КатегорияВзлом



Проект Red Team: роли и области экспертизы. Колонка Дениса Макрушина


Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.

В Читать далее


Великий пакостник. Пробираемся через дебри IPv6 к root-флагу виртуалки с HackTheBox


В этой статье я покажу, как получить права суперпользователя на виртуальной машине Mischief с CTF-площадки Hack The Box. Этот забег даст нам навыки работы с протоколом SNMP, поможет понять принцип IPv6-маршрутизации и разобраться с механизмом распределения прав доступа ACL, а под занавес Читать далее


Часы наизнанку. Извлекаем и анализируем данные Apple Watch


Apple Watch — одна из самых популярных в мире марок умных часов. Последняя их версия оснащена полным набором датчиков и процессором, мощность которого превосходит бюджетные (и даже не очень бюджетные) модели смартфонов. При помощи часов Apple собирает огромные массивы данных. Читать далее


IBM X-Force Red. Как красная команда IBM проверяет организации на прочность


У моего сына как-то спросили в школе: «Кем работает твоя мама?» Он сказал — медсестрой. А когда спросили про папу, он ответил: «Мой папа крадет вещи, но это нормально, потому что ему за это платят!» Как видите, работать в красной команде — это не самая обыкновенная карьера. Я Читать далее


Постпостапокалипсис. Все самое интересное с конференции Offzone 2019


17 и 18 июня Москва принимала уже вторую международную конференцию по кибербезопасности Offzone. За время конференции одни набили руку в написании бинарных эксплоитов, другие набили на руке хакерское тату. Кто-то прокачался в пайке, а кто-то — в плойке. Шесть треков докладов, Читать далее


Кибервойны персидского залива. Как иранские хакеры обратили интернет против его создателей


В мае-июне 2019 года произошли утечки секретных данных, проливающие свет на недавние кибератаки неизвестных групп. Сопоставив их с отчетами аналитиков из CyberSky, FireEye, Cisco Talos и Symantec, можно выделить три хакерские группы, явно действующие в интересах правительства Ирана. Они Читать далее


Укрощение Kerberos. Захватываем Active Directory на виртуальной машине с HackTheBox


В этой статье я покажу, как пройти путь с нуля до полноценного администратора контроллера домена Active Directory, а поможет нам одна из виртуалок, доступных для взлома на CTF-площадке HackTheBox. Пусть это и не самая сложная машина, но овладеть навыками работы с AD крайне важно, если ты Читать далее


Угнать дрон. Методы перехвата управления коптерами


Содержание статьи

  • К истории вопроса
  • Под капотом
  • Угнать за шестьдесят секунд
  • Большие игрушки
  • Выводы

Одновременно с развитием интернета вещей эволюционируют и методы взлома умных девайсов. Уже сейчас существует целый зоопарк троянов для IoT, но одними только Читать далее


Комбо для Drupal. Как захватить сайт с Drupal, используя новые уязвимости


В этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на незапатченном Drupal. Мы Читать далее


Криптовойны Дикого Запада. Как АНБ однажды хотело ввести тотальную прослушку, но проиграло


Конфликт между Роскомнадзором и Telegram в прошлом году — далеко не первая попытка правительства получить доступ к шифрованным цифровым коммуникациям. О самом жарком и показательном примере противостояния властей и поборников приватности у нас мало кто знает, поскольку Читать далее