Как стать автором
Обновить
30.08
Рейтинг
Deiteriy Lab
Делаем пентесты
Сначала показывать

Обход аутентификации и способы выполнения произвольного кода в ZABBIX

Блог компании Deiteriy Lab Информационная безопасность *Системное администрирование *IT-инфраструктура *Серверное администрирование *

В этой статье мы поговорим о некоторых атаках на систему мониторинга Zabbix и рассмотрим сценарии удаленного выполнения кода (RCE).

Нередко на пентестах встречаются устаревшие версии Zabbix, или Zabbix с дефолтными или словарными паролями администраторов (а иногда и все вместе). В таких случаях zabbix становится легкой добычей для пентестера.

Разберем также и новую уязвимость CVE-2022-23131, которая позволит нам обойти аутентификацию Zabbix.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 6.3K
Комментарии 9

OSINT или разведка по открытым источникам

Блог компании Deiteriy Lab Информационная безопасность *

Поиск по открытым источникам — это методология сбора и анализа данных, находящихся в открытом доступе, для получения дополнительной информации о цели.

В данной статье расскажем о том, какими методами и средствами можно собирать информацию из открытых источников об организации, покажем примеры такой информации и расскажем о максимально большом количестве утилит и методов, которые могут помочь увеличить покрытие.

Надеемся, что статья будет полезна как пентестерам и охотникам за ошибками для увеличения области аудита, так и стороне защиты (blue team, application security и т.д.) для защиты инфраструктуры своей организации.

Читать далее
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 22K
Комментарии 4

Turbo Intruder и потерянное руководство пользователя

Блог компании Deiteriy Lab Информационная безопасность *
Tutorial

Практически каждый, кто хоть немного пользовался Burp Suite, знает про Intruder – инструмент внутри Burp, который позволяет автоматизировать атаки на веб-приложения, такие как брутфорс, фаззинг, майнинг параметров.

Однако, Intruder имеет много ограничений. Например, в Intruder не так много возможностей для генерации и предобработки пейлоадов, а также он плохо подходит для тестирования сложных многоступенчатых атак и race condition. Все это делает Intruder не настолько универсальным инструментом, насколько хотелось бы.

К счастью, существует более изящный инструмент с желаемой функциональностью - расширение Turbo Intruder. Инструмент отличный, но у него отсутствует нормальная документация. Скорее всего многие про него слышали и даже пытались разобраться. Для тех, кто разобраться не смог – предназначена эта статья.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.5K
Комментарии 0

Брутфорс хэшей в Active Directory

Блог компании Deiteriy Lab Информационная безопасность *Системное администрирование *
Tutorial

Слабые пароли пользователей — очень распространенная проблема, которая может позволить злоумышленнику повысить свои привилегии в сети компании и закрепиться в ней.

Чтобы этого не допустить, необходимо регулярно анализировать стойкость паролей пользователей.

У системных администраторов нет возможности увидеть пароли пользователей в открытом виде, но они могут загрузить хэши паролей и провести их перебор.

В этой статье мы расскажем о том, как можно легко получить хэши паролей пользователей и провести эффективный перебор паролей, используя различные методы.

Данный материал также будет полезен пентестерам, которым для развития атаки требуется восстановить пароли пользователей.

Читать далее
Всего голосов 20: ↑19 и ↓1 +18
Просмотры 12K
Комментарии 3

Захват контроллера домена с помощью атаки PetitPotam

Блог компании Deiteriy Lab Информационная безопасность *

В этой статье я расскажу про атаку PetitPotam, которая позволяет при определенных условиях захватить контроллер домена всего за несколько действий. Атака основана на том, что можно заставить контроллер домена аутентифицироваться на вашем хосте, получить его хэш и ретранслировать его в службу Active Directory Certificate Services для повышения привилегий. Статья предназначена для пентестеров и тех, кто хочет узнать об актуальных атаках на Active Directory.

Читать далее
Всего голосов 26: ↑26 и ↓0 +26
Просмотры 12K
Комментарии 4

Информация

Дата основания
Местоположение
Россия
Сайт
lab.deiteriy.com
Численность
31–50 человек
Дата регистрации
Представитель
Антон