-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Форум информационной безопасности - Codeby.net
Статья Weevely или оставляем дверь приоткрытой
Добрый день, виртуальные волшебники. На сегодняшний день, очень популярно оставлять на хакнутых сайтах подсказки, следы, такие как выдуманное название несуществующей хакерской группировки, или как правило, "Hacked by Вася Пупкин".
После того как сисадмин поймет неладное, он сразу пойдет забэкапить базу данных, меняя все данные для входа, начиная админ панелью и заканчивая FTP сервером. Но, одно большое но.
На личном опыте удостоверился, что 70% админов, не чекают, а вдруг в корне бэкдор с волшебной точной в начале?
А ведь почти ни один из файловых менеджеров не видит скрытые файлы, понимаете о чем я?
Так вот, ленивый админ, жди того же Васю очередной раз в гостях на сервере. А как? Что дает этот бэкдор?
Да так, всего лишь [COLOR=rgb(97, 189...
После того как сисадмин поймет неладное, он сразу пойдет забэкапить базу данных, меняя все данные для входа, начиная админ панелью и заканчивая FTP сервером. Но, одно большое но.
На личном опыте удостоверился, что 70% админов, не чекают, а вдруг в корне бэкдор с волшебной точной в начале?
А ведь почти ни один из файловых менеджеров не видит скрытые файлы, понимаете о чем я?
Так вот, ленивый админ, жди того же Васю очередной раз в гостях на сервере. А как? Что дает этот бэкдор?
Да так, всего лишь [COLOR=rgb(97, 189...
Статья ASM для х86. (5.0.) Cтек TCP/IP. WinSock
Предыдущие части 1,2,3,4 можно найти здесь..
В этой части:
Продолжу тему ассемблера, и в этой части уделю внимание программированию сетей.
Дело это не для слабонервных, ..придётся осваивать кучу системных структур, таких как заголовки пакетов и прочее. Обстановку нагнетают и неимоверно богатые возможности сетевых сокетов, однако всё это с лихвой окупается новыми знаниями. Если рассматривать каждую мелочь, то запутаемся в терминах и на выходе получим винегрет. С другой стороны, в архитектуре сети всё переплитается в клубок и если что-то упустить, то на следующих уровнях нас ждёт инфо-дыра. Так-что выберу золотую середину, не углубляясь сильно в теоритическую муть. Материал рассчитан на тех, кто никогда не имел дело с программированием сети, но хотел-бы заняться этим...
В этой части:
- Общие сведения
- Сокеты и библиотека WinSock
- Обзор функций WinPcap
Продолжу тему ассемблера, и в этой части уделю внимание программированию сетей.
Дело это не для слабонервных, ..придётся осваивать кучу системных структур, таких как заголовки пакетов и прочее. Обстановку нагнетают и неимоверно богатые возможности сетевых сокетов, однако всё это с лихвой окупается новыми знаниями. Если рассматривать каждую мелочь, то запутаемся в терминах и на выходе получим винегрет. С другой стороны, в архитектуре сети всё переплитается в клубок и если что-то упустить, то на следующих уровнях нас ждёт инфо-дыра. Так-что выберу золотую середину, не углубляясь сильно в теоритическую муть. Материал рассчитан на тех, кто никогда не имел дело с программированием сети, но хотел-бы заняться этим...
Soft ReconCobra
Добрый день,Друзья и Уважаемые Форумчане
Сегодня представлю вам framework по сбору информации о ресурсе.
Автором этого инструмента является Haroon Awan.
И представляет школу пентеста Азии из Пакистана.
Инструмент очень объёмный,включает в себя много различных модулей.
Служит он для проверки безопасности сайта,выявления недочётов,способных привести к несанкционированному доступу.
Обнаружение брешей в настройках брандмауэра на наличие утечек конфиденциальной информации.
Проверяет обнаружение внутренних и внешних сетей.
Фактически может проверить всю инфраструктуру ресурса.
Практически же,предоставляет,исчерпывающую информацию согласно определению Information Gathering.
Установка на Kali Linux:
Аналогичная установка...
Сегодня представлю вам framework по сбору информации о ресурсе.
Автором этого инструмента является Haroon Awan.
И представляет школу пентеста Азии из Пакистана.
Инструмент очень объёмный,включает в себя много различных модулей.
Служит он для проверки безопасности сайта,выявления недочётов,способных привести к несанкционированному доступу.
Обнаружение брешей в настройках брандмауэра на наличие утечек конфиденциальной информации.
Проверяет обнаружение внутренних и внешних сетей.
Фактически может проверить всю инфраструктуру ресурса.
Практически же,предоставляет,исчерпывающую информацию согласно определению Information Gathering.
Установка на Kali Linux:
Код:
# git clone https://github.com/haroonawanofficial/ReconCobra.git
# cd Reconcobra
# chmod u+x *.sh
# bash Kali_Installer.sh -команда установки модулей
# perl ReconCobra.pl -это команда запуска после установкиSoft Kn0ck framework
Приветствую Уважаемых Форумчан,Друзей и Читателей.
Сегодня будет немного сумбурный обзор,на который потратил много времени.
Потребовалось снести свою лабораторию для освобождения мест.
И решил обновить дистрибутивы Kali и Parrot для VBox.
В результате,вы видите обзор на Kali Linux 2019.2
Parrot 4.6 проиграла на сей раз,даже был неприятно удивлён.
На обоих дистрах уже готовы пакеты git,на Parrot предустановлен сканер OpenVas и много ещё чего,что порадовало,пока..
Пока не увидел,как firefox насмерть вешает систему,которая виснет также намертво,как и другие инструменты.
Переустановил Libreoffice,Firefox и многое другое,в итоге сделал вывод,что лучше пока пользоваться предыдущей версией.
Это было так,к слову,коротка заметка.
А инструмент,о котором хотелось бы поговорить,называется Kn0ck.
Создал его Faruq (telnet22).
Не совсем обычный получился небольшой framework для Pentest.
Установка:
Сегодня будет немного сумбурный обзор,на который потратил много времени.
Потребовалось снести свою лабораторию для освобождения мест.
И решил обновить дистрибутивы Kali и Parrot для VBox.
В результате,вы видите обзор на Kali Linux 2019.2
Parrot 4.6 проиграла на сей раз,даже был неприятно удивлён.
На обоих дистрах уже готовы пакеты git,на Parrot предустановлен сканер OpenVas и много ещё чего,что порадовало,пока..
Пока не увидел,как firefox насмерть вешает систему,которая виснет также намертво,как и другие инструменты.
Переустановил Libreoffice,Firefox и многое другое,в итоге сделал вывод,что лучше пока пользоваться предыдущей версией.
Это было так,к слову,коротка заметка.
А инструмент,о котором хотелось бы поговорить,называется Kn0ck.
Создал его Faruq (telnet22).
Не совсем обычный получился небольшой framework для Pentest.
Установка:
Код:
# git clone https://github.com/telnet22/Kn0ck.git
# cd Kn0ck/
# chmod +x install.sh...Статья Несколько вариантов PHP backdoor, или Wordpress и самый популярный плагин для поиска malware.
Содержание:
Предисловие
Приветствую читателей Codeby.net!
В статье @r0hack привёл пример как фрилансер может подстраховаться от недобросовестного заказчика оставив для себя небольшой backdoor( открытую дверцу...) в коде продукта разработанного на заказ.
Приведённый вариант используется только как пример, ведь такую закладку легко обнаружит стандартный антивирусный сканер, даже стационарный AVG при открытие страницы со статьёй начинает ругаться:
Что говорить уж о специально заточенных продуктах под "web backdoor", конечно такой код будет сразу же выявлен и обезврежен.
В этой...
- Предисловие
- Введение
- Популярный плагин для поиска malware
- Популярные web "backdoor"
- Примеры "backdoor" которые не определяются
- Заключение
Предисловие
Приветствую читателей Codeby.net!
В статье @r0hack привёл пример как фрилансер может подстраховаться от недобросовестного заказчика оставив для себя небольшой backdoor( открытую дверцу...) в коде продукта разработанного на заказ.
Приведённый вариант используется только как пример, ведь такую закладку легко обнаружит стандартный антивирусный сканер, даже стационарный AVG при открытие страницы со статьёй начинает ругаться:
Что говорить уж о специально заточенных продуктах под "web backdoor", конечно такой код будет сразу же выявлен и обезврежен.
В этой...
Статья SQL-injection, начало - UNION BASED
Приветствую тебя читатель!
Сегодня мы будем взламывать базу данных Mysql. Материала по этой теме в сети предостаточно, но когда я начал изучать эту тему, то она показалась мне весьма запутанной. Все гайды были несколько абстрактны, непонятно почему запрос именно такой, а не другой и т.д. Поэтому, прежде чем ломать базы данных, нужно хоть немного понимать что делают те или иные запросы sql. Именно поэтому, я сначала написал эти статьи Часть 1 Часть 2 Часть 3
Если ты новичок, и непременно хочешь разбираться в sql-инъекциях, то сначала проделай то, что написано в этих статьях. А для чего вообще нужно ручное тестирование? Ведь есть куча программ во главе с sqlmap. Я так скажу - не все...
Сегодня мы будем взламывать базу данных Mysql. Материала по этой теме в сети предостаточно, но когда я начал изучать эту тему, то она показалась мне весьма запутанной. Все гайды были несколько абстрактны, непонятно почему запрос именно такой, а не другой и т.д. Поэтому, прежде чем ломать базы данных, нужно хоть немного понимать что делают те или иные запросы sql. Именно поэтому, я сначала написал эти статьи Часть 1 Часть 2 Часть 3
Если ты новичок, и непременно хочешь разбираться в sql-инъекциях, то сначала проделай то, что написано в этих статьях. А для чего вообще нужно ручное тестирование? Ведь есть куча программ во главе с sqlmap. Я так скажу - не все...
Статья SQL - прежде чем ломать базы данных - часть 3
ЧАСТЬ 1 ЧАСТЬ 2
Всем привет!
Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3 )
Запустите сервис mysql, создайте заново базу create database golden_key; если она ещё существует, просто удалите таблицу в ней, или просто сделайте базу с любым другим названием. Теперь создадим на этот раз две таблицы.
Скопируйте код, создайте таблицу login и убедитесь что она создана
CREATE TABLE login (
id INT NOT NULL AUTO_INCREMENT,
nickname VARCHAR(100) NOT NULL,
login VARCHAR(100) NOT NULL,
PRIMARY KEY(id)
);
Теперь сделаем вторую...
Всем привет!
Поскольку в предыдущих частях я показывал примеры на одной таблице, то упустил очень важный оператор UNION, который будет постоянно использоваться в SQL-инъекциях. Поэтому встречайте часть 3 )
Запустите сервис mysql, создайте заново базу create database golden_key; если она ещё существует, просто удалите таблицу в ней, или просто сделайте базу с любым другим названием. Теперь создадим на этот раз две таблицы.
Скопируйте код, создайте таблицу login и убедитесь что она создана
CREATE TABLE login (
id INT NOT NULL AUTO_INCREMENT,
nickname VARCHAR(100) NOT NULL,
login VARCHAR(100) NOT NULL,
PRIMARY KEY(id)
);
Теперь сделаем вторую...
Codeby Games CTF
Категории блога
Наши курсы
Наши книги
