WarLord

What if we told you that there is a way to get command execution on MSWord without any Macros, or memory corruption?! Windows provides several methods for transferring data between applications. One method is to use the Dynamic Data Exchange (DDE) protocol. The DDE protocol is a set of messages and guidelines. It sends messages between applications that share data and uses shared memory to exchange data between applications. Applications can use the DDE protocol for one-time data transfers and for continuous exchanges in which applications send updates to one another as new data becomes available. In our context DDE works by executing an application, that will provide the data (data provider). In a previous post1 We discussed using DDE in MSExcel to gain command execution, and have had great success in using this technique to bypass macro filtering mail gateways and corporate VBA policies. DDE isn’t only limited to Excel and Word has had DDE capabilities all this time. This has been mentioned by others2 as a possible avenue, but to our knowledge, no-one has actually demonstrated this to work. https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/ L-am incercat in Word 2010, si merge.

Alti zapaciti din Resurse Umane, care nu stiu cum ce se mananca meseria de pentester. Cu anunturi din alea ii plin netu'!

Super colectie! Merci fain gigiRoman.

Esti comic. Vorbesti cu mine de parca as fi ceva criminal si cunosc viata din puscarii. Imaginatia ta a luat-o deja razna! Nu cunosc viata din puscarii din SUA, si nici nu vreau, pentru ca nu imi pasa sa fac nimic ilegal. Daca vrei sa afli pe cont propriu, poate te extradeaza Romania, si poate un Bubba negru de 300 de pounds, va fi "prietenul" tau in celula, si ne povestesti tu cum a fost. Eu am un salar in IT pe care putini il au, si posibilitati sa fac bani pe langa in consulting. Am spus ca nu au dovezi clare, ca sa il bage la zdup, ca altfel baietii de la FBI il arestau pe loc. Oricum, nu are rost sa vorbim deocamdata, pana nu se finalizeaza anumite proceduri. Daca e vinovat, atunci, poate ne povesteste el, cum au stat lucrurile cu Bubba. Oricum, isi merita soarta daca e gasit vinovat pentru ca se joaca cu vietile oamenilor.

Se pare ca nu au dovezi destule sa il bage la zdup. Bine ca fac bani de pe cautiuni.

Defcon cu siguranta si restul daca e timp. Ma duc si la Blanketfortcon . Cred ca ii la Cesar's Palace.

Se plang expertii pe Info Sec si pe Twitter ca nu gasesc angajati entry level sau medium level, si ca va fi un shortage de vreo 2 milioane de info sec pros pana in 2022. Angajatorii vor sa fi expert, vor diploma de facultate, sa lucrezi deja la Master in InfoSec, sa ai 5+ ai experienta, CISSP, sa fi expert in vreo 2-3 limbaje de programare, si sa ai certificate, sa nu mai vorbesc de salarii de mizerie. Si asta in "the good old U.S.A.". Pai cum sa nu fie, daca HR-ul ii plin de tampiti, care folosesc metode invechite de angajare, si care nici nu stiu ce ii ala un OSCP sau alte certificari, si efortul pe care trebuie sa il depuna careva sa obtina certificarile alea. Nu vorbesc de certificarile care au dumps pe undeva, si de alea care nu au dumps, si la care trebuie sa iti bati capul. Din cate aplicatii am trimis pentry entry level, cu ani de experienta in IT, HR-ul nici nu s-au obosit ca macar sa imi raspunda ca de ce. Pentru ca li se rupe, sunt lenesi si incompetenti! O fi vreun fel de PR stunt combinat cu batjocura. Anul asta am zis sa ma duc la DefCon in Las Vegas, ca am zis sa fac un pic de "social networking" ca da-de va fi ceva. Am fost la niste cursuri foarte bune printr-o comunitate la vreo 1 ora distanta de mine, in infrastructure si web application pentesting, si toti ar vrea sa faca tranzitia de la sys admin, helpdesk in Info Sec, dar vad batjocura si lipsa de educatie legata de Info Sec a celor din HR, si prefera sa ramana pe pozitiile lor. In plus, multi ca sa intre in Info Sec trebuie sa inceapa de la entry level, si asta ar insemna sa piarda bani. Pana vom vedea ca se schimba mentalitatea celor din HR legat de info sec, vor trece cativa ani. In plus, e foarte multa aroganta in Info Sec din partea celor deja stabiliti in industrie, si asta nu face decat sa dauneze celor care vorb sa intre in Info Sec. Cam ce am vazut ca se poate face, e sa te muti in alte orase, numai ca sa lucrezi in Info Sec, ceea ce insemna sa lasi in urma casa (fara chirie), prietenii, familia, etc. Putini is dispusi sa faca asta si mai ales pe bani putini!

M-am inscris la un cont platit de mega.nz si daca aveti nevoie de ceva download mare pentru care aveti nevoie de cont platit, PM me.

Fiindca am vazut ca pe forum nu s-a mentionat de hackeducate.com, am zis sa-l postez. Evident ca sunt challenge-uri mai noi Daca l-a terminat careva pe ala cu robots, dati-mi un pm. Sunt blocat la o varianta cu ceva seif, care aduna niste numere lungi, si nu ai decat 1 secunda sa dai rezultatul. Cineva imi zicea ca pot sa scriptez rezultatul, dar nu inteleg cum. Numerele se schimba tot la 2-3 secunde cand dai refresh in browser. Merci.

Pentru cei interesati! http://robots.hackeducate.com/enter.php Daca termina careva, sa ma anunte. Sunt blocat la un nivel.

Chiar sunt curios, sa vad ce notiuni se predau. Poate ma inscriu si eu

Web Hacking 101 On December 22, 2015, Twitter paid over $14,000 to ethical hackers for exposing vulnerabilities. This wasn't a shakedown. Sites like Twitter, Shopify, Dropbox, Yahoo, Google, Facebook and more, ask ethical hackers to report security bugs and pay them. This book will teach you how you can get started with ethical hacking. aHR0cDovL2Jvb2t6ei5vcmcvYm9vay8yNTk1NjcwLzE5YTgyZi8/X2lyPTE=

Bravo! Excellent find! Tine-o tot asa!

Oare cum ar fi sa comparam studentii din alte tari, cu acelasi nivel de pregatire ca si in Romania, si sa vedem cat castiga ei, ca si angajati, numai cu cunostinte din facultate? Stim deja ca Romania e aproape pe ultimul loc, la nivel de salar, din Europa, indiferent, daca ai experienta, sau nu. Stim cu totii despre exodul celor calificati si necalificati din Romania. Daca problema e legata de facultati care nu pregatesc studentii suficient, atunci aici e o parte din problema, si ministerul invatamantului/educatiei trebuie sa schimbe asta (dar cand ministrul ei a plagiat diploma de doctorat, ce sa mai spui studentilor, sau directorilor de facultati); restul depinde de student, dar mai ales de economie, care trebuie sa stimuleze sau sa mareasca 'apetitul' pentru studentii de facultate, sau cei din scoli profesionale, sa ramana in Romania, pentru salarii comparative cu restul Europei. E bine ca macar studentii nostrii nu ies din facultate cu imprumuturi de $40k-$80k. De ce facultatile din Romania nu se implica mai mult in a initia proiecte pentru studentii din Romania, care sa ii pregateasca pentru un inceput de cariera, ca sa nu se mai puna problema, de "fara experienta"? Nu s-ar mai pune problema de venit prea mic atunci, dar raspunsul nu ii numai aici; cauza e asteptarea exagerata a angajatorilor, care nu inteleg sistemul romanesc de invatamant. Nimeni nu are curajul sa vorbeasca de salarii decente, pentru ca asta ar insemna costuri mai mari, poate mai putin profit, dar nu aplica niste principii simple de meritocratie si return-on-investment. Cred ca e important ca sa nu se descurajeze prin salar, pe cei proaspat intrati pe piata muncii, ci dimpotriva. Ca sa nu ma lungesc prea mult la vorba, uite aici un sistem, care ar merita aplicat pentru angajati. Google: "smart - smart measurable attainable realistic and timely". Aplicat de unele companii din Statele Unite, pentru evaluarea angajatilor, pentru bonusuri, marire de salarii, etc. Bonusurile pot sa fie orice: abonament sala de fitness, zile libere, chiar bani, etc. Angajatorii creeaza problema, desi partial, si ei se plang prin ziare, ca nu gasesc munca calificata, dar vina nu e in totalitate a lor, dupa cum am spus mai sus. https://www.numbeo.com/cost-of-living/

https://groups.google.com/forum/m/#!topic/rsua-ts2014/bsDNBH0MrcU Pentru cei interesati! Spor la download!

New link: https://github.com/samratashok/nishang

Mai radeti si voi, mah! http://amanda.secured.org/bad-malware-pickup-lines/

Published on Jan 6, 2015 Slides Here: https://defcon.org/images/defcon-22/d... Don't Fuck It Up! Zoz ROBOTICS ENGINEER Online antics used to be all about the lulz; now they're all about the pervasive surveillance. Whether you're the director of a TLA just trying to make a booty call or an internet entrepreneur struggling to make your marketplace transactions as smooth as silk, getting up to any kind of mischief involving electronic communications now increasingly means going up against a nation-state adversary. And if even the people who most should know better keep fucking it up, what does that mean for the rest of us? What do the revelations about massive government eavesdropping and data ingestion mean for people who feel they have a right if not a duty to occasionally be disobedient? It's time for a rant. Analyzing what is currently known or speculated about the state of online spying through the prism of some spectacular fuckups, this talk offers an amusing introduction to how you can maximize your chances of enduring your freedom while not fucking it up. Learn how not to fuck up covering your tracks on the internet, using burner phones, collaborating with other dissidents and more. If you have anything to hide, and all of us do, pay attention and Don't. Fuck. It. Up! Zoz is a robotics engineer, prankster and general sneaky bastard. He has been pretty successful at pulling some cool subversive shit and not fucking it up and getting caught. He once faked a crop circle for the Discovery Channel and it was all uphill from there.

Nu cred ca au lucrat la ele. Cunostintele de baza raman la fel oricum, si de fapt asta e cu OSCE: cunostinte de baza in exploit development.

Culmea, ca nici nu s-o chinuit aia sa schimbe portul din 4444 in altceva.

Buna comparatie ai facut si tu. Bine ca nu ai comparat Romania cu America. :)))

" Se pare ca hackerii si-au falsificat identitatea si s-au dat drept manager al firmei din Germania si i-au pretins directorului financiar din Bistrita sa transfere suma de 40 de milioane de euro intr-un cont ca urmare a unei plati. " - ce usor se transfera 40 de milioane, numai asa la cererea unui manager. Nu stiu ce cititori cred ziarele astea ca au, sau poate stiu chiar foarte bine, dar sa transferi sume asa de mari, trebuie aprobari dupa aprobari, decizii de luat, intrebari de raspuns, etc, si multe persoane sunt implicate numai asa sa transferi bani de 100 de mii, da 40 de milioane. Asta ii curat "spalare de bani" sa nu plateasca impozite catre statul roman. Ce dreq face statu' roman, si institutiile astea de stat, pline de experti cu facultati si masterate, care-s platite din banii contribuabililor, nu stiu. Pai daca ii vorba de cyber crime, atunci unde-s investigatiile? Banii aia nu se pot urmari? Cand am facut transfer bancar catre Romania, le-o trebuit la banci 7 zile, ca sa caute conturile, sa verifice, ca banii is virati, si alte abureli, dar cand ii vorba de 40 de milioane, se face totul in 1-2 zile. Sa mearga SRIu si organizatiile de combatere a crimei virtuale din Romania, dracului! Toti is criminali si implicati!

Admini puteti sa stergeti threadul asta. Scuze. Am postat in sectiunea gresita!

OSCP people be like: :))) https://twitter.com/highmeh/status/760595432237957120