Форум информационной безопасности - Codeby.net

"Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума! "

Приветствую жителей и гостей codeby!
Сегодня я Вам хочу продемонстрировать, как открыть/завести авто, оборудованное простой не диалоговой сигнализацией при помощи программно-определяемого радио (SDR).
В данной сигнализации нет никакой защиты, но практика показывает, что таких авто в наше время хватает.
Вот и я, купив себе железного коня, стал счастливым обладателем такой "защиты".
Так почему бы не исследовать ее, раз вот она в моих руках?
После снятия ролика сигналка была благополучно отправлена по месту назначения - в мусорный контейнер.
Вместо скучных букв решил записать видео с демонстрацией.
В экспериментах были использованы:

- Ноутбук с Kali Linux + GQRX + hackrf_transfer
- RTL-SDR свисток (в качестве приемника для визуализации сигнала)
- HackrfOne (в...

Добрый день,Уважаемые Форумчане.
Лёгкий обзорчик сегодня будет посвящён утилите для поиска информации по телефону.

Не знаю насколько,но может кому-нибудь и пригодится.
Автор этой утилиты Raphael sundownde.

Работа основана на принципах OSINT.
Позволяет пробивать информацию как по одному номеру ,так и несколько номеров с ключом -i и текстовым файлом со списком.
И если задан ключ -о с именем выходного файла,сохранить результат поиска.

Кроме того,предусмотрен обход капчи google, если можно так это назвать.
А последний , просто звереет от таких запросов и спешит их блокировать.

Основные команды:
Иностранные номера указываются в формате +код страны-код города-номер телефона.
Чтож, давайте установим и потестируем утилиту.
Установка:

Как я провел свою первую external entity attack или XXE уязвимость.
Часть первая.

Как сейчас помню, была середина июля. Это был очередной проект, который начался пару недель назад. Было уже проделано много различных сканирований и попыток проникнуть внутрь периметра, но пока это сделать не удавалось.

Бесспорно, мы потихоньку продвигались вперед. Были найдены оставленные разработчиком файлы. В одном из них содержались имя пользователя и пароль в md5, который был успешно расшифрован. Пароль был элементарным.

Это дало возможность зайти в личный кабинет нескольких сервисов. Заглядывая немного вперед, скажу, что это было довольно большое веб приложение, состоящее из многих сервисов, объединённых доменной авторизацией, и при некоторой удаче этот пользователь мог бы подойти и при подключении к RDP. Да, при сканировании внешнего периметра на нескольких ip адресах был найден открытый 3389 порт, это означало то, что можно было бы успешно подключиться и попытаться делать уже что-то...

Часть 1

****** мини предесловие - данные сказки призваны сделать упор не на начало шагов по дороге черного поля, а скорее призваны показать, как при помощи ПОДРУЧНЫХ вещей, софта наш выдуманный персонаж решает некоторые ситуации и зарабатывает себе на хлеб, пока другие ноют что все плохо, тратят время на поиск мифического софта ХАКНУТЬ ВСЕХ, тратят время на алкголь, желчь, зависть.

Сквозь прозрачный потолок торгового центра пробивались лучики солнечного света, освещая хол пред торговой зоны из которой мы только что вышли с моей боевой подругой, ловя на себе сотни взглядов, в которых была зависть, ненависть, осуждение, негодование… молодые люди которые шли парой с противоположным полом завидев нас резко акцентировали взгляд пассии на чем либо другом, суетливой закрывая ей вид в нашу сторону, девушки практически поедали , тут же с чувством оскорбления начинали что то монотонно впиливать в мозг спутнику:
…Вот он ее...

История первая или как заработать свои первые 15000р обычным сканированием директорий и файлов.
Вот и первая запись, которая относится к теме поиска уязвимостей в программе bug bounty.

Начнем...

Это был конец сентября, я, как обычно, спешил на работу, думая о новом проекте, который скоро был должен начаться, но, как всегда, сроки отодвигались и было не совсем ясно, когда начнется первый этап. Заказчики любят все отодвигать, бюрократия и согласования никуда не делись, и поэтому у меня было время узнавать и выполнять новые задания в лаборатории PentesterLab, и читать поучительные книжки о великих хакерах, которые были любезно размещены на нашем внутреннем портале одним из моих коллег.

Был как конец сентября, так и конец недели. В выходные я планировал выпить немного пива и поразмышлять о высоких материях со своей девушкой, и это меня несколько радовало, так как последние 2 месяца в поиске уязвимостей не увенчались успехом, и я усердно думал на какие средства это пиво собственно...

Всем привет! Сегодня я хочу рассказать как решать задачу CTF размещенную на vulnhub.com под названием Lampião 1.
В описание автор заявляет, что прохождение не требует как-либо дополнительных знаний об эксплуатации машины.

Уровень легкий

Скачать образ вы можете отсюда:

Ссылка скрыта от гостей

В данном случае я не буду использовать Kali Linux, а буду использовать PentestBox под Windows.
Для тех кто не в танке PentestBox - это набор сборка утилит для пентеста. В этой сборке собраны все необходимые инструменты для сбора и анализа приложений, для аудита, реверса, форензике и много другое.

После того как мы загрузили и настроили машину, наша цель - получить IP. Сделать это можно несколькими способами, для этих целей подходит:
arp-scan -l, netdiscover
Я же поступил...

Наверное, не статья, а заметка самому себе и себе подобным ))

Недавно столкнулся с проблемой перевода Alfa AWUS 1900 в режим монитора в операционной системе Ubuntu.
В случае, если кто-то из читателей столкнётся с аналогичной проблемой, поспешу обрадовать: режим монитора поддерживается девайсом.
Вероятно, если Вы читаете данную статью, перед вами стоит аналогичная проблема: команды
... не поддерживаются
либо переводят устройство в режим "AUTO"

Покупая упомянутую "железяку", я точно знал, что она поддерживает режим монитора на уровне железа.
Моя уверенность основывалась на её...

"Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума! "

Привет форум. Эта сказка является продолжением статей, который я давненько хотел обновить.

• Пентест руками ламера. 1 часть
• с чего начать свой путь?

Все, о чем пойдет речь ниже вымысел бурной фантазии автора.

================
Добрых суток мальчики и девочки, с теплым приветствием всем открывшим дверь этой сказки. Это сказка написана сама по себе, она не была выхвачена из грез, навеянных музой пославшей озарение в орган, отвечающий за мыслительные процессы. Это сказка написана жизнью….



Утро – когда по звонку будильника, мобильника, позыву организма просыпается большая...

Статья для участия в конкурсе программистов

WPF - приложение Cursor Path Recorder. Привет всем, пожалуй, начну!

Ни для кого не является секретом, что в современных реалиях, IT – гиганты и корпорации пытаются использовать любые данные своих пользователей для извлечения из них максимальной выгоды. В качестве последнего доказательства можно привести хотя бы постоянные обновления политики конфиденциальности при использовании продуктов Google. Для тех, кто не знаком – на текущий момент – это просто огромный перечень сложных правил по использованию сервисов Google, с которыми вам, как пользователю, придется естественно согласиться.

Приложение предназначено для автоматического управления системным курсором. Позволяет помочь в обходе защиты Google Recaptcha v3, которая предполагает анализ поведенческих факторов пользователя как одного из основных при выдаче “fraud score”.
Позволяет помочь в...