Новым Годом!

🌲

Please open Telegram to view this post

VIEW IN TELEGRAM

❤27☃1152👎1

2.22K viewsSergey Zybnev, 09:01

Forwarded from SecuriXy.kz

#BB #H1 #HackerOne Уходит с Казахстана в плане выплат...

👎11🎉5🥰3🎄3🤩1

2.06K viewsSergey Zybnev, 14:27

🌚

AuthLogParser
#linux #LPE

Если кратко, то скрипт на PowerShell парсит логи на наличие данных авторизации. На первый взгляд классная штука.

Как получится воспользоваться на проекте, отпишу фидбек)

🌚

Please open Telegram to view this post

VIEW IN TELEGRAM

❤‍🔥9❤11

2.42K viewsSergey Zybnev, 07:00

Forwarded from Blue (h/c)at Café (Женя Белкин '";DROP DATABASE db_name();--)

📝

Аудит спецификаций API на наличие уязвимостей логики

Продолжаем разговор про тестирование API. На этот раз не будет докера, мне было максимально лениво разбираться с Rust, не с игрой, а языком (Go для умных).

Инструмент, которым я буду сам пользоваться называется CherryBomb.

🗣 Краткое описание:

- Написан на Rust
- Имеет варианты запуска (info, normal, intrusive(не работает) , passive, full
- Требуется файл OpenAPI v3 в формате json (можете ваши yml переводить в него тут)

📌

Тестирование проводил всё на том же VAmPI

🗣 Использование:

cherrybomb --file openapi.json --profile full --ignore-tls-errors true -o report.json --format json

🗣 Репорт файл:

Жаль, что я не могу делать развёрнутые посты с несколькими скринами и подобным, но если кратко - умеет в читаемый вид (table), а также в формате json

📌

В скором времени напишу парсер в sarif или для defect dojo

#opensource #devsecops

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥12❤22

2.68K viewsSergey Zybnev, 13:00

Forwarded from PRO:PENTEST

😈

ПРОЕКТНЫЕ КЕЙСЫ:

🔥

ОБХОД СИСТЕМЫ СКУД В БЦ - https://t.iss.one/pro_pentest/11

🔥

КРАЖА ПРОПУСКА - https://t.iss.one/pro_pentest/17

🔥

ВЗЛОМ БАНКА - https://t.iss.one/pro_pentest/19

🔥

ВЗЛОМ КИНОСТУДИИ - https://t.iss.one/pro_pentest/20

🔥

ФИЗИКА С ЗАДЕРЖАНИЕМ ФСБ - https://t.iss.one/pro_pentest/36

🔥

ПРОЕКТ НА МИЛЛИОН - https://t.iss.one/pro_pentest/39

🔥

ВЗЛОМ БАНКА 2 - https://t.iss.one/pro_pentest/75

🔥

ВЗЛОМ ОТЕЛЯ - https://t.iss.one/pro_pentest/88

🔥

ВЗЛОМ НА ВЫСОТЕ - https://t.iss.one/pro_pentest/112

🤔

СТАТЬИ:

💯

ВВЕДЕНИЕ В НЛП ЧАСТЬ 1 - https://t.iss.one/pro_pentest/13

💯

ВВЕДЕНИЕ В НЛП ЧАСТЬ 2 - https://t.iss.one/pro_pentest/16

💯

ШАТАЕМ WI-FI (КАРМАННАЯ ШПОРА) - https://t.iss.one/pro_pentest/64

💯

ФИЗИЧЕСКИЙ ПЕНТЕСТ - https://xakep.ru/2023/01/19/physical-pentest/#toc13

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥172⚡1

2.24K viewsSergey Zybnev, 07:00

Forwarded from BI.ZONE Bug Bounty

🏆

No more tears, good vibes only: подводим итоги года

Мы думали-думали, что же такое особенное подарить нашей десятке лучших... А потом как придумали! На двух загадочных фото в посте — подсказка ;)

А это список самых крутых багхантеров на нашей платформе в 2023 году:

1️⃣r0hack
2️⃣al88nsk
3️⃣artebels
4️⃣kwel
5️⃣ub1k
6️⃣BlackFan
7️⃣hodiebee
8️⃣freeman
9️⃣sergeym

1️⃣

0️⃣zero-0x00

1️⃣

1️⃣arkiix

Хотим сказать спасибо всем, кто упорно багхантил на платформе весь год и поддерживал нас.

А всех из десятки от души поздравляем, в ближайшее время свяжемся и отправим подарки.

Stay tuned!

UPD
arkiix влетел в рейтинг уже после подведения итогов, так что наш топ-10 магией Деда Мороза превратился в топ-11. Так держать!

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥10❤‍🔥1🎄11

2.19K viewsSergey Zybnev, 10:59

E-mail Injection; Инъекции в почтовую функциональность веб-приложений

Порой разработчикам необходимо создавать формы – разделы для сбора информации от пользователей веб-приложения. Было придумано множество способов обработки и сбора ответов пользователей на формы. Выбор подходящего зависит от спектра условий: вида и предполагаемого объёма данных, допустимого объёма выделенного хранилища, желаемых характеристик доступа, ... ;

Так сложилось, что одним из вариантов решения упомянутой задачи является использование электронной почты. Электронная почта – комплексная технология, в работе которой задействован целый список компонентов.

👉

Сохраняй

🌚

Please open Telegram to view this post

VIEW IN TELEGRAM

12

2.58K viewsSergey Zybnev, 13:00

GIGANEWS. Главные события 2023 года по версии «Хакера»

Год подходит к концу, некоторые уже начинают резать салаты, а значит, пришло время оглянуться назад и вспомнить самые важные, интересные и забавные события, которыми он нам запомнится. По традиции мы составили для тебя подборку наиболее ярких взломов, атак, уязвимостей, фейлов и других событий уходящего 2023 года. Будет интересно, погнали!

В статье подвели итоги по следующим аспектам:
- Атака года
- Уязвимость года
- Утечка года
- Исследование года
- Блокировка года
- Нарушитель приватности года
- Малварь года
- Хардверный взлом года
- Странность года
- Фейл года
- Хайп года

👉

Очень советую прочитать тем, кто особо не следил за ИБ новостями.

🌚

Please open Telegram to view this post

VIEW IN TELEGRAM

103

2.77K viewsSergey Zybnev, 07:00

Не ну вы поняли)

Новые программы для тех, кто не собирается отдыхать на новогодние праздники

🌚

Please open Telegram to view this post

VIEW IN TELEGRAM

21😎8⚡1

2.77K viewsSergey Zybnev, 12:49

Forwarded from Android Security & Malware

Android Deep Links exploitation
https://z4ki.medium.com/android-deep-links-exploitation-4abade4d45b4

Android Deep Links exploitation

Recently, I have been studying Android penetration testing, and I came across a new topic called ‘Deep Links’. Since it is a new topic to…

2.69K viewsSergey Zybnev, 13:01

🌚 А вот и моя статистика подъехала. Практически миллион просмотров на постах за год. Великая цифра!!
В следующем году постарается сделать как минимум х1.5, а то и больше!!
А также +3.5к подписчиков на канале, то бишь канал за этот год вырос в более чем 2 раза. Всем спасибо, что вы были этот год со мной. Следующий год обещает быть ещё более взрывным!! 🪄

🪄

Please open Telegram to view this post

VIEW IN TELEGRAM

❤25❤‍🔥8🔥43👏1

3.35K viewsSergey Zybnev, 18:24

🌚 А вот и моя статистика подъехала. Практически миллион просмотров на постах за год. Великая цифра!! В следующем году постарается сделать как минимум х1.5, а то и больше!! А также +3.5к подписчиков на канале, то бишь канал за этот год вырос в более чем 2…

Меня тут поправили. Не в 2 раза канал вырос, а в 6 раз практически 😁

☃144🎄31

3.2K viewsSergey Zybnev, 09:50

⚠️

⚠️

⚠️

⚠️

⚠️ Знаете что мне нравится? Аудитория канала :)

🌲 Наконец-то настали новогодние выходные. Кто-то вчера досдал проекты, кто-то планирует багхантить, пока остальные отдыхают. Я лично собираюсь так сильно отоспаться, насколько мне хватит сил. Что и вам рекомендую :D

🌚 Этот год вышел вполне успешым. Побывал мне кажется в 5 раз больше на конференциях, чем в прошлом году. Какие-то дали новых знакомых, какие-то помогли найти новую любимую работу, какие-то были душными и бесполезными (Газпром.тех я про тебя). Открытие 🏠 КиберДома было интересным событием второго полугодия 2023 года. Успешно выступал, как на тему ИБэшечка (фирменная преза), так и на тему Pivoting. За все выступления получал огромный фидбек от знакомых и ранее не знакомых людей, что было очень приятно 🙏 . Ну и конечно ребрендинг канала, который прошёл настолько успешно, насколько даже я не ожидал, если честно)

🌚 Но, но, но будущий год обещает быть ещё лучше 🌚
Новые партнёрства, постараюсь выступать почаще (если буду успевать готовить темы), прогрессивный рост канала, улучшение контента: постараюсь делать контент одновременно для начинающих ребят и для тех, кто уже разбираются.

🌚 Обязательно выпущу мерч Похек. Планируются как минимум стикерпаки и футболки. Пока проблемы с нахождением годных производителей. Если у вас есть опыт заказа, то напишите в ЛС, пожалуйста.

🌚 А ещё, кое что очень крутое готовим. Будет ... а вот узнаете в следующем году

👉Всем спасибо, дальше будет ещё интереснее!! Всех с наступающим Новым Годом ❤️

🌚

Please open Telegram to view this post

VIEW IN TELEGRAM

❤257🔥6🎄4❤‍🔥22⚡1

4.56K viewsSergey Zybnev, edited 16:22

Похек pinned «

⚠️

⚠️

⚠️

⚠️

⚠️ Знаете что мне нравится? Аудитория канала :) 🌲 Наконец-то настали новогодние выходные. Кто-то вчера досдал проекты, кто-то планирует багхантить, пока остальные отдыхают. Я лично собираюсь так сильно отоспаться, насколько мне хватит сил. Что и вам…»

12:46