Сегодня мы пройдем виртуальную машину CTF с Hack The Box. Машина уязвима к разному типу LDAP-инъекций, использует генератор одноразовых паролей stoken в качестве механизма аутентификации и содержит небрежно написанный скрипт на Bash, с помощью которого мы обманем архиватор 7z и получим root.
В этом выпуске колонки я хотел бы поделиться с тобой небольшой личной историей, оттолкнувшись от которой мы потом поговорим обо всяких глобальных и возвышенных вещах. История эта произошла в начале года на конференции компании Check Point.
В популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдо…
Злоумышленники используют копии сайтов популярных сервисов для распространения банкера Bolik. Один из таких ресурсов копируе…
На техасские органы власти была совершена вымогательская атака. Сообщается, что жертв как минимум 23, и по информации СМИ, з…
Разработчики Coinbase сообщили, что из-за бага на странице регистрации личные данные нескольких тысяч пользователей биржи со…
Вырвиглазные мерцающие OLED-дисплеи остались в прошлом! В Xiaomi изобрели способ сделать OLED без мерцания, причем не только у актуального флагмана, но и у старых устройств. Но сколько тут истины, а сколько — рекламной шелухи? Что на самом деле сделали в Xiaomi и были ли они первыми на рынке? Попробуем разобраться.
24-25 августа, в последние выходные лета, в Санкт-Петербурге пройдет компьютерный фестиваль Chaos Constructions 2019. Предст…
Выпущен LibreOffice 6.2.6/6.3.0, в котором исправлены три серьезные уязвимости. Баги позволяли обойти патчи для других опасн…
Исследователи утверждают, что ощутимо повредить Tor можно простыми атаками на TorFlow, мосты Tor и конкретные узлы. Причем а…
Редактор немецкого журнала c't обнаружил, что защитные продукты «Лаборатории Касперского» сообщали сайтам и другим сервисам …
Компания Intel представила августовский набор патчей, в том числе устранив уязвимость в нескольких моделях NUC Kit.
Разработчики Trend Micro и Mozilla устранили опасные уязвимости в своих парольных менеджерах. Баги позволяли повысить привил…
Производительности всегда не хватает. Иногда проблему можно решить, просто обновившись до топового железа, но если и его вдруг оказалось недостаточно — дальше остается только разгон. Такая соблазнительная возможность, что едва ли стоит ей сопротивляться!
Инженеры Google опубликовали статистику, собранную расширением Password Checkup. По оценке компании, лишь в 1,5% случаев из …
Разработчики Google начали претворять в жизнь идею по удалению поддержки FTP из браузера Chrome.
Многие имплементации протокола HTTP/2 уязвимы для атак, которые могут приводить к отказу в обслуживании на непропатченных се…
Вслед за Apple, Google, Microsoft и Amazon компания Facebook признала, что разговоры пользователей могут прослушивать люди-п…
DeepNude — приложение, умеющее бесстыдно раздевать на фото представительниц прекрасного пола — взорвало интернет в минувшем июне. Этот проект использует в своей работе адскую смесь из нейросетей, искусственного интеллекта и полового инстинкта.
Новая проблема затрагивает устройства Bluetooth BR/EDR (он же Bluetooth Classic) и позволяет атакующим эффективно брутфорсит…
На Raidforums были опубликованы данные более чем 321 000 пользователей другого хакерского ресурса, Cracked[.]to (в том числе…
При обыске у Пейдж Томпсон, которую в июле арестовали из-за хищения данных 106 млн пользователей банка Capital One, обнаружи…
Эксперты амстердамской компании ThreatFabric обнаружили нового вредоноса для Android, который избегает обнаружения весьма не…
С момента публикации первого обзора подобного рода атак поборники добра сумели разработать эффективные меры защиты. Однако темная сторона силы тоже оттачивала свое мастерство. Какие новые техники они изобрели и почему атакующие разделились на два лагеря — читай об этом в моем новом материале.
Специалист Google Project Zero обнаружил опасную проблему, связанную с MSCTF. Баг появился почти 20 лет назад и затрагивает …
У опасной проблемы BlueKeep появились достойные «последователи». Microsoft исправила две похожие уязвимости в своих продукта…
Существует несколько методов построения корпоративной IT-инфраструктуры. Развертывание всех ресурсов и сервисов на базе облачной платформы — лишь один из них. Однако преградой на этом пути часто становятся предрассудки, касающиеся безопасности облачных решений. В этой статье мы разберемся, как устроена система безопасности в облаке одного из самых известных российских провайдеров — Яндекса.
ИБ-исследователь, известный под псевдонимом Droogie, рассказал на конференции DEFCON, с чем ему пришлось столкнуться после с…
Аналитики Group-IB предупредили о новой волне мошенничества, направленного на пользователей приложений для мобильного банкин…
Министерство юстиции США отчиталось о прекращении работы .onion-сайта The Giftbox Exchange, который на момент закрытия насчи…
Исследователи протестировали несколько 4G-марштуризаторов разных производителей, включая ZTE, Netgear и TP-LINK.
В этой статье я покажу, как получить рут на виртуалке Stratosphere с CTF-площадки Hack The Box. На этот раз мы повоюем с фреймворком Apache Struts для получения RCE, рассмотрим в действии редко обсуждаемую, но очень полезную концепцию получения удаленной сессии Forward Shell, а также поиграем с угоном библиотеки и эксплуатацией функции `eval()` для скрипта на Python.
Аналитики Zscaler заметили, что в даркнете продают многофункциональную малварь Saefko, которая ворует банковские реквизиты, …
Исследователи «Лаборатории Касперского» сообщили, что группа Cloud Atlas (она же Inception) начала использовать новую малвар…
Энтузиаст, разработавший вредоносный Lightning-кабель O.MG Cable, начал продавать свои устройства на DEFCON и планирует нала…
Специально «подправленная» база SQLite может использоваться для запуска кода внутри приложений, помогает обеспечить устойчив…
Хардварные crackme в этом сезоне снова набирают популярность. Их полюбили организаторы профильных конференций, и они все чаще встречаются в тематических конкурсах. В этой статье мы разберем один из реальных прошлогодних примеров и заодно узнаем, как выглядит атака по энергопотреблению на ключ шифрования устройства.
Аналитики Check Point обнаружили шесть уязвимостей в имплементации протокола Picture Transfer Protocol (PTP), использующегос…
Проблема, приводящая к удаленному исполнению произвольного кода, на протяжении 10 лет присутствовала в VoIP-телефонах Avaya,…
Специалисты Eclypsium обнаружили проблемы в драйверах Intel, AMD, NVIDIA, ASRock, AMI, Gigabyte, Realtek, Huawei и других кр…
Сайт защищен Qrator —
