infosec
Photo
NetCat CheatSheet.jpeg
901.9 KB
• Держите красивую шпаргалку по использованию NetCat, которую можно использовать в работе.
• Кстати, Netcat, впервые выпущенный в 1995 году (!), является одним из "оригинальных" инструментов тестирования на проникновение в сеть. Netcat настолько универсален, что вполне оправдывает авторское название "швейцарский армейский нож" хакера. Самое четкое определение Netcat дают сами разработчики: "простая утилита, которая считывает и записывает данные через сетевые соединения, используя протоколы TCP или UDP". Так то...
.
Please open Telegram to view this post
VIEW IN TELEGRAM
NetCat for pentesters.pdf
2.9 MB
• И еще есть вот такое старое, но довольно информативное руководство по использованию NetCat, с примерами и командами.
🤍 🤍 🤍 🤍 🤍
• P.S. В качестве дополнительного материала рекомендую обратить внимание на хорошую статью, которая будет полезна тем, кто хочет изучить функционал данного инструмента:
➡ Для чего Netcat;
➡ Версии Netcat;
➡ Ncat: ваш универсальный сетевой коннектор;
➡ Принципы работы Ncat;
➡ Подключение к HTTP в Ncat;
➡ Подключение через SSL (HTTPS) в Ncat;
➡ Режим прослушивания Ncat;
➡ Запуск команд через ncat;
➡ Подключение к Ncat если удалённая машина находиться за NAT;
➡ Как сделать так, чтобы при закрытии клиента Ncat, не отключался сервер Ncat;
➡ Как передать файлы на удалённый компьютер;
➡ Как загрузить файл с удалённого компьютера;
➡ Как сделать веб-сервер с Ncat;
➡ Как с помощью Ncat получить доступ к службам, доступным только в локальной сети;
➡ Использование SSH через туннель Ncat;
➡ Как Ncat превратить в прокси;
➡ Как разрешить подключение к Ncat с определённых IP;
➡ Отправка почты;
➡ Создание цепей последовательной передачи трафика между нескольких Ncat;
➡ Очистка от SSL;
➡ Ncat как SSL сервер;
➡ Сканирование портов;
➡ Закрепление на удалённой машине;
➡ Эмуляция диагностических служб.
#Netcat
• P.S. В качестве дополнительного материала рекомендую обратить внимание на хорошую статью, которая будет полезна тем, кто хочет изучить функционал данного инструмента:
#Netcat
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• В 2000 году шведская компания Tele2 решила создать развлекательный портал Everyday в кратчайшие сроки. Проектом занимались Никлас Зеннстрем и Янус Фриис (на фото). Однако что-то пошло не так, и директор по маркетингу эстонского офиса Tele2 предложил привлечь эстонских программистов. В ежедневной газете опубликовали объявление о поиске специалистов. Среди откликнувшихся оказались одноклассники Яан Таллинн, Ахти Хайнле и Приит Касесалу. В то время они настолько нуждались в деньгах, что выучили PHP за несколько дней и выполнили тестовое задание быстрее, чем ожидалось.
• Работу они получили, и проект был запущен, но портал Everyday потерпел неудачу и провалился. После этого Зеннстрем и Фриис покинули Tele2 и начали разрабатывать новые бизнес-идеи. Так появилась Kazaa — программа для обмена файлами, позволяющая передавать файлы напрямую с одного компьютера на другой, минуя промежуточный сервер. Программу создал Яан Таллинн у себя дома, и она быстро стала одной из самых скачиваемых в интернете. Однако вскоре проект столкнулся с обвинениями в содействии пиратству, что привело к юридическим проблемам.
• Пока юристы занимались Kazaa, команда начала искать другое применение технологии P2P. В 2002 году началась активная работа над новым проектом, а весной 2003 года ранняя версия программы была передана для тестирования небольшой группе людей. Изначально проект не вызвал восторгов из-за технических недоработок, таких как периодические пропадания звука. Однако тестировщики быстро осознали, что получают возможность общаться с собеседниками в другой точке мира бесплатно, и изменили свое мнение.
• Проект получил название Skype, хотя изначально планировалось назвать его Skyper, но доменное имя
Skyper.com оказалось занято, и пришлось изменить название. Несмотря на перспективность, Skype не приносил дохода из-за бесплатного распространения, отсутствия рекламы и заинтересованных инвесторов. Команда оказалась в сложной ситуации и была вынуждена приостановить разработку. Однако именно в этот момент появился первый инвестор — американский миллионер Уильям Дрейпер, который увидел потенциал в технологии P2P и решил вложить средства в проект.• Первые вложенные в Skype миллионы окупились в тысячу раз. Программа была запущена в августе 2003 года и всего за несколько месяцев набрала миллион пользователей, что стало началом её стремительного роста и популярности. Вскоре инвесторы, включая известных миллионеров, начали активно вкладывать капиталы в развитие проекта, видя в нем огромный потенциал.
• Вот так и родилась легенда. Но итог оказался крайне печальным, как вы все уже прекрасно знаете. После того как Microsoft купил Skype за 8.5 миллиардов баксов, всё пошло не так как планировалось. Выпуская обновления Microsoft усложняли интерфейс программы, функциональность падала, а пользователи жаловались. Тем временем конкуренты (WhatsApp, Zoom и Microsoft Teams) развивались и были нацелены на простоту и удобство. Особенно во времена COVID, когда все мигрировали в Zoom, Skype растерял свою аудиторию. С того момента стало ясно, что Microsoft не может позиционировать Skype как жизнеспособный вариант. Но это уже совсем другая история...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• В интересное время живем... домашние гаджеты — от холодильника до чайника — поумнели настолько, что теперь нуждаются в постоянной проверке сетевого подключения. А что говорить о вашей ОС, которая живет своей жизнью и инициирует различные сетевые подключения в огромном кол-ве без вашего ведома?
• Трафик домашних устройств можно отслеживать и блокировать на маршрутизаторе, где есть функция файрвола. Для более продвинутого мониторинга традиционно используются сетевые снифферы. Самым известным является #Wireshark, но есть наиболее легкий инструмент и с наиболее приятным интерфейсом. Тулза называется Sniffnet. Наверное, это самый красивый инструмент сетевого мониторинга в настоящее время, причём у него на выбор есть четыре темы оформления. В остальном функции стандартные:
- Поддержка фильтров для наблюдаемого трафика;
- Просмотр общей статистики по интернет-трафику;
- Просмотр графиков интенсивности трафика в реальном времени;
- Подробная информация о доменах и сетевых провайдерах узлов, с которыми происходит связь;
- Идентификация соединений в локальной сети;
- Географическое положение удалённых узлов;
- Настройка пользовательских уведомлений для информирования о наступлении определённых сетевых событий;
- Просмотр сетевых подключений в реальном времени;
- Сохранение полного текстового отчёта с подробной информацией по каждому сетевому соединению:
➡ IP-адреса источника и получателя;
➡ Порты источника и назначения;
➡ Используемые протоколы;
➡ Количество переданных пакетов и байт;
➡ Начальная и конечная временные метки обмена информацией.
• Если говорить простыми словами, то тулза позволяет подключаться к определенному сетевому интерфейсу и наблюдать его активность. Кстати, вы еще можете настроить нужные уведомления: по соединению с определенным ip или превышению лимита по частоте передачи пакетов. Есть кроссплатформенность (можно использовать на Linux, Mac или Windows). Ну и весь исходный код открыт, так что забираем по ссылке ниже и пользуемся:
➡️ GitHub;
➡️ Сайт проекта;
➡️ Wiki проекта.
#Сети #Tools
• Трафик домашних устройств можно отслеживать и блокировать на маршрутизаторе, где есть функция файрвола. Для более продвинутого мониторинга традиционно используются сетевые снифферы. Самым известным является #Wireshark, но есть наиболее легкий инструмент и с наиболее приятным интерфейсом. Тулза называется Sniffnet. Наверное, это самый красивый инструмент сетевого мониторинга в настоящее время, причём у него на выбор есть четыре темы оформления. В остальном функции стандартные:
- Поддержка фильтров для наблюдаемого трафика;
- Просмотр общей статистики по интернет-трафику;
- Просмотр графиков интенсивности трафика в реальном времени;
- Подробная информация о доменах и сетевых провайдерах узлов, с которыми происходит связь;
- Идентификация соединений в локальной сети;
- Географическое положение удалённых узлов;
- Настройка пользовательских уведомлений для информирования о наступлении определённых сетевых событий;
- Просмотр сетевых подключений в реальном времени;
- Сохранение полного текстового отчёта с подробной информацией по каждому сетевому соединению:
• Если говорить простыми словами, то тулза позволяет подключаться к определенному сетевому интерфейсу и наблюдать его активность. Кстати, вы еще можете настроить нужные уведомления: по соединению с определенным ip или превышению лимита по частоте передачи пакетов. Есть кроссплатформенность (можно использовать на Linux, Mac или Windows). Ну и весь исходный код открыт, так что забираем по ссылке ниже и пользуемся:
#Сети #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• В 1996 году два приятеля из Microsoft осуществили мечту, открыв собственную компанию по разработке игр. Сегодня мы знаем эту компанию как Valve – владельца Steam и разработчика культовой Half-life 2. Valve задавала тренды в гейм-дизайне в конце 90-х и начале 2000-х, а сегодня занимает до 80% рынка цифровой дистрибуции видеоигр.
• История компании, которая принесла своему создателю более $8 млрд, начинается в 1996 году в штате Вашингтон, известному как родина двух гигантских корпораций США — Microsoft и Amazon. Основатели Valve Гейб Ньюэлл и Майк Харрингтон тесно связаны между собой. До 1996-го они были разработчиками компании Microsoft, где управляли программами и операционными системами. Гейб был ценным сотрудником и продюсировал, по его словам, Windows 1.01, 1.02 и 1.03. Нажив миллионное состояние, Ньюэлл решил покинуть Microsoft для исполнения главной цели – открытия бизнеса, и прихватил с собой коллегу. С этого момента и начинается история компании Valve, но обо всем по порядку...
• Valve начинается с модификации игрового движка культовой Quake в движок GoldSrc, который стал базой для первых продуктов компании. Работа с трансформацией движка длилась два года: пересмотрели систему анимации, изменили инструменты ИИ и внедрили поддержку Direct3D. Зачем? Чтобы на базе GoldSrc создать Half-life – игру, которая перевернет игровой мир.
• Трудно поверить, но «халфа», проданная в количестве 91 млн. копий, на заре создания не смогла привлечь ни одного издателя. Уговорить удалось только Sierra On-Line, которые согласились на контракт из-за перспективного в то время движка Quake и потому что были заинтересованы в разработке 3D-экшена. Sierra не прогадали: Half-Life просто разорвала игровой рынок. Для своего времени это была реалистичная игра с отличным сюжетом, а работа сценариста Марка Лэйдлоу задала космическую планку для последующих однопользовательских шутеров.
• Успех Half-life обеспечил для Valve новый контракт, на этот раз с Gearbox Software. «Гейб и Ко» разработали три дополнения: Opposing Force (1999), Blue Shift и Decay (2001). Параллельно с созданием допов для Half-life, Valve начинает приобретать более мелких разработчиков, например, TF Software Pty Ltd, которые сделали мод Team Fortress (1998) для оригинальной Quake.
• Движок GoldSrc был популярен, поэтому Valve выпустили комплект для разработки ПО GoldSrc SDK, который позволил игрокам модифицировать созданные на нём игры. Один из модов, а именно Counter-Strike для Half-Life, сделанный Мин Ле и Джессом Клиффом, стал так популярен, что Valve приобрели разработчика и принялись за создание одноимённой игры. Гейб поддерживал мододелов и щедро платил за карты для релиза, а аудитория горячо встретила CS (2000), вознеся её на пьедестал как одну из популярнейших киберспортивных игр.
• Valve выпускали всё больше игр и дополнений и захватывали рынок гейминга. Это заставило компанию задуматься о том, как взять свои продукты под контроль. С этого момента начинается зарождение и разработка Steam, цели которой были очень просты:
• Изначально Steam создавался только под нужды Valve, но со временем платформа получила признание и дала дорогу для публикации сторонних игр.
• Правда, релиз Steam был синонимичен провалу, так как в 2003-2004-м годах серверы не могли выдержать запросы большого числа пользователей, блокировали доступ к купленным играм, обеспечивали низкую скорость загрузки, а интерфейс (на фото) был неудобным, неуклюжим и постоянно исправлялся, что раздражало поклонников Valve. Критика со стороны пользователей также была связана с требованием постоянного подключения к сети – а в то время лишь четверть американских домов имели доступ к широкополосному интернету. Но по итогу Valve справился со всеми проблеми и сейчас Steam является самой популярной платформой для покупки и обновления игр.
#Разное #Оффтоп
Please open Telegram to view this post
VIEW IN TELEGRAM
Открытый практикум Linux by Rebrain: Работа с sed
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉Регистрация
Время проведения:
9 июля (среда) в 20:00 по МСК
Программа практикума:
▪️Что такое потоковые редкаторы?
▫️Почему обычные редакторы не всегда подходят?
▪️Введение в регулярные выражения
▫️Работа с редактором sed
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 13+ лет опыта работы с ОС Linux. 11+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFFzGBc4
После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме.
👉Регистрация
Время проведения:
9 июля (среда) в 20:00 по МСК
Программа практикума:
▪️Что такое потоковые редкаторы?
▫️Почему обычные редакторы не всегда подходят?
▪️Введение в регулярные выражения
▫️Работа с редактором sed
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 13+ лет опыта работы с ОС Linux. 11+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFFzGBc4
• В критичных базах PostgreSQL во внутренней инфраструктуре часто применяют внешнюю аутентификацию через PAM-модуль. Это позволяет реализовать ротацию паролей и ролевую модель на основе LDAP (AD), что при корректной настройке значительно повышает уровень защищённости.
• Авторы данного материала столкнулись с ситуацией, когда в подобной схеме аутентификации не были учтены все потенциальные векторы атаки. В результате им удалось получить доступ к PostgreSQL с высокими привилегиями. В этой статье подробно разобраны ошибки конфигурации, которые привели к компрометации БД, а также описана последовательность эксплуатации.
#Пентест #PostgreSQL #PAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Производство телефонов с цифровыми фотокамерами впервые началось в мае 1999 года с японского беспроводного Kyocera Visual Phone VP-210. Он был оборудован фронтальной камерой разрешением 110,000 пикселей, мог сохранять до 20 кадров в формате
Jpeg и отправлять их по e-mail со скоростью до двух кадров в секунду, имитируя видеозвонок.• Пионером в создании более «классического» ныне формата телефона с камерой стал южнокорейский Samsung, выпустивший в июне 2000 года SCH-V200 с камерой уже на 350,000 пикселей. Правда, самостоятельно отправлять фотографии по электронной почте он не умел, требуя для их получения подключения к компьютеру.
• Однако первое в истории «фото на телефон» было сделано за два года до японской и за три года до корейской модели. 11 июня 1997 года IT-разработчик и предприниматель Филипп Кан соорудил систему из нескольких устройств, чтобы в режиме реального времени прямо из родильной палаты показать родственникам и друзьям своего новорожденного ребёнка.
• В 1994 году Филипп Кан и его жена-кореянка Соня Ли основали Starfish Software: компанию, работавшую над вопросами беспроводной синхронизации мобильных устройств и создавшую технологию TrueSync. В 1998 году стартап выкупит Motorola за 325 миллионов долларов. Примерно тогда же Кан стал задумываться над тем, как «сделать коммуникацию визуальной».
• 11 июня 1997 года Кан находился в клинике Sutter Maternity в городе Санта-Круз к югу от Сан-Франциско по уважительной причине: Соня должна была вот-вот родить дочь.
• У Кана были с собой ноутбук Toshiba 430CDT, цифровая камера Casio QV и телефон Motorola StarTAC. Он планировал сфотографировать новорожденную традиционным способом: снять на цифровую камеру, слить фотографии на ноутбук, разослать родне и друзьям по электронной почте. И тут Кану пришла в голову идея оптимизировать процесс: чтобы снятый кадр незамедлительно отправился к адресатам.
• К моменту первой мобильной фотографии Хан уже почти год работал над технологией PictureMail: системой на основе веб-сервера для обмена фотографиями в Интернете. Филипп соорудил у себя дома веб-сервер, позволявший после загрузки фотографии на специальный сайт автоматически рассылать её адресатам из установленного списка e-mail’ов.
• На его ноутбуке в больнице, естественно, подключения к сети не было. Но мобильный телефон позволял отправить фотографию с ноутбука на его веб-сервер для дальнейшей рассылки. Оставалось всё это сопрячь, причём незамедлительно.
• В экстремальных условиях больничной палаты с рожающей женой он умудрился за 18 часов, оставшихся до момента появления ребёнка, не только продумать, как синхронизировать три устройства, в том числе посредством паяльника, но и написать для этого весь необходимый код. Когда под рукой не оказалось нужных проводов, он попросту вырезал их из динамика собственной машины.
• Когда дочь Филиппа и Сони, Софи, появилась на свет, система (на фото) уже была создана, отлажена и готова к работе. Филипп взял новорожденную на руки — и сделал историческую фотографию. За считаные минуты друзьям и родственникам Филиппа и Сони отправились 97 электронных писем с первым в мире «мобильным фото». Всего это письмо получили около 2000 человек.
• Уже в 1998 году Филипп и Соня основали компанию Lightsurf, основанную на доведённой до реального воплощения технологии PictureMail. Они пытались продать её крупным производителям камер, доминирующим на рынке. Однако Kodak, Polaroid и прочие тогда предпочитали считать, что цифровые камеры и телефоны — два совсем разных направления. Как мы знаем теперь, они ошиблись.
• В конце концов супруги нашли партнёра в японской компании J-Phone, которая в 1999 году работала с Sharp над разработкой «телефона Picture-Mail» на основе идей Кана.
• Результатом стала вышедшая в ноябре 2000 года модель J-Phone / Sharp J-SH04, ставшая первой доступной потребителям массовой моделью мобильного телефона с камерой и возможностью незамедлительной отправки фото через сеть (на фото)...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Увлечены информационной безопасностью? Хотите классную карьеру и интересную работу? Если ваш ответ на оба вопроса да, то этот пост для вас.
Магистратура Университета ИТМО – это обучение на реальных кейсах, профессиональное развитие и крутой нетворкинг. А еще, это бюджетные места, много бюджетных мест.
У нас целый факультет информационной безопасности с программами на любой вкус:
Информационная безопасность
Кибербезопасность
Безопасность систем ИИ
Безопасность беспилотных систем
А еще на эти программы можно поступить без экзаменов. Скажем по-секрету, это очень даже возможно. Подробнее о магистратуре в ИТМО можно узнать здесь.
Реклама. Университет ИТМО ИНН:7813045547
Магистратура Университета ИТМО – это обучение на реальных кейсах, профессиональное развитие и крутой нетворкинг. А еще, это бюджетные места, много бюджетных мест.
У нас целый факультет информационной безопасности с программами на любой вкус:
Информационная безопасность
Кибербезопасность
Безопасность систем ИИ
Безопасность беспилотных систем
А еще на эти программы можно поступить без экзаменов. Скажем по-секрету, это очень даже возможно. Подробнее о магистратуре в ИТМО можно узнать здесь.
Реклама. Университет ИТМО ИНН:7813045547
• Совсем забыл рассказать вам о том, что в нашем боте S.E. Virus Detect появился функционал проверки GitHub репо. Теперь вы можете направить боту ссылку на репозиторий и осуществить его проверку на наличие накрутки звезд (пример на скриншоте). Данная фича была реализована с помощью инструмента Shotstars v3.0, о котором я рассказывал ранее. Напомню, что если вы проверили репо и обнаружили факт накрутки, то его нужно тщательно проверять перед использованием и быть максимально осторожным, либо не использовать вовсе.
➡ S.E. Virus Detect.
➡ Новости \ описание обновлений.
• Вероятно, что в будущем дополним данный функционал дополнительными параметрами и сделаем так, что при выводе результата формировался красивый отчет в формате pdf. Как это реализовано сейчас при проверке ссылок через сервис Web-Check.
• P.S. Если нашли баг, недоработку, ошибку в тексте, либо у вас есть предложение по новому функционалу, то пишите по контактам, которые указаны в описании канала \ бота.
#VT
• Вероятно, что в будущем дополним данный функционал дополнительными параметрами и сделаем так, что при выводе результата формировался красивый отчет в формате pdf. Как это реализовано сейчас при проверке ссылок через сервис Web-Check.
• P.S. Если нашли баг, недоработку, ошибку в тексте, либо у вас есть предложение по новому функционалу, то пишите по контактам, которые указаны в описании канала \ бота.
#VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Начиная с апреля злоумышленники размещают в магазине Firefox фейковые аддоны, которые являются клонами популярных криптокошельков. Расчет идет на невнимательность пользователей.
• Если юзер устанавливает такое расширение, то может легко потерять все свои средства, так как вредоносный код аддона перехватывает сид-фразы и отправляет их на свой сервер. А еще аддоны тщательно маскируют, указывая оригинальный логотип, накручивают рейтинг и отзывы. Так что будьте осторожны и внимательно проверяйте то, что скачиваете.
#Новости #Firefox
Please open Telegram to view this post
VIEW IN TELEGRAM