Forwarded from Кавычка (Bo0oM)
Быстро и дешево брутим хэши
Короч, есть чуваки такие, immers.cloud
По сути это хостинг с арендой видеокарт. А так как я занимался проектом passleak.ru, иногда нужно было разгадывать хэшики, решил не покупать под это оборудование. Вышло круто.
Тут есть два варианта развития событий.
Арендуем видеокарту (какую - по желанию, они там выкатили какие-то ультра-модные H100, но мне и 2080 часто хватает), грузим туда наши хэши, делаем что-то типа:
Устанавливаем hashcat и играемся с этим всем.
Но если нам нужно побрутить пароли по словарям, способ еще круче. Берем готовый образ Ubuntu + Hashcat + Weakpass 3, на диске будет лежать архив с Weakpass V3. Запускаем и прогоняем хэши, забираем то что сбрутилось, вырубаем машину.
Например, чтоб раскукожить пароли из дампа Linkedin - мне потребовалось рублей... 20?
В общем, круто держать под рукой чтобы быстро сбрутить какой-то хэшик.
>
Короч, есть чуваки такие, immers.cloud
По сути это хостинг с арендой видеокарт. А так как я занимался проектом passleak.ru, иногда нужно было разгадывать хэшики, решил не покупать под это оборудование. Вышло круто.
Тут есть два варианта развития событий.
Арендуем видеокарту (какую - по желанию, они там выкатили какие-то ультра-модные H100, но мне и 2080 часто хватает), грузим туда наши хэши, делаем что-то типа:
sudo apt-get update
sudo apt-get install gcc make tmux git mesa-common-dev cmake nvidia-cuda-toolkit build-essential unzip -y
https://ru.download.nvidia.com/XFree86/Linux-x86_64/470.63.01/NVIDIA-Linux-x86_64-470.63.01.run
chmod +x NVIDIA-Linux-x86_64-470.63.01.run
sudo ./NVIDIA-Linux-x86_64-470.63.01.run
Устанавливаем hashcat и играемся с этим всем.
Но если нам нужно побрутить пароли по словарям, способ еще круче. Берем готовый образ Ubuntu + Hashcat + Weakpass 3, на диске будет лежать архив с Weakpass V3. Запускаем и прогоняем хэши, забираем то что сбрутилось, вырубаем машину.
Например, чтоб раскукожить пароли из дампа Linkedin - мне потребовалось рублей... 20?
В общем, круто держать под рукой чтобы быстро сбрутить какой-то хэшик.
>
👍16🔥10
Forwarded from PT SWARM
PortSwigger's Top 10 web hacking techniques of 2023!
Welcome to the Top 10 Web Hacking Techniques of 2023, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Smashing the state machine: the true potential of web race conditions
🥈 Exploiting Hardened .NET Deserialization
🥉 SMTP Smuggling - Spoofing E-Mails Worldwide
4️⃣ PHP filter chains: file read from error-based oracle
5️⃣ Exploiting HTTP Parsers Inconsistencies
6️⃣ HTTP Request Splitting vulnerabilities exploitation
7️⃣ How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
8️⃣ From Akamai to F5 to NTLM... with love
9️⃣ Cookie Crumbles: Breaking and Fixing Web Session Integrity
🔟 can I speak to your manager? hacking root EPP servers to take control of zones
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open
Welcome to the Top 10 Web Hacking Techniques of 2023, community-powered effort to identify the most important and innovative web security research published in the last year.
🥇 Smashing the state machine: the true potential of web race conditions
🥈 Exploiting Hardened .NET Deserialization
🥉 SMTP Smuggling - Spoofing E-Mails Worldwide
4️⃣ PHP filter chains: file read from error-based oracle
5️⃣ Exploiting HTTP Parsers Inconsistencies
6️⃣ HTTP Request Splitting vulnerabilities exploitation
7️⃣ How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
8️⃣ From Akamai to F5 to NTLM... with love
9️⃣ Cookie Crumbles: Breaking and Fixing Web Session Integrity
🔟 can I speak to your manager? hacking root EPP servers to take control of zones
The entire nomination list you can find here: https://portswigger.net/research/top-10-web-hacking-techniques-of-2023-nominations-open
👍13
Forwarded from CyberED
🏆 Друзья, с радостью рассказываем вам про нашу новую активность! Встречайте турнир One Task of the Month🚩
Теперь каждый месяц мы будем запускать по одной задаче на разные темы в режиме🚩 🚩 🚩 и предлагать вам их решить на скорость⏱
❓ Для чего?
Чтобы вы могли потренироваться и отработать свои навыки в практической кибербезопасности⚒, а еще выиграли классные призы (среди них будут бесплатные проходки на знаковые ИБ-мероприятия – OFFZONE, PHD и не только🔥).
Задачи будут из следующих категорий (список может расширяться):
🔻web
🔻pwn
🔻crypto
🔻reverse
🔻misc,
и они будут очень сложными!
Боритесь, чтобы занять🥇первые места, попасть в Зал Славы и получить свои призы!
Призы будем вручать в течение всего года, а по итогам будем чествовать и награждать победителей за первые места и за количество решенных тасок.
⌛ Старт первой задачи 9 марта, не пропустите!
Добавляйтесь в чат Телеграм, чтобы точно не пропустить: https://www.tg-me.com/CyberEd_CTF_chat.
🤗 Будет очень интересно!
Теперь каждый месяц мы будем запускать по одной задаче на разные темы в режиме
Чтобы вы могли потренироваться и отработать свои навыки в практической кибербезопасности⚒, а еще выиграли классные призы (среди них будут бесплатные проходки на знаковые ИБ-мероприятия – OFFZONE, PHD и не только🔥).
Задачи будут из следующих категорий (список может расширяться):
🔻web
🔻pwn
🔻crypto
🔻reverse
🔻misc,
и они будут очень сложными!
Боритесь, чтобы занять🥇первые места, попасть в Зал Славы и получить свои призы!
Призы будем вручать в течение всего года, а по итогам будем чествовать и награждать победителей за первые места и за количество решенных тасок.
Добавляйтесь в чат Телеграм, чтобы точно не пропустить: https://www.tg-me.com/CyberEd_CTF_chat.
🤗 Будет очень интересно!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍1
Всем привет! Как и обещал многим из вас, задающим вопрос: «Хочу у вас работать, как к вам попасть?» мы открыли набор младших специалистов! Уточню, что это специалисты уже имеющие некоторый опыт в прокачивании хакерских скиллов.
P.S. Чуть позднее также объявим стажировки для помощи в росте совсем начинающим хакерочкам.
Вакансия
Команда Singleton в поисках начинающих специалистов!
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контакт: @I_rina_shirshova
ЗП 80-120 т.р. на руки + квартальная премия ~100-250 т.р.
Младший специалист по тестированию на проникновение ИТ инфраструктуры
Задачи, которые необходимо решать:
- Участие в пентестах в группе со старшими и ведущими специалистами
- Организация социотехнических тестирований с применением методов соц. инженерии
- Формирование отчетности по уязвимостям в системе трекинга багов
- Активное участие в мероприятиях компании и турнирах PHDays Standoff/пр. CTF
Требования:
- Понимание основ проведения социальной инженерии, подготовка инфраструктуры для фишинга (Подготвка доменов, зеркал, нагрузок, настройка GoPhish);
- Знание методов повышения привилегий для Windows и Linux;
- Понимание основных атак на AD (kerberoast,asreproast,sysvol и gpp,password spraying)
- Умение пользоваться MSF DB, responder, mimikatz, impacket, crackmapexec,bloodhound;
- Уверенное владение bash, powershell, cmd, навыки автоматизации атак;
- Знание типовых веб-уязвимостей
- Гражданство РФ
Будет плюсом:
- Опыт работы на аналогичных позициях
- Опыт работы в ИТ/ИБ (разработка, администрирование, blue-team)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
* Совмещение с учебой возможно, если вы готовы к загрузке 40 часов в неделю, не важно в какое время.
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Корпоративный ноутбук (MacBook / Dell XPS)
- Офис: Метро Бауманская (БЦ Суперметалл)
Условия для соискателей:
- Либо предоставить резюме с хорошим треком, отражающим ваш опыт: соревновательные площадки, образование, опыт работы, исследования, статьи и пр.
- Либо написать отчеты по компрометации следующих виртуальных машин (тщательность и аккуратность отчета идет в зачет): https://disk.yandex.ru/d/EKhZsntxnUtbsQ, https://disk.yandex.ru/d/83NdLd3Vjp_VNA, https://disk.yandex.ru/d/8XT1oaMmqpCGjQ (Пароль от архивов: xpdK$LP1?&)
P.S. Чуть позднее также объявим стажировки для помощи в росте совсем начинающим хакерочкам.
Вакансия
Команда Singleton в поисках начинающих специалистов!
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контакт: @I_rina_shirshova
ЗП 80-120 т.р. на руки + квартальная премия ~100-250 т.р.
Младший специалист по тестированию на проникновение ИТ инфраструктуры
Задачи, которые необходимо решать:
- Участие в пентестах в группе со старшими и ведущими специалистами
- Организация социотехнических тестирований с применением методов соц. инженерии
- Формирование отчетности по уязвимостям в системе трекинга багов
- Активное участие в мероприятиях компании и турнирах PHDays Standoff/пр. CTF
Требования:
- Понимание основ проведения социальной инженерии, подготовка инфраструктуры для фишинга (Подготвка доменов, зеркал, нагрузок, настройка GoPhish);
- Знание методов повышения привилегий для Windows и Linux;
- Понимание основных атак на AD (kerberoast,asreproast,sysvol и gpp,password spraying)
- Умение пользоваться MSF DB, responder, mimikatz, impacket, crackmapexec,bloodhound;
- Уверенное владение bash, powershell, cmd, навыки автоматизации атак;
- Знание типовых веб-уязвимостей
- Гражданство РФ
Будет плюсом:
- Опыт работы на аналогичных позициях
- Опыт работы в ИТ/ИБ (разработка, администрирование, blue-team)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
* Совмещение с учебой возможно, если вы готовы к загрузке 40 часов в неделю, не важно в какое время.
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Корпоративный ноутбук (MacBook / Dell XPS)
- Офис: Метро Бауманская (БЦ Суперметалл)
Условия для соискателей:
- Либо предоставить резюме с хорошим треком, отражающим ваш опыт: соревновательные площадки, образование, опыт работы, исследования, статьи и пр.
- Либо написать отчеты по компрометации следующих виртуальных машин (тщательность и аккуратность отчета идет в зачет): https://disk.yandex.ru/d/EKhZsntxnUtbsQ, https://disk.yandex.ru/d/83NdLd3Vjp_VNA, https://disk.yandex.ru/d/8XT1oaMmqpCGjQ (Пароль от архивов: xpdK$LP1?&)
Яндекс Диск
1.rar
Посмотреть и скачать с Яндекс Диска
👍29🔥10
Forwarded from CyberED
Привет, друзья! Напоминаем, осталось 🚩 дня до старта первой задачи турнира One Task of the Month от CyberEd.
🌐 Задача запустится 9 марта в 12.00 и будет из категории WEB. На сайте уже идет обратный отсчет⏱! Обязательно выделите время на этих выходных.
На решение задачи будет дано7️⃣ дней. Первые 10 человек, решивших ее, получат по 1 баллу и попадут в итоговую таблицу рейтинга по задаче и в общий Зал Славы.
Все подробности и ответы на вопросы уже доступны на сайте One Task of the Month 🚩
А пока, присоединяйтесь к чату турнира в Telegram, чтобы следить за новостями и не пропускать уведомления о стартах новых задач.
🤗 Найдите время, чтобы проверить свои навыки в ИБ и побороться за классные призы!
🌐 Задача запустится 9 марта в 12.00 и будет из категории WEB. На сайте уже идет обратный отсчет⏱! Обязательно выделите время на этих выходных.
На решение задачи будет дано
Все подробности и ответы на вопросы уже доступны на сайте One Task of the Month 🚩
А пока, присоединяйтесь к чату турнира в Telegram, чтобы следить за новостями и не пропускать уведомления о стартах новых задач.
🤗 Найдите время, чтобы проверить свои навыки в ИБ и побороться за классные призы!
Please open Telegram to view this post
VIEW IN TELEGRAM
👏2👍1
Forwarded from Кибердом
Media is too big
VIEW IN TELEGRAM
«Информационная безопасность без женщин как весна без грозы. Обойтись можно, но уже не то».
Джентльмены из ИБ-комьюнити поздравляют всех женщин из индустрии с 8 марта и дарят свое видеопоздравление🔜
Что было бы, если бы в информационной безопасности не было женщин? Смотрите видео и узнаете.
А также подписывайтесь на канал Кибердом & Бизнес и не забывайте: мужчины - тоже люди, благодарность в комментариях приветствуется)
#поздравление
🏠 Подписаться на Кибердом & Бизнес.
Джентльмены из ИБ-комьюнити поздравляют всех женщин из индустрии с 8 марта и дарят свое видеопоздравление
Что было бы, если бы в информационной безопасности не было женщин? Смотрите видео и узнаете.
А также подписывайтесь на канал Кибердом & Бизнес и не забывайте: мужчины - тоже люди, благодарность в комментариях приветствуется)
#поздравление
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26🤯4
Запускаем прикольную историю с Кибердомом!
Надеюсь мы оживим наш старый и по-своему любимый формат оффлайн обучения, где всегда была 🔥 огненная 🔥 атмосфера 20-ки хакеров в одной аудитории решающей задачи под присмотром наставника. Надеюсь, что кому-либо из вас будет интересно.
Надеюсь мы оживим наш старый и по-своему любимый формат оффлайн обучения, где всегда была 🔥 огненная 🔥 атмосфера 20-ки хакеров в одной аудитории решающей задачи под присмотром наставника. Надеюсь, что кому-либо из вас будет интересно.
🔥6
Forwarded from CyberED
Как вы знаете, в конце прошлого года Егор Богомолов, CEO CyberEd, официально стал амбассадором Кибердома – мультиформатной площадки в Москве, посвященной только кибербезопасности, места, соединившего в себе витрину лучших российских ИБ-решений, площадку для развития профессионального комьюнити и массу других уникальных фишек 🔗подробнее о Кибердоме.
Теперь у вас есть возможность пройти курс «Анализ защищенности веб-приложений» в смешанном формате, где 50% занятий будет проходить офлайн в Кибердоме!
В чем преимущества этого курса?
Вы сможете вживую общаться с преподавателем и одногруппниками, получать мгновенные ответы на ваши вопросы и приобретете статус «друга Кибердома»: сможете приходить, общаться и работать в открытых пространствах без ограничений, посещать «немузей», киберполигон и большое количество мероприятий, заводить полезные знакомства.
Не упустите шанс оказаться в гуще событий отрасли кибербеза вместе с CyberEd!
➡️ Ознакомиться с программой и записаться на курс
Преподаватель курса - Павел Сорокин.
По окончании выдается сертификат CyberEd и Кибердома, удостоверение повышения квалификации установленного образца.
‼️Количество мест ограничено
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥4
Стажировка в команду Singleton Security
Кого мы ищем?
- Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений!
- Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление, участвующих в CTF, практикующих новичков.
Как будет проходить отбор?
- Вы решаете предложенные задачи и пишете по ним отчет (шаблон отчета см. в прикрепленных файлах)
- После того, как Вы отправили нам отчет и свое резюме, мы его изучаем и выносим решение по отбору
- Кандидаты, отправившие самые качественные отчеты и решившие наибольшее число задач, будут приглашены на знакомство и мини-собеседование с тим лидами
- По результатам знакомств будет вынесено итоговое решение по приглашению кандидатов на стажировку
Отбор будет проходить для двух категорий участников:
- Стажеры
- Мл. Специалисты *
* Если кандидат, может показать достаточно глубокие знания предметной области, продемонстрировать опыт, который позволит ему выполнять рабочие задачи, мы готовы будем предложить ему сразу попасть в команду.
Что ждет стажеров?
- Знакомство с командой Singleton и ее подходами и практиками.
- 1.5 месяца обучения с еженедельными лекциями от участников команды.
- Доступ к рабочим задачам по поиску уязвимостей.
- Работа с наставниками.
- Минимальная оплата труда с занятостью 20 часов в неделю.
По окончании 3-х месяцев, основываясь на том, как специалист показал себя в этот период, будет принято решение о приглашении его в команду в качестве мл. специалиста.
Контакты для вопросов и отправки заявок: [email protected]
Ссылка на испытания: https://ctf.singleton-security.ru/register
* На сдачу заданий и отчетов 2 недели до 16.04
Кого мы ищем?
- Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений!
- Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление, участвующих в CTF, практикующих новичков.
Как будет проходить отбор?
- Вы решаете предложенные задачи и пишете по ним отчет (шаблон отчета см. в прикрепленных файлах)
- После того, как Вы отправили нам отчет и свое резюме, мы его изучаем и выносим решение по отбору
- Кандидаты, отправившие самые качественные отчеты и решившие наибольшее число задач, будут приглашены на знакомство и мини-собеседование с тим лидами
- По результатам знакомств будет вынесено итоговое решение по приглашению кандидатов на стажировку
Отбор будет проходить для двух категорий участников:
- Стажеры
- Мл. Специалисты *
* Если кандидат, может показать достаточно глубокие знания предметной области, продемонстрировать опыт, который позволит ему выполнять рабочие задачи, мы готовы будем предложить ему сразу попасть в команду.
Что ждет стажеров?
- Знакомство с командой Singleton и ее подходами и практиками.
- 1.5 месяца обучения с еженедельными лекциями от участников команды.
- Доступ к рабочим задачам по поиску уязвимостей.
- Работа с наставниками.
- Минимальная оплата труда с занятостью 20 часов в неделю.
По окончании 3-х месяцев, основываясь на том, как специалист показал себя в этот период, будет принято решение о приглашении его в команду в качестве мл. специалиста.
Контакты для вопросов и отправки заявок: [email protected]
Ссылка на испытания: https://ctf.singleton-security.ru/register
* На сдачу заданий и отчетов 2 недели до 16.04
🔥17👍12👏3💩1
YAH
Стажировка в команду Singleton Security Кого мы ищем? - Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений! - Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление…
Report_template.docx
89.8 KB
Формат отчёта.
Forwarded from CyberED
6 апреля мы запустим вторую задачу из категории PWN. Не пропустите старт, чтобы успеть вовремя включиться в гонку за первые места🚀
Во время старта новой задачи будет опубликован writeup победителя первой задачи - MDN
Добавляйтесь в чат Телеграм, чтобы быть в курсе всех новостей: www.tg-me.com/CyberEd_CTF_chat.
Задачу запускаем 6 апреля в 12:00 по МСК.
Желаем вам удачи и успеха в решении!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Яндекс открыл сезон охоты на Едадил 🐊
Яндекс запускает новый конкурс в рамках программы «Охота за ошибками». Багхантерам предлагают поохотиться на уязвимости в Едадиле — сервисе, который помогает находить продукты со скидкой, покупать их с кешбэком, копить и выводить его, а магазинам заводить карточки товаров. В продукте с таким широким функционалом багхантер наверняка найдёт чем заняться 💰
До 20 апреля Яндекс будет выплачивать баунти в двойном объёме, подробности можно найти здесь.
P. S. Напоминаем, что реальных пользователей атаковать нельзя — используйте только тестовые учётные записи.
Подписывайтесь: 💬 @yandex_bugbounty
Яндекс запускает новый конкурс в рамках программы «Охота за ошибками». Багхантерам предлагают поохотиться на уязвимости в Едадиле — сервисе, который помогает находить продукты со скидкой, покупать их с кешбэком, копить и выводить его, а магазинам заводить карточки товаров. В продукте с таким широким функционалом багхантер наверняка найдёт чем заняться 💰
До 20 апреля Яндекс будет выплачивать баунти в двойном объёме, подробности можно найти здесь.
P. S. Напоминаем, что реальных пользователей атаковать нельзя — используйте только тестовые учётные записи.
Подписывайтесь: 💬 @yandex_bugbounty
🔥8👍6🎉3
YAH
Стажировка в команду Singleton Security Кого мы ищем? - Начинающих или имеющих опыт специалистов по тестированию на проникновение и анализу защищенности веб-приложений! - Заинтересованных и уже прошедших заметный путь в этой дисциплине, изучающих направление…
https://freelance.ru/projects/reshit-zadachu-1565074.html
Люди так, хотят к нам на стажировку, что нанимают фрилансеров. А ты даже не зарегался...
Тем временем, до окончания отбора осталась последняя неделя.
Результаты соберем в след. вторник.
Люди так, хотят к нам на стажировку, что нанимают фрилансеров. А ты даже не зарегался...
Тем временем, до окончания отбора осталась последняя неделя.
Результаты соберем в след. вторник.
freelance.ru
Решить задачу - Задание для фрилансеров #1565074
Здравствуйте. Помогите решить задачу. Очень простая для специалиста PHP:
https://task2.ctf.singleton-security.ru/?source
…
https://task2.ctf.singleton-security.ru/?source
…
🔥15🤯4👏3
Подкаст
Ура! Вышла видео версия подкаста YAH, где новыми моими собеседниками стали молодые предприниматели из ИБ среды.
Я очень верю, что рассказ об их пути, сможет помочь и подбодрить десятки и сотни, таких же молодых специалистов и инженеров. Надеюсь он поможет вам найти веру в себя и в свои начинания, а также даст больше полезной информации о вашей индустрии и познакомит вас с классными людьми.
С любовью, Jack. <3
P.S.
Подкасты были записаны в июле-августе 2023 года.
Спустя почти год, я смог наконец-то найти возможность выпустить его.
Спасибо кибердом, за саппорт. Теперь там выйдут ещё 2 уже записанные серии и потом мы начнём записывать "новый сезон".
Ура! Вышла видео версия подкаста YAH, где новыми моими собеседниками стали молодые предприниматели из ИБ среды.
Я очень верю, что рассказ об их пути, сможет помочь и подбодрить десятки и сотни, таких же молодых специалистов и инженеров. Надеюсь он поможет вам найти веру в себя и в свои начинания, а также даст больше полезной информации о вашей индустрии и познакомит вас с классными людьми.
С любовью, Jack. <3
P.S.
Подкасты были записаны в июле-августе 2023 года.
Спустя почти год, я смог наконец-то найти возможность выпустить его.
Спасибо кибердом, за саппорт. Теперь там выйдут ещё 2 уже записанные серии и потом мы начнём записывать "новый сезон".
👍8🔥1