Рубрика «hack»

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 1

Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ.

Читать полностью »

Однажды на пентесте, или Как все сломать при помощи уролога и Роскомнадзора - 1

Эта статья написана по мотивам очень удачного пентеста, который пару лет назад провели специалисты Group-IB: случилась история, претендующая на экранизацию в Болливуде. Сейчас, наверное, последует реакция читателя: «О, очередная пиар-статья, опять эти рисуются, какие они хорошие, еще не забудьте купить пентест». Ну с одной стороны, так и есть. Однако есть еще ряд мотивов, почему появилась эта статья. Хотелось показать, чем именно занимаются пентестеры, насколько эта работа может быть интересной и нетривиальной, какие забавные обстоятельства могут складываться на проектах и самое главное — показать живой материал с реальными примерами. Читать полностью »

Фейковый зарядный кабель для iPhone как элемент взлома ноутбуков — «O.MG Cable» - 1

На конференцию DEF CON 2019 в Лас-Вегасе (штат Невада, США) эксперт по безопасности Майкл Гровер, известный в Twitter под ником_MG_ пришел во все оружии — он принес с собой и разбросал на территории конференции несколько десятков упаковок со своим «хакерским» кабелем Lightning, который ничем не отличается от официального кабеля для гаджетов Apple и исправно выполняет все необходимые функции, правда в беспроводном режиме одаряя самого _MG_ контролем на Макбуками и другими ноутбуками на расстоянии до 90 метров.
Читать полностью »

Мутные воды: как хакеры из MuddyWater атаковали турецкого производителя военной электроники - 1

У иранских прогосударственных хакеров — большие проблемы. Всю весну неизвестные публиковали в Telegram «секретные сливы» — информацию о связанных с правительством Ирана APT-группах — OilRig и MuddyWater — их инструментах, жертвах, связях. Но не о всех. В апреле специалисты Group-IB обнаружили утечку почтовых адресов турецкой корпорации ASELSAN A.Ş, занимающуюся производством тактических военных радиостанций и электронных систем обороны для вооруженных сил Турции. Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB, и Никита Ростовцев, младший аналитик Group-IB, описали ход атаки на ASELSAN A.Ş и нашли возможного участника MuddyWater.
Читать полностью »

Всем привет, дорогие читатели!

Это небольшая история – пример применения технических навыков в обход системы в своих целях.

Модератор: Внимание! Данный текст является описанием возможности в экспериментатаорских целях. Напоминаем, что повтор подобных действий может привести к нарушению законодательства.

Хакнуть Госуслуги – можно, если очень нужно - 1

Краткая предыстория такова – я белорус, живу в Санкт-Петербурге, и решил я заменить имеющиеся у меня российские водительские права. Узнав о скидке в 30% при замене через сайт Госуслуг, я, как алчный белорус, решил сразу этим воспользоваться.
Читать полностью »

В этот раз дело начиналось после закрытия методов audio в методе execute.

Я решил посмотреть, как получают музыку сайты, которые предоставляют возможность ее скачать. Меня заинтересовал сайт vrit.me.

Я залез во вкладку network и увидел интересный запрос:

фото

Получаем музыку Вк через сторонний API - 1
Получаем музыку Вк через сторонний API - 2
Получаем музыку Вк через сторонний API - 3

То есть, можно подделать POST запрос к этому сайту, и использовать его, как API для музыки vk, что я сразу и реализовал:
Читать полностью »

Новая уязвимость Mikrotik? Нет, но стоит проверить свои устройства - 1

Второго августа получил рассылку “MikroTik: URGENT security advisory” о том, что некий ботнет использует уязвимость Winbox Service для взлома и заражения устройств.

Из текста рассылки стало ясно, что уязвимость закрыта еще 23 апреля 2018 года в версии v6.42.1. Начал проверять подшефные устройства и нашел несколько роутеров с 6.40.1, один из которых был заражен.
Читать полностью »

Внимание — это фривольный перевод заметки о том, как именно Jonathan Bouman нашёл публичный AWS S3, который использовался на одном из поддоменнов apple.com. Плюс заметка хороша тем, что наглядно демонстрирует пользу от нескольких маленьких утилит в совокупности с терпением.

Unrestricted File Upload at Apple.com - 1
Читать полностью »

Много статей и сайтов сравнивают шрифты для программирования — всё это отличные ресурсы. Так зачем я опять поднимаю эту тему? Потому что сам всегда терялся в десятках шрифтов и не мог понять, какой лучше. Так что я опробовал много шрифтов и выбрал следующие для вас. Они довольно популярны и их легко получить. И самое главное, все эти шрифты бесплатны!

Я ранжировал шрифты по следующим показателям:

  • Насколько различимы схожие символы, такие как 0O, 1lI.
  • Легко ли читается шрифт (ширина строк, ширина/высота символов).
  • И мои личные предпочтения!

Все скриншоты сделаны в VSCode на одном фрагменте кода. Если не обозначено иное, то везде установлен размер "editor.fontSize": 14.
Читать полностью »

Есть замечательный проект www.hiqpdf.com/demo/ConvertHtmlToPdf.aspx

Умеет html качественно в pdf или картинки превращать

Но по дефолту не учитывает тот факт, что в html можно вставлять js/iframe, которые могут быть использованы не по назначению

Ну и я не долго думая попробовал это на их же сайте
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js