Apple обновила родительский контроль на своих устройствах. Рассказываем, как работают новые функции, какие есть уязвимости и нужна ли дополнительная защита.
Обновленная версия мобильного трояна Triada встроена в прошивку смартфонов, купленных в онлайн-магазинах, и крадет все, что может, — от криптовалют до аккаунтов в Telegram, WhatsApp и других соцсетях.
Для подписчиков Инструмент Volatility давно стал стандартом в цифровой криминалистике, но его эффективность напрямую зависит от корректного профиля операционной системы, который выступает «переводчиком» между сырыми данными памяти и понятной человеку информацией. В этой статье мы создадим такой профиль для работы в Linux.
Техники Diamond Ticket и Sapphire Ticket — новые направления в развитии атак на Active Directory. «Сапфировый» вариант — это прокачанная версия «алмазного»: если Diamond Ticket просто изменяет PAC, то Sapphire подставляет вместо него PAC другого привилегированного пользователя. В этой статье мы как следует разберем, как именно работают такие атаки.
Для подписчиков В этом райтапе я покажу, как получить удаленное выполнение кода на сервере через уязвимость функции iconv в библиотеке GNU C Library (glibc). На пути к этой уязвимости проэксплуатируем LFI в плагине BuddyForms для WordPress и проанализируем код мобильного приложения.
Атака «Алмазный билет» (Diamond Ticket) — это новое слово в мире эксплуатации Active Directory (AD). Она завязана на хитроумные недочеты в аутентификации и авторизации Kerberos. В этой статье мы разберем все технические тонкости этой атаки: выясним, какую роль играют Privilege Attribute Certificates (PAC), и узнаем, почему окружение AD так уязвимо. Напоследок вооружим тебя подробными советами по обнаружению угрозы.
Для подписчиков Сегодня я покажу процесс эксплуатации цепочки уязвимостей в Active Directory. Небезопасные списки доступа дадут нам сессию на хосте, а учетную запись администратора мы сможем заполучить, обнаружив сохраненные учетные данные и группу с делегированием.
Для подписчиков Иногда в мои руки попадают весьма экзотические продукты, для исследования которых отсутствуют проверенные инструменты, а информации о них в интернете — кот наплакал. Давай разберем именно такой случай и расковыряем приложение, созданное в среде WinDev.
Для подписчиков Разработчики Telegram не сидят без дела: в мессенджере с каждым годом все больше функций. Но некоторые из них, если перефразировать «Собачье сердце», могут превратиться «из классной фичи в мерзкий баг». Этот материал — о любопытной уязвимости, с которой я столкнулся, расследуя, как украли 200 миллионов рублей в крипте зимой 2025 года.
Для подписчиков В этот раз я покажу, как можно эксплуатировать цепочку чрезмерных разрешений Active Directory. Мы завладеем FTP-сервером, потом разберемся с менеджером паролей и вытащим из него учетку пользователя. Затем проэксплуатируем еще одну цепочку чрезмерных разрешений для выполнения DCSync и захвата всего домена.
Для подписчиков Пассивная разведка позволяет собрать данные о цели с минимальными рисками обнаружения. Это важный этап в пентестах и прочих offensive-проектах. Эта статья — пошаговое руководство от сбора доменов, IP-адресов и утекших данных до поиска уязвимостей. Имея перед глазами четкий план действий, можно эффективнее готовиться к следующим этапам.
Для подписчиков Много лет назад я пытался узнать, как работает игра «Мор. Утопия» на самом деле. Но тогда формат ее скриптов оказался мне не по зубам. Сегодня мы вскроем движок игры, чтобы узнать, как работают скрипты. И даже напишем собственный декомпилятор для неизвестного языка программирования!
Блог Linux Сообщества по разработкам и настройкам систем, и программированию.
есть вот такой набор ls -lh /dev/input/event* crw-rw---- 1 root input 13, 64 Apr 25 21:17 /dev/input/event0 crw-rw---- 1 root input 13, 65 Apr 25 21:17 /dev/input/event1
ls -lh /dev/fb1 crw-rw---- 1 root video 29, 1 Apr 25 21:17 /dev/fb1
как на базе этого сделать "консоль" в которой (с понижением прав) запустился бы, например бинарник, который читает ввод с консоли и пишет буквы в консоль?
ага, вопрос про обвязку для перенаправления ввода и вывода.
что-то я туплю. на малинке подгрузил описание железа чтоб у меня на гпио таких-то получился и rotary-encoder и кноппка. а как это тупо проверить? какие устройства должны создаться? какие утилиты есть чтоб посмотреть события с устройств? что ещё я забыл?
разные разберри пи сделаны на базе разных SoC. в разных SoC типично есть настройки чтоб чуть ли не по любому событию на любой ноге возникло аппаратное прерывание, есть настройки куда это замапить - на аппаратную реализацию какого-нибудь уарт/и2ц/спи/итп, или тупо пробросить в ядро события на линиях. есть уже куча стандартных драйверов типа энкодера или кнопки поверх этого.
собственно вопрос, а почему при беглом гуглении лезет какая-то лютая дичь с подделками под ардуину, с трэшем на питоне итп? почему в выдаче примерно нет настроек девайс-трии для настройки всего этого как Стандартного Тупого Быстрого Надёжного ещё раз Стандартного устройства типа Стандартного Энкодера? Почему вместо этого лезет трэш, который уже 12.34 месяцев неактуален по пичине обновления половины использованных интерфейсов с переобуванием API?
вопрос. почему оно при загрузке не монтируется, но если подождать несколько минут, пингануть малинку, подождать ещё секунд 10 пока пинги пойдут, зайти по ссш на малинку, тупо выполнить "sudo mount -a", то всё монтируется?
в чем корень проблемы? как решить эту проблему? ага, с малинки в процессе загрузки по nfs монтируем. расшарено это с компа. сеть по wifi, комп давно загружен-работает.
тупой вопрос. какая линия какого чипа соответствует какому физическому выводу СОК/процессора? это соответствие как-то глобально общеизвестно, или для каждого SoC своё?
ковыряю сразу несколько разных малинок, хочу поиметь функционал, например, типа опроса подключенного извне энкодера, который требует доступа к физ.выводам.
собственно, в сабже всё описано. хочу на телефоне иметь "ssh сервер с поддержкой sshfs для андроид". sshdroid в гуглосторе уже хрен найдешь, может его и нет. какие есть аналоги и гомологи?
ps: и да, ссш-сервер должен стоять на андроидо-телефоне. на телефоне должен стоять сервер, а не клиент. я с обычного компа по ссш должен мочь заходить на телефон по протоколу ssh и монтировать файловую систему по протоколу sshfs, который расширение ssh.
нет, мне не нужен на телефоне ссш-клиент, а большинство бегло найденных в поисковике статей рассказывают именно про клиент на телефоне. мне нужен сервер на телефоне.
есть ли такая опция в конфиге и как она правильно зовётся?
запускаю приложение (например steam), альт-табаюсь на другое приложение типа броузера или текстового редактора. начинаю вводить текст. а тут стим вместо того, чтоб стартовать в фоне, подсовывает мне окошко (перехватывает фокус ввода?). альт-табаюсь обратно. стим ещё раза три подсовывает мне всякие промежуточные окошки про прогресс запуска.
можно как-то напрочь запретить такой авто-перехват?
а есть какой-нибудь мануал на тему того, как оно (загрузка) ваще работает? что-где-как должно лежать на микро-сд чтоб он начало загрузку? кто кому в каком порядке по какому поводу передает управление? (примерно на уровне (по аналогии с ibm pc) что "стартует бис в пзу, из ЪЪЪ достает порядок загрузки, находит первый загрузочный диск, читает с него бутсектор, который дочитывает загрузчик") кто угадывает наличие усб-стораджей и возможность чтения с них? какой минимум можно-нужно положить на загрузочный с точки зрения u-boot раздел?
мико-сд карты как-т уж очень феерично дохнут, итого, хочется на микро-сд держать самый тупой минимум, а ядро и инитрд читать с намного более надежного усб-флеш.