Secu

The Kraken has been released! A modular multi-language webshell (PHP, JSP, ASPX) focused on web post-exploitation and defense evasion. github.com/kraken-ng/Krak…

La Sala 25, dedicada al módulo ATENEA y patrocinada por @SGSBrightsight ha contado con los siguientes ponentes: - Ricardo J. Rodríguez, de @unizar -@Joseliyo_Jstnk, de @virustotal -@secu_x11, de @TelefonicaTech -Fernando Perera y @kriwarez, de @layakk

Want to move laterally from C2 on an Intune admin's workstation to any Intune-enrolled device? Check out Maestro (github.com/Mayyhem/Maestro), a new(ish) tool I wrote for those situations, and this blog post to walk you through how: posts.specterops.io/maestro-9ed71d…

🤠 A notorious RCE in Zimbra, CVE-2024-45519 – here’s our expert breakdown ⬇️

🔍 Want to learn how to hack Wi-Fi networks? The CWP course from WiFiChallenge Academy will take you from beginner to expert with hands-on labs and real-world scenarios. Join the mailing list to be the first to know when it launches! #WiFiChallenge academy.wifichallenge.com

💻🛡️ In this series of blog posts, Clément Labro (itm4n) one of our ethical hacker, explores yet another avenue for bypassing LSA Protection in Userland. To discover the last article of this series: ow.ly/X0eZ50TcvXi #orangecyberdefense #ethicalhacking #switzerland

💻🛡️ In this series of blog posts, Clément Labro (itm4n) one of our ethical hacker, explores yet another avenue for bypassing LSA Protection in Userland. To discover the first article of this series: ow.ly/MaFA50SUqRO #orangecyberdefense #ethicalhacking #switzerland

At Def Con I presented with @_EthicalChaos_ on new Windows Hello attacks. For ex: how to use the WinHello crypto keys from a low priv session to request a PRT on a different device, bypassing TPM protection of PRTs. Slides: dirkjanm.io/talks/ Poc: github.com/dirkjanm/ROADt…

New blog: Persisting on Entra ID applications and User Managed Identities with Federated Credentials. In this blog we set up our own IdP with roadtools, allowing us to authenticate to apps and user managed identities with federated credentials 😀 dirkjanm.io/persisting-wit…

Coming soon to your toolbox 😎

¡Gracias pero no! Si tuviese la agenda de un político no podría resolver nada: todo el día en firmas, fotos, viajes, reuniones… tendría una mano atada a la espalda. La fricción en los servicios públicos digitales es un problema de optimización; de ingeniería. De estudiar los sistemas, modelarlos para entenderlos, ponderar los esfuerzos, llegar a compromisos, tomar decisiones… Y —lo más difícil— alinear e ilusionar a las personas. El político tiene el poder de ponerlo en marcha, pero no de liderarlo. Porque los mejores técnicos de la Administración desconfían de ellos. ¡Han visto a tantos llegar y marchar! Pero para liderar hace falta ser respetado. Y el respeto de los técnicos se gana con logros, no con jerarquía. Los políticos admiran a Reagan, a Castro, a Mandela. ¿A quiénes admiramos los técnicos, los diseñadores, los gestores? A Torvalds, a Rams a Drucker. A otros técnicos, diseñadores y gestores con logros brillantes. Todos nos miramos en el espejo de nuestra misma especie. La digitalización es muchas cosas, pero en esencia es tecnología aplicada. Y, al final, eso es lo que hacemos los técnicos. Un programador experimentado y con visión puede definir y desplegar políticas. Pero miremos a nuestros políticos: ¿pueden ganarse el respeto de los técnicos? La ministra de Digitalización de Taiwán lleva veinte años escribiendo código. Tiene un conocimiento integral y profundo y ahora despliega políticas. El ministro de Transformación Digital de Ucrania tampoco viene de la política: es igualmente un tecnólogo. — Hablan el idioma de los técnicos — Pueden ser respetados — Pueden liderar Pero a la web de Renfe, a la cita previa para renovar el DNI o al sistema Cl@ve no les importa quién gane las elecciones. Son problemas de país que no se han arreglado —ni se arreglarán— con un nuevo político que solo puede aprobar planes, sacar concursos y crear observatorios.

Got my first BlueZ patch merged today. It will allow users to change Cypress Bluetooth controller MAC using the bdaddr tool. github.com/bluez/bluez/co…

Dear Fellowlship, Our owl @TheXC3LL showed during the EuskalHack VII conclave a technique to achieve stability when overwriting the R/W/X memory in VBA. Read this addendum in our homily: adepts.of0x.cc/vba-rwx-addend…

So I just learnt Windows DOES A LSA HIVES BACKUPS PERIODICALY!!!!! How is it possible I learn this after 5 years of internal assessments (french ressource malekal.com/windows-10-act…)

🔥 Our researcher Arseniy Sharoglazov has discovered two unauthenticated RCE vulnerabilities in Xerox WorkCentre! Read more ⤵️ swarm.ptsecurity.com/inside-xerox-w…

ScriptBlock Smuggling is a new technique, developed by @_Hubbl3 & @Cx01N_ that allows that allows for the spoofing of PowerShell security logs & bypasses AMSI without the need for reflection or memory patching. Learn all about in our new blog post! bc-security.org/scriptblock-sm…

Slides finished for @EuskalHack. See you this Friday!

Primera CVE 🥳 incibe.es/incibe-cert/al…

I wanted a DLL proxying tool but for lazy people, so I've created it. I didn't want to: - Use API monitor to find called functions - Use GHidra to get the function's prototype and translate it to Rust - Use DllMain So, here is Another Dll Proxying Tool github.com/Kudaes/ADPT

Possibly the best purchase I have ever made in my life. Thank you very much @tiraniddo 🫶🏻

Será genial volver a contar con Juan Manuel Fernández y su charla "Offensive VBA: developing macros for Red Team operations" en EuskalHack Security Congress VII #ESCVII @TheXC3LL #ponentes" target="_blank" rel="nofollow noopener">securitycongress.euskalhack.org/index_es.html#…