bởi mukul975
exploiting-kerberoasting-with-impacket giúp người kiểm thử được ủy quyền lập kế hoạch Kerberoasting bằng `GetUserSPNs.py` của Impacket, từ liệt kê SPN đến trích xuất ticket TGS, bẻ khóa ngoại tuyến và báo cáo có xét đến khả năng bị phát hiện. Hãy dùng hướng dẫn exploiting-kerberoasting-with-impacket này cho quy trình kiểm thử xâm nhập với ngữ cảnh cài đặt và sử dụng rõ ràng.
bởi mukul975
Skill khai thác tấn công nhầm lẫn thuật toán JWT giúp quy trình Security Audit kiểm thử nhầm lẫn thuật toán JWT, bao gồm hạ cấp RS256 sang HS256, vượt qua `alg:none`, và các mánh header như `kid`/`jku`/`x5u`. Skill này đi kèm một hướng dẫn thực hành, ví dụ tham chiếu và một script để xác thực lặp lại một cách nhất quán.
bởi mukul975
Kỹ năng khai thác lưu trữ dữ liệu không an toàn trên mobile giúp đánh giá và trích xuất bằng chứng từ bộ nhớ cục bộ kém an toàn trong ứng dụng Android và iOS. Kỹ năng này bao phủ SharedPreferences, cơ sở dữ liệu SQLite, file plist, file có thể đọc công khai, rò rỉ qua bản sao lưu, và cách xử lý yếu keychain/keystore trong các workflow pentest mobile và Security Audit.
bởi mukul975
exploiting-idor-vulnerabilities hỗ trợ các cuộc kiểm tra an ninh được cấp phép nhằm phát hiện lỗ hổng Insecure Direct Object Reference trên API, ứng dụng web và hệ thống đa thuê bao, với các kiểm tra xuyên phiên, ánh xạ đối tượng và xác minh đọc/ghi.
bởi mukul975
Kỹ năng exploiting-server-side-request-forgery giúp đánh giá các tính năng dễ dính SSRF trên mục tiêu web đã được ủy quyền, bao gồm bộ lấy URL, webhook, công cụ xem trước và truy cập metadata của cloud. Kỹ năng này cung cấp quy trình hướng dẫn để phát hiện, thử kỹ thuật vượt qua chặn, thăm dò dịch vụ nội bộ và xác thực Security Audit.
bởi mukul975
Skill exploiting-race-condition-vulnerabilities giúp chuyên viên kiểm thử bảo mật kiểm tra ứng dụng web để phát hiện lỗi TOCTOU, giao dịch trùng lặp và vượt giới hạn bằng các yêu cầu đồng thời kiểu Turbo Intruder. Nội dung bao gồm hướng dẫn cài đặt, quy trình làm việc và cách sử dụng cho các đánh giá được ủy quyền.
bởi mukul975
Kỹ năng exploiting-nopac-cve-2021-42278-42287 là một hướng dẫn thực hành để đánh giá chuỗi noPac (CVE-2021-42278 và CVE-2021-42287) trong Active Directory. Kỹ năng này giúp người làm red team được ủy quyền và người dùng Security Audit kiểm tra điều kiện tiên quyết, rà soát các tệp quy trình và ghi nhận khả năng khai thác với ít phỏng đoán hơn.
bởi mukul975
Skill exploiting-constrained-delegation-abuse hướng dẫn kiểm thử có ủy quyền trên Active Directory đối với việc lạm dụng Kerberos constrained delegation. Nội dung bao gồm bước liệt kê, yêu cầu vé S4U2self và S4U2proxy, cùng các hướng đi thực tế để di chuyển ngang hoặc leo thang đặc quyền. Phù hợp khi bạn cần một hướng dẫn lặp lại được cho pentest, chứ không phải một tổng quan chung về Kerberos.
