Fsecurity | HH
前往频道在 Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
显示更多2 009
订阅者
+124 小时
+17 天
-730 天
帖子存档
2 007
Статьи для вас 👾
1 - ZipExec — это инструмент проверки концепции (POC), позволяющий упаковывать двоичные инструменты в zip-файл, защищенный паролем.
2 - Использование сканера DirSearch на Kali Linux
3 - Проверяем свои силы в тесте на CEH (Certified Ethical Hacker)
4 - OSSEC — это хост-система обнаружения вторжений с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности файлов, мониторинг политик, обнаружение руткитов, оповещение в реальном времени и активное реагирование.
5 - Ролик про SocialKraken b 1.2
Github: SocialKraken b 1.2
6 - discord сервер! Где можно пообщаться 👾
2 007
Repost from Не хакинг, а ИБ
🔎 NucleiFuzzer
Инструмент для обнаружения уязвимостей в веб-приложениях.
Он представляет собой простой bash-скрипт, который позволяет обнаруживать уязвимости в различных программах и системах, проводить тестирование на проникновение и поиск уязвимостей, а также предоставляет возможность указывать ссылки на найденные уязвимости в отчетах.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
2 007
Repost from Social Engineering
⚙️ 12 open-source инструментов пентестера.
этичных хакеров. Весь софт доступен на GitHub с подробными руководствами по установке и использованию.
• AutoFunkt — Python-скрипт, автоматизирующий создание облачных редиректоров без сервера из профилей Cobalt Strike malleable C2;
• C2concealer — утилита командной строки, генерирующая случайные профили C2 для Cobalt Strike.
• DigDug — добавляет слова из словаря к исполняемому файлу, увеличивая его размер до нужного. Этот подход может помочь обойти системы безопасности, которые анализируют уровень энтропии для проверки доверия.
• dumpCake — позволяет следить за попытками аутентификации через SSHd. Данный инструмент будет полезен для записи попыток взлома.
• EyeWitness — утилита для создания снимков веб-сайтов, сбора информации о серверах и, при возможности, идентификации учетных данных по умолчанию. Существенно сокращает время при работе с большим количеством сайтов.
• Enumerate Domain Data — инструмент для перечисления данных домена, созданный в качестве аналога PowerView, но реализованный на .NET.
• GPPDeception — скрипт создает файл
🖖🏻 Приветствую тебя, user_name.
• Специалисты компании Red Siege опубликовали полезный список инструментов с открытым исходным кодом, который предназначен для пентестеров и groups.xml, который имитирует настоящий GPP для генерации нового пользователя на компьютерах, включенных в домен.
• Just-Metadata — инструмент, который собирает и анализирует метаданные об IP-адресах, выявляя взаимосвязи между системами в большом наборе данных.
• ProxmarkWrapper — оболочка клиента Proxmark3, которая отправляет текстовое уведомление (или электронное письмо), когда захватывается карта RFID.
• Wappybird — инструмент, который позволяет находить веб-технологии с опциональным выводом в CSV. Также возможно сохранение всех собранных данных в директории с подкаталогом для каждого хоста.
• WMImplant — основанный на PowerShell инструмент, использующий WMI для выполнения действий на целевых машинах. Также применяется в качестве канала C2 для отправки команд и получения результатов.
• WMIOps — скрипт PowerShell, использующий WMI для выполнения действий на хостах в среде Windows. Предназначен в основном для использования в пентестах или Red Team.
• За ссылку спасибо https://www.securitylab.ru/;
• Источник: https://www.helpnetsecurity.com
S.E. ▪️ infosec.work2 007
Repost from no system is safe // cybersec
🌐 Ossec - это система обнаружения вторжений на базе хоста с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности файлов, мониторинг политик, обнаружение руткитов, оповещение в режиме реального времени и активное реагирование.
Инструмент предоставляет функцию обнаружения вторжений для большинства операционных систем, включая Linux, OpenBSD, FreeBSD, Mac OS X, Solaris и Windows. Его кроссплатформенная архитектура позволяет легко управлять и наблюдать сразу за несколькими операционными системами.
Опробовать инструмент можно здесь
#tool // nsis
2 007
Repost from Лаборатория хакера
🗳 Инструмент для создания вредоносных Zip-файлов, не требующих разархивации
ZipExec - это инструмент для выполнения полезной нагрузки, хранящейся в защищенных паролем zip-файлах, без их извлечения.
Инструмент передает zip-файлы на диск, используя JScript и COM-объекты, для создания zip-файла на диске и последующего их выполнения. Защита zip-файла паролем позволяет обходить EDR и механизмы сканирования антивирусов.
⏺ Ссылка на GitHub
#Redteam #Malware #AV
2 007
Привет 👋
Хотел напомнить про:
1 - Видео на моем канале и github SocialKraken
2 - Наш discord сервер! Где вы можете общаться на разные темы.
Всем желаю хорошего дня! 👾
2 007
Repost from Kali Linux
✔ GooFuzz — это проект, написанный на Bash, для фаззинга OSINT, который использует расширенные методы поиска Google (Google Dorking) для получения конфиденциальной информации в файлах или каталогах не оставляя следа на целевом сервере.
$ git clone https://github.com/m3n0sd0n4ld/GooFuzz.git
$ cd GooFuzz
$ chmod +x GooFuzz
$ ./GooFuzz -h
▪Github
@linuxkalii2 007
Repost from Белый хакер
😈 OSINT инструменты для теневой части интернета
— Небольшой список полезных инструментов для работы с сайтами в сети Tor.
Поисковые утилиты:
- OnionSearch
- Darkdump
- Ahmia Search Engine - Ссылка на GitHub
- DarkSearch - Ссылка на GitHub
- Katana
Инструменты для получения onion ссылок:
- Hunchly
- H-Indexer
- Tor66 Fresh Onions
Инструменты для сканирования:
- Onionscan
- Onioff
- Onion-nmap
Краулеры:
- TorBot
- TorCrawl
- VigilantOnion
- OnionIngestor
#TOR #OSINT |
P. S Мощная подборка, сохраняем 🔥
Белый хакер
2 007
Repost from Не хакинг, а ИБ
🛰 Притворись моим покойным дедушкой, или Как пройти квест по взлому спутника
В статье вы узнаете, как прошёл самый крупный CTF (на этот раз космический) от RUVDS и Positive Technologies:
Читать статью — линк.
// Не хакинг, а ИБ
2 007
SocialKraken b1.2 👾
Ссылка👇
https://github.com/0xHaskar/SocialKraken
Сорян, я не смог добавить OSINT Toolkit
2 007
Привет 👋
Хотел напомнить про:
1 - Уязвимость WinRAR позволяет выполнять удаленный код в Windows
2 - Наш discord сервер! Где вы можете общаться на разные темы.
Всем желаю хорошего дня! 👾
2 007
Repost from Не хакинг, а ИБ
👾 Полезные генераторы и списки слов для брутфорса
Подборка генераторов и списков слов с GitHub для брутфорс-атаки:
https://github.com/danielmiessler/SecLists
https://github.com/berzerk0/Probable-Wordlists
https://github.com/govolution/betterdefaultpasslist
https://github.com/insidetrust/statistically-likely-usernames
https://github.com/LandGrey/pydictor
https://github.com/sc0tfree/mentalist
https://github.com/skahwah/wordsmith
https://github.com/1N3/IntruderPayloads
https://github.com/fuzzdb-project/fuzzdb
https://github.com/Bo0oM/fuzz.txt
https://github.com/laconicwolf/Password-Scripts
https://github.com/FlameOfIgnis/Pwdb-Public
// Не хакинг, а ИБ
2 007
Repost from infosec
⚙️ 100+ Best Penetration Testing Tools For Security Professionals 2023.
• Актуальный список инструментов для Red Team, пентестеров и ИБ специалистов, которые используются в различных задачах:
• Penetration Testing Distributions;
• Docker for Penetration Testing;
• Multi-paradigm Frameworks;
• Vulnerability Scanners;
• Static Analyzers;
• Web Scanners;
• Network Tools;
• Wireless Network Hacking Tools;
• Transport Layer Security Tools;
• Web Exploitation;
• Hex Editors;
• File Format Analysis Tools;
• Defense Evasion Tools;
• Hash Cracking Hacking Tools;
• Windows Utilities;
• DDoS Tools;
• Social Engineering Tools;
• OSINT Tools;
• Anonymity Tools;
• Reverse Engineering Tools;
• CTF Tools.
• https://gbhackers.com/hacking-tools-list/
#ИБ #Пентест #Red_Team #Tools
2 007
Repost from Лаборатория хакера
🔠 Инструмент: Hash cymru
Сервис, который позволяет проверить хэши на наличие в базах данных различных антивирусных программ и служб безопасности. Предоставляет API.
⏺ Cсылка на сервис
#malware
2 007
Repost from Mr. Robot
⚫ OWASP API Top 10
| Привет, друг. На связи Эллиот.
У OWASP имеется список топ-10 API, чтобы повысить осведомленность о десяти наиболее актуальных рисков безопасности API. Список угроз основное внимание уделяется стратегиям и решениям, помогающим понять и смягчить уязвимости и риски безопасности, присущие API.
— Вот топ-10 уязвимостей API, включенных в список:
1. Некорректная авторизация на уровне объектов 2. Некорректная аутентификация пользователей 3. Некорректная авторизация на уровне свойств объекта 4. Неограниченное потребление ресурсов 5. Некорректная авторизация на уровне функций 6. Неограниченный доступ к конфиденциальным бизнес-потокам 7. Подделка запроса на стороне сервера 8. Ошибки настроек безопасности 9. Ненадлежащее управление активами 10. Небезопасное использование API#API
2 007
Repost from no system is safe // cybersec
📣Уязвимость WinRAR позволяет выполнять удаленный код в Windows
В WinRAR обнаружена новая уязвимость, которая позволяет хакерам получать контроль над компьютером жертвы через выполнение удаленного кода. Уязвимость с идентификатором CVE-2023-40477 оценивается на 7.8 по шкале CVSS.
Проблема возникает из-за отсутствия корректной валидации данных пользователя. В результате хакер может получить доступ к памяти по окончании выделенного буфера. В результате возможно исполнение удаленного кода в контексте текущих процессов.
Для исполнения угрозы необходимо, чтобы жертва посетила вредоносную страницу или просто открыла сомнительный архивированный файл. Уязвимость была обнаружена исследователем в июне текущего года.
// admin: 2 августа вышла версия WinRAR 6.23, где исправлена данная проблема. Пользователям порекомендовали как можно скорее обновить программу.
#news // nsis
2 007
Статьи для вас 👾
1 - 🛠 Контекстный SSRF сканер
2 - 🌍 BrowserBox — безопасный интернет
3 - 🔴 RedTeam-Tools
4 - 🪲 Bug Bounty Tools [ список ]
Вступайте в наш discord сервер 👾
Вы сможете пообщаться или задать вопрос.
