Временная скидка 60% на годовую подписку!

Git

Xakep #289

HTB Encoding. Эксплуатируем Git-репозиторий

Сегодня мы с тобой пройдем по цепочке уязвимостей: от LFI к эксплуатации Git, к другой LFI и под конец — RCE. По дороге нам понадобится модернизировать Git-дампер, а при продвижении будем использовать выполнение кода через Git.

Xakep #288

HTB Vessel. Эксплуатируем уязвимость в кластере Kubernetes

В этом райтапе я покажу, как повышать привилегии через уязвимость CVE-2022-0811, которая позволяет с максимальными привилегиями выходить из контейнера в кластере Kubernetes. По дороге посмотрим, как собирать данные из репозитория Git, проэксплуатируем SQL-инъекцию и попентестим платформу Open Web Analytics, чтобы получить доступ к хосту. Еще разберемся с генератором паролей и расшифруем PDF-документ.

Xakep #272

HTB Seal. Пентестим Apache Tomcat и эксплуатируем Ansible Playbook

На этот раз мы с тобой пройдем среднюю по сложности машину с площадки Hack The Box. Ты научишься извлекать ценную информацию из репозиториев Git, обходить контроль доступа HTTP 403, эксплуатировать Apache Tomcat до уровня выполнения произвольного кода и повышать привилегии через Ansible Playbook.

Xakep #232

По цепочке уязвимостей. Получаем полный контроль над Gitea с нуля

В этой статье я расскажу о нескольких уязвимостях в продукте Gitea. Это опенсорсная альтернатива GitHub, сервис для работы с репозиториями Git. Мы пройдемся по цепочке уязвимостей, которая в конечном счете приведет к полной компрометации системы с возможностью выполнения произвольных команд.

Xakep #231

Смертельный коммит. Выполняем произвольный код в клиенте git

Думаю, тебе не нужно рассказывать, что такое git, — он сегодня используется всеми от небольших компаний до гигантов индустрии. Найденная в нем уязвимость позволяет злоумышленнику атаковать пользователей, которые клонировали специально сформированный репозиторий. Как его формировать? Об этом я сейчас и расскажу.

Xakep #205

Черная магия Git hook. Как не пустить джуниоров в мастер-ветку и вообще все автоматизировать

При code review ты указываешь разработчикам на забытые printf и console.log? С ужасом видишь код с синтаксической ошибкой? Хочешь разграничить права на работу с ветками, потому что джуниор путает порядок при слиянии? Хватит это терпеть! У нас же есть Git и Bash!

Выбираем правильный хостинг кода

Ни один нормальный программист не будет создавать папки вроде v001, v002 и распихивать по ним разные версии своих разработок. Вместо этого он воспользуется системой управления версий, а репозиторий разместит онлайн, чтобы работать с кодом могли и другие разработчики. Сделать это можно бесплатно благодаря хостингу кода, выбором которого мы сегодня и займемся.

25 лет «Хакеру»!

Поделись своей историей знакомства с «Хакером»! Как «Хакер» тебе помог или повлиял на твое решение связаться с IT?

Пройти опрос

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4000 р.
на год
920 р.
на месяц

«Хакер» в соцсетях

Материалы для подписчиков