[Доклад на PHD2!]
Всем привет!👋
Уже опубликовали программу на известную всем конференцию PHD2. Мой доклад попал в программу!
IP-камера: инструкция по применению
Подглядывать за охранниками через незащищенный RTSP — неинтересно❕
Куда круче:
✅ получить shell на камере
✅ запулить на нее C2
✅ запивотиться
Расскажу:
➡ как это делается
➡ какие есть нюансы у разных производителей
➡ чем могут помочь базовые навыки реверса
Покажу готовые решения для эксплуатации на реальных примерах.
Все, кто будет в Лужниках, приходите🐈 25 мая в 14:15 (МСК) на трэк OFFENSE!
Остальные - обязательно смотрите трансляцию!🖥 👀
🙏 🙏 🙏
#PHD2 #pivoting #conference
Всем привет!
Уже опубликовали программу на известную всем конференцию PHD2. Мой доклад попал в программу!
IP-камера: инструкция по применению
Подглядывать за охранниками через незащищенный RTSP — неинтересно
Куда круче:
Расскажу:
Покажу готовые решения для эксплуатации на реальных примерах.
Все, кто будет в Лужниках, приходите
Остальные - обязательно смотрите трансляцию!
#PHD2 #pivoting #conference
Please open Telegram to view this post
VIEW IN TELEGRAM
[Ищем секреты с net-creds python3]
Всем привет!👋
Иногда на пентестах требуется послушать трафик или проанализировать pcap-файл, чтобы найти там секретики.
Многие слышали про крутейшую тулзуnet-creds 💻 .
Она хороша всем, кроме использования python2.
И вот теперь силами нашего практиканта была реализована новая версия net-creds💻 .
Из плюсов:
➖ поддержка python3
➖ добавлены pcap example
Какие еще знаете аналоги для анализа трафика на секреты❔
Пишите варианты в комментариях❗
#learn #start #internal #nets
Всем привет!
Иногда на пентестах требуется послушать трафик или проанализировать pcap-файл, чтобы найти там секретики.
Многие слышали про крутейшую тулзу
Она хороша всем, кроме использования python2.
И вот теперь силами нашего практиканта была реализована новая версия net-creds
Из плюсов:
Какие еще знаете аналоги для анализа трафика на секреты
Пишите варианты в комментариях
#learn #start #internal #nets
Please open Telegram to view this post
VIEW IN TELEGRAM
[Подкаст - роль профильного образования в карьере пентестера]
Всем привет!👋
🔊 Вышел новый выпуск нашего замечательного подкаста.🖱
У нас в гостях:
⭐ @Michaelzhm - пентестер, студент бакалавра УрФУ РТФ
⭐ @WILD_41 - пентестер, студент магистрант УрГУПС
💗 Получился очень занимательный и живой диалог с ребятами, думаю многим будет интересно и полезно послушать про их опыт.
Вопросы, которые успели обсудить:
🔘 Где и зачем учитесь ❓
🔘 Почему выбрали учебу в ИБ? 💟
🔘 На сколько тяжело совмещать работу и учебу? 👨💻 🏪
🔘 Что мотивирует на работу, только деньги? 💰
🔘 В ИТ платят больше, чем в ИБ? 💵
🔘 Как искали первую работу? На что обращали внимание?1⃣
🔘 Ваше отношение к black-индустрии ❔
🔘 Совет для начинающих? 🤔
✏ Если после подкаста у вас остались к ребятам вопросы, не стесняйтесь - пишите в комментариях❗
Также напоминаем про наши прошлые выпуски:
🚀 Опять мошенники: что такое «фишинг» и как его избежать
🚀 Кибершпионаж через беспроводные клавиатуры и мыши. Атака MouseJack
#talk #learn #start
Всем привет!
У нас в гостях:
Вопросы, которые успели обсудить:
Также напоминаем про наши прошлые выпуски:
#talk #learn #start
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем привет!👋
@VlaDriev уже во всю рассматривает Лужники на PHD fest 2
Потихоньку люди подтягиваются. Приходите и вы - будет интересно!
Также мои коллеги @VlaDriev и @Wdanya выступят с докладами на fast track уже 25 мая в 14:00 и 14:15 (Мск).
Анонсы докладов можно посмотреть тут и тут
Парни обещают годный контент😎
#PHD2 #conference
@VlaDriev уже во всю рассматривает Лужники на PHD fest 2
Потихоньку люди подтягиваются. Приходите и вы - будет интересно!
Также мои коллеги @VlaDriev и @Wdanya выступят с докладами на fast track уже 25 мая в 14:00 и 14:15 (Мск).
Анонсы докладов можно посмотреть тут и тут
Парни обещают годный контент😎
#PHD2 #conference
Всем привет!👋
Ну вот и закончился PHD2.
За время фестиваля я успел встретиться с подписчиками!❤ На самом деле не ожидал этого, но было очень приятно, обязательно будем поддерживать общение и дальше! Надеюсь, что такие встречу станут регулярными и нас будет становиться все больше! Ребятам обязательно подарю книгу 👌 с моими статьями!
🔝 Послушал несколько топовых докладов и дискуссий. Ребята прям крутые, скоро запилим наш личный топ❗
📌 Выступил с докладом, презу залью следующим постом.
❤ Встретил многих знакомых, классно провел время ❤
🙏 Спасибо организаторам за это мероприятие.
Всем позитива!
Оставайтесь с нами, скоро будем радовать вас годным контентом!📆
Пишите в комментариях, какие доклады вам зашли больше всего!
#PHD2 #conference
Ну вот и закончился PHD2.
За время фестиваля я успел встретиться с подписчиками!
Всем позитива!
Оставайтесь с нами, скоро будем радовать вас годным контентом!
Пишите в комментариях, какие доклады вам зашли больше всего!
#PHD2 #conference
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
IP_camera_RCE_pivoting.pdf
5.1 MB
[Презентация с доклада]
Всем привет!👋
Наконец-то добрался до презентации с PHD2.
📌 Она доступна в приложении.
Основные тезисы:
➡️ камеры на пентестах это в первую очередь RCE/pivoting
➡️ смотрим дефолтные пароли, включаем SSH/Telnet
➡️ качаем прошивку и смотрим, ищем hard code
➡️ в крайнем случае модифицируем прошивку и обновляем (Но тут предельно осторожно ⚠️ )
Также ссылка на запись выступления🖥
#PHD2 #conference #internal
Всем привет!
Наконец-то добрался до презентации с PHD2.
Основные тезисы:
Также ссылка на запись выступления
#PHD2 #conference #internal
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
[Защита детей]
Всем привет!👋
Сегодня международный день защиты детей!😀
В современных реалиях люди с раннего возраста взаимодействуют с цифровым миром, в котором их подстерегают различные угрозы😀 😀 😀 😀
И в связи с этим хотим поделиться ссылками на полезные материалы, которые помогут защититься от угроз😀 :
😀 Тематический подкаст UCS Talk
😀 Доклад с PhD2
😀 Курс для родителей
😀 Киберсказки
😀 Смешарики
😀 Легендарные Фиксики
Всем добра и мира!😀 😀 😀 😀 😀
#learn #talk
Всем привет!
Сегодня международный день защиты детей!
В современных реалиях люди с раннего возраста взаимодействуют с цифровым миром, в котором их подстерегают различные угрозы
И в связи с этим хотим поделиться ссылками на полезные материалы, которые помогут защититься от угроз
Всем добра и мира!
#learn #talk
Please open Telegram to view this post
VIEW IN TELEGRAM
[Подборка докладов]
Всем привет!👋
Просмотрели с парнями множество докладов и готовы порекомендовать вам те, которые нам зашли больше всего👏 :
1⃣ Регионы памяти, или Как я не туда шеллкод загрузил
2⃣ Новая техника ACL-абьюзеров (Active Directory)
3⃣ Выявление многоэтапных SQL-инъекций
4⃣ Тонкости импортозамещения CMS. Собираем bug bounty и БДУ по реестру отечественного ПО
5⃣ Учат в школе
6⃣ Вам письмо: старые новые атаки на почту
7⃣ Trust no one: red-teaming-инфраструктура на стероидах
8⃣ Как бы я взломал...Рунет
Пишите в комментариях, какие доклады понравились вам и почему📝 📝 📝
#PHD2 #conference #top
Всем привет!
Просмотрели с парнями множество докладов и готовы порекомендовать вам те, которые нам зашли больше всего
Пишите в комментариях, какие доклады понравились вам и почему
#PHD2 #conference #top
Please open Telegram to view this post
VIEW IN TELEGRAM
[Bitrix24 pwn]
Всем привет!👋
Наткнулся на интересную статью о компрометации Bitrix24. Из ключевого:
➡ Компрометация через мобильное приложение
➡ Много OSINT
Ломаем корпоративный портал Bitrix24 через мобильное приложение.
Всегда старайтесь проявлять креатив и смотреть чуть шире и скорее всего все получится👍
#bitrix24 #pwn #osint
Всем привет!
Наткнулся на интересную статью о компрометации Bitrix24. Из ключевого:
Ломаем корпоративный портал Bitrix24 через мобильное приложение.
Всегда старайтесь проявлять креатив и смотреть чуть шире и скорее всего все получится
#bitrix24 #pwn #osint
Please open Telegram to view this post
VIEW IN TELEGRAM
[IP-камеры на пентестах. Используем видеокамеры не по назначению]
Всем привет!👋
Вышла моя статья на xakep. В статье разбирается 4 кейса компрометации камеры:
🔘 Кейс 1: пароль по умолчанию
🔘 Кейс 2: уязвимость в прошивке
🔘 Кейс 3: хардкод в прошивке
🔘 Кейс 4: модификация прошивки
Если знаете статьи с ресерчами камер, киньте в комменты, пожалуйста💓
#xakep #cameras #magazine #GigaHackers
Всем привет!
Вышла моя статья на xakep. В статье разбирается 4 кейса компрометации камеры:
Если знаете статьи с ресерчами камер, киньте в комменты, пожалуйста
#xakep #cameras #magazine #GigaHackers
Please open Telegram to view this post
VIEW IN TELEGRAM
[Минута мотивации для этичных хакеров]
Всем привет!👋
Недавно я решил попробовать себя в Bug Bounty. Пока уязвимости не такие крутые, но тем не менее уже удалось получить свою первую ачивку, чему очень рад!
Если бы мне ещё пол года назад сказали, что у меня будет хотя бы 1 подтвержденный репорт - я бы не поверил сразу :)
Всегда приятно получать символические презенты в деле, которое тебе искренне нравится. Это создает соревновательный дух и дополнительно мотивирует двигаться дальше в нашей сфере🦾
Помните, что всему можно научиться. Никто не рождается гуру-хакером из коробки. Уверен, что труд и прилежание всегда окупаются. Двигайтесь вперед, планомерно, в своем темпе, но на регулярной основе. И не останавливайтесь на достигнутом, тогда вас обязательно ждет успех!🔥
P/S Есть ли ещё багхантеры среди нас? Пишите в комментарии👍🏻
#bug_bounty #motivation
Всем привет!👋
Недавно я решил попробовать себя в Bug Bounty. Пока уязвимости не такие крутые, но тем не менее уже удалось получить свою первую ачивку, чему очень рад!
Если бы мне ещё пол года назад сказали, что у меня будет хотя бы 1 подтвержденный репорт - я бы не поверил сразу :)
Всегда приятно получать символические презенты в деле, которое тебе искренне нравится. Это создает соревновательный дух и дополнительно мотивирует двигаться дальше в нашей сфере🦾
Помните, что всему можно научиться. Никто не рождается гуру-хакером из коробки. Уверен, что труд и прилежание всегда окупаются. Двигайтесь вперед, планомерно, в своем темпе, но на регулярной основе. И не останавливайтесь на достигнутом, тогда вас обязательно ждет успех!🔥
P/S Есть ли ещё багхантеры среди нас? Пишите в комментарии👍🏻
#bug_bounty #motivation
[📱iOS — cниффим трафик Flutter приложения]
Всем привет! 👋
Недавно столкнулся с приложением на
Особенность заключается в том, что некоторые приложения Flutter/Dart могут использовать встроенные сертификаты вместо системных, что делает невозможным использование пользовательских сертификатов, установленных на устройстве. Также одной из причин может быть игнорирование стандартных настроек прокси, которые обычно используются для перенаправления трафика в Burp.
Данная тема не обходится через стандартный
💻 https://github.com/hackcatml/frida-flutterproxy - проксирование через бурп
💻 https://codeshare.frida.re/@zionspike/bypass-flutter-pinning-ios/ - скрипт для обхода пиннинга
#mobile #appsec
Всем привет! 👋
Недавно столкнулся с приложением на
flutter для iOS. Данный фреймворк имеет некоторые особенности в плане работы с протоколом HTTP.Особенность заключается в том, что некоторые приложения Flutter/Dart могут использовать встроенные сертификаты вместо системных, что делает невозможным использование пользовательских сертификатов, установленных на устройстве. Также одной из причин может быть игнорирование стандартных настроек прокси, которые обычно используются для перенаправления трафика в Burp.
Данная тема не обходится через стандартный
objection, однако ИБ комьюнити выручает и можно использовать, например, скрипты ниже для проксирования и обхода пиннинга.💻 https://github.com/hackcatml/frida-flutterproxy - проксирование через бурп
💻 https://codeshare.frida.re/@zionspike/bypass-flutter-pinning-ios/ - скрипт для обхода пиннинга
#mobile #appsec
[ Bitrix — поговорим о наболевшем ]
Всем привет!👋
Многие неоднократно слышали о CMS Bitrix — весьма удобная система для управления сайтом. Однако сильно уязвимая из "коробки". Об эксплуатации многих нюансов и уязвимостей было не раз сказано в комьюнити этичных хакеров.
Сейчас я хочу внести свой скромный вклад и рассказать о замеченных мною недостатках и особенностях этой CMS.
Данные мелочи не раз помогали мне как на Bug Bounty, так и на проектах по внешнему пентесту.
Надеюсь, что эти маленькие нюансы в сумме смогут помочь вам и вашей команде на проектах.
Приятного чтения:)
#bitrix24 #web #bug_bounty
Всем привет!👋
Многие неоднократно слышали о CMS Bitrix — весьма удобная система для управления сайтом. Однако сильно уязвимая из "коробки". Об эксплуатации многих нюансов и уязвимостей было не раз сказано в комьюнити этичных хакеров.
Сейчас я хочу внести свой скромный вклад и рассказать о замеченных мною недостатках и особенностях этой CMS.
Данные мелочи не раз помогали мне как на Bug Bounty, так и на проектах по внешнему пентесту.
Надеюсь, что эти маленькие нюансы в сумме смогут помочь вам и вашей команде на проектах.
Приятного чтения:)
#bitrix24 #web #bug_bounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM