Временная скидка 60% на годовую подписку!

Python

Xakep #294

Гибридная змея. Реверсим приложение на Cython

Помимо Python, в дикой природе водится несколько производных от него языков программирования, облегчающих написание модулей и приложений с использованием другого синтаксиса. Один из таких проектов — Cython, своеобразный гибрид Python и С. Сегодня мы разберемся, как работают приложения на этом языке, и попробуем взломать одно из них.

Xakep #294

HTB OnlyForYou. Эксплуатируем инъекцию Neo4j

В сегодняшнем райтапе я покажу способы эксплуатации уязвимостей LFI и Neo4j Injection. Затем мы найдем и заюзаем баг внедрения произвольных команд, а после сделаем вредоносный пакет Python, содержащий бэкдор, который поможет нам повысить привилегии в системе.

Xakep #293

Змеиная анатомия. Вскрываем и потрошим PyInstaller

Человечество породило целый зоопарк скриптовых языков с низким порогом вхождения в попытке облегчить всем желающим «вкатывание в айти» сразу после окончания месячных курсов. Есть мнение, что в этом зоопарке царем зверей сейчас работает Python. Эта ползучая рептилия так сильно опутала своими кольцами IT, что даже нейросеть без ее участия теперь ничему не обучить. А раз так, настало время препарировать этого аспида и посмотреть, что у него внутри. Начнем с технологии под названием PyInstaller.

Xakep #293
ВзломДля начинающих

HTB Busqueda. Эксплуатируем баг в приложении на Python, чтобы захватить веб-сервер

Начав прохождение этой машины с базового аудита сервиса, мы найдем уязвимость в нем, получим доступ к серверу и обнаружим на нем критически важные данные. Для повышения привилегий получим доступ к внутреннему Gitea и найдем возможность внедрения команд в проект.

Xakep #290

Зоркий глаз. Собираем и программируем на Python устройство для видеонаблюдения

Для многих разработчиков Python — это язык, на котором были написаны их первые программы: «Hello, world!» или калькулятор. Сейчас начинающие программисты во время обучения часто пишут телеграм-ботов, благо на Python это сделать относительно несложно. Давай создадим бота, но не простого, а взаимодействующего с нашим собственным устройством для умного дома, которое мы самостоятельно соберем и запрограммируем.

Xakep #290
КодингДля начинающих

Безопасный питон. Осваиваем приемы защищенного кодинга на Python

Сегодня мы поговорим о том, что должно волновать каждого крутого программиста, — о безопасном коде. Ты думаешь, это скучно и сложно? Ничуть! Я поделюсь с тобой своим опытом и покажу, как научиться писать на Python код, за который потом не придется краснеть.

Xakep #287

HTB RainyDay. Эксплуатируем API и брутим «соленый» пароль

В этом райтапе я покажу, как можно проэксплуатировать уязвимость в API веб-приложения, чтобы получить доступ к хосту. Затем выйдем из песочницы Python и покопаемся в криптографии, чтобы получить критически важные данные и повысить привилегии в системе.

Xakep #283
ВзломХардкор

Змеиная пирамида. Запускаем малварь из слепой зоны EDR

В этой статье я покажу, как вооружить standalone-интерпретатор Python для загрузки опасных зависимостей прямо в память при помощи инструмента Pyramid (не путать с веб-фреймворком). Потенциально это позволяет обойти антивирусную защиту при пентесте и скрыть источник подозрительной телеметрии от EDR при операциях Red Team.

Xakep #282
КодингДля начинающих

Сканим на Python. Как написать и улучшить собственный сканер портов

С чего начинается атака на сервер? Правильно, с разведки! Сканеров портов существует множество, и они быстро и эффективно справляются со своей задачей. Но настоящий хакер должен понимать, как работают его любимые инструменты, так что сегодня мы в учебных целях напишем собственный сканер, и я расскажу, какие методы сканирования лучше никогда не использовать.

Xakep #282

Про Pyto. Делаем веб-сервер на iOS и качаем видео с youtube-dl

Говорят, iOS невероятно закрытая система: ни написать свою программу без лицензии разработчика, ни заставить iPhone или iPad делать что-то, что не одобряют в Apple. Сегодня я познакомлю тебя с Pyto — интерпретатором Python для iOS, который позволяет творить... если не чудеса, то как минимум многие вещи, которые раньше считались невозможными без джейлбрейка.

Xakep #280
КодингДля начинающих

Как приручить «Киви». Автоматизируем прием платежей Qiwi на Python

В наше время чтобы обзавестись наличными, достаточно сделать полезную программу или сервис и подключить платежи. Сегодня я покажу тебе, как смастерить собственный скрипт для приема оплаты на кошелек Qiwi.

Xakep #280

Парсим телегу. Как собирать имена участников чатов в Telegram

Не­дав­но оку­нул­ся в вол­шебный мир пар­синга чатов в «Телег­раме» и был удив­лен, сколь­ко одно­тип­ных воп­росов зада­ют, какой низ­кий уро­вень понима­ния у людей, нуж­дающих­ся в пар­синге, и как мно­го раз­водов и зло­упот­ребле­ний со сто­роны тех, кто берет­ся пре­дос­тавлять такую услу­гу. Пос­мотрев на это, я решил разоб­рать­ся самос­тоятель­но.

Бесплатный вебинар «Python с нуля»

Хочешь стать хакером, но не умеешь кодить? Python — один из самых простых и востребованных языков программирования. Мы начнем его изучать полностью с нуля! 24 июня в 18:00 по Москве пройдет бесплатный вебинар «Хакера» для тех, кто хочет начать изучать Python.

Xakep #278

Gateway Bleeding. Пентестим системы FHRP и перехватываем трафик в сети

Существует множество способов повысить отказоустойчивость и надежность в корпоративных сетях. Часто для этого применяются специальные протоколы первого перехода FHRP. Из этой статьи ты узнаешь, как пентестеры работают с FHRP во время атак на сеть.

Бесплатный вебинар «Python для новичков»

Хочешь стать хакером, но не умеешь кодить? Python — один из самых простых и востребованных языков программирования. Мы начнем его изучать полностью с нуля! 27 мая в 18:00 по Москве пройдет бесплатный вебинар «Хакера» для тех, кто хочет начать изучать Python.

Xakep #278
ВзломХардкор

HTB Fingerprint. Подделываем цифровой отпечаток для доступа к закрытому контенту

В этом райтапе мы используем LFI для получения исходного кода приложения, XSS — для получения фингерпринта пользователя, обойдем авторизацию через HQL-инъекцию, заюзаем баг в приложении на Java и немного покодим на Python, чтобы получить приватный ключ. В заключение — разберем ошибку в шифровании и узнаем секрет!

Xakep #275

HTB Bolt. Эксплуатируем шаблоны в Python и разбираемся с PGP

В этой статье я покажу, как находить скрытый контент на сайтах через разные способы перебора. Затем мы получим управление хостом благодаря уязвимости серверных шаблонов (SSTI), а для повышения привилегий расшифруем приватные сообщения пользователей, защищенные при помощи PGP.

Xakep #275

Змей-стражник. Сигнализация для велосипеда из старого смартфона на Android

Наверняка у тебя где-то завалялся старый смартфон на Android, а может, даже и не один. Я расскажу, как сделать из него надежную сигнализацию для твоего велосипеда, да и вообще для любого движимого и недвижимого имущества. Программировать будем на Python 3, при этом набор функций приложения без труда может быть изменен и расширен для решения других насущных задач.

Страница 1 из 3123

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4000 р.
на год
920 р.
на месяц

«Хакер» в соцсетях

Telegram ВКонтакте Twitter

Материалы для подписчиков