Лаборатория хакера

🦠 Загрузка и выполнение в памяти кода на C# Инструмент под названием Invoke-SharpLoader позволяет загрузить зашифрованный и сжатый код C# с удаленного веб-сервера или из локального файла прямо в память и выполнить его там. Здесь используются два сценария. Invoke-SharpEncrypt можно использовать для шифрования существующих файлов C#. Зашифрованные файлы, сгенерированные Invoke-SharpEncrypt, затем могут быть размещены на веб-сервере в Интернете или сохранены на диске в целевой системе. Invoke-SharpLoader можно использовать для расшифровки и выполнения файлов в памяти. Шифруя собственные исполняемые файлы с помощью пользовательского пароля и, размещая их где-то в Интернете, можно обойти локальную и прокси защиту антивирусов и AMSI. ⏺ Ссылка на GitHub #Redteam #AV

Как за 1 секунду узнать пароль от чужого вай-фая? А еще прочитать переписку любого человека в радиусе 10м, по блютузу подключиться к чьей-то камере и без интернета смотреть ютуб. Здесь находят фишки и уязвимости разных устройств и объясняют, как ими пользоваться. Подпишись и твой старый телефон превратится в универсальное оружие: @white_hack

🔑 Расширение Burp Suite для поиска уязвимостей в OAUTHv2 и OpenID OAUTHScan - это расширение Burp Suite для обеспечения некоторых автоматических проверок безопасности, которые могут быть полезны во время тестирования на проникновение приложений, реализующих стандарты OAUTHv2 и OpenID. Плагин ищет различные уязвимости OAUTHv2/OpenID и распространенные ошибки в настройках конфигурации. ⏺ Ссылка на расширение #Web #SSO #oauth #BurpSuite

Уже на флажке РИФ-2023 заскочил на стенд к Авито. Там давали вкусное шампанское и сэндвичи, но любим мы их не за это. На самом деле анонсировал их сессию про технологии и людей в ряду интересных сегодня. Потому что парням из Авито, в данном случае Андрею Рыбинцеву, всегда есть рассказать о технических решениях, а еще были Егор Бигун из билайновского клауда, Александр Дворянский из Ситроникса, Алексей Глотов из Tele 2 и Владимир Синельников из Aero. И понятно, что в конечном счете все свелось к вопросам безопасности пользователей и того, как ее достигать. И вообще - реально ли, чтобы щит превзошел меч. Спойлер – нет. Тезисов несколько. 1️⃣Безопасность – это скучно и сложно, поэтому геймификация и интуитивность – наше все. Владимир Синельников напомнил, как многократно повысило секьюрность внедрение Touch ID на смартфонах. Даже те люди, которые ранее не ставили на смартфоны пароль, потому что это лишние действия, установили Touch ID и начали его использовать, потому что это удобно и это WOW. 2️⃣Людей надо учить. Большинство, особенно старшего поколения, не всегда понимает уровень возможностей по защите с одной стороны, и уровень и близость угроз – с другой. Полная безопасность недостижима, но ее всегда можно опустить до уровня приемлемого. Так, по словам Рыбинцева, на Авито число случаев фрода снизилось более чем в 60 раз за последние три года. В первую очередь за счет повышения стоимости атаки для злоумышленников. 3️⃣При этом, как отметил Алексей Глотов, мошенничество не является статичным. Поэтому даже системы искусственного интеллекта необходимо постоянно дообучать, чтобы они оставались актуальными и способными защищать пользователей. И здесь необходим постоянный фидбек от них. 4️⃣Самая эффективная безопасность – незаметная. Если же люди видят инструменты безопасности – они сопротивляются или ищут возможность срезать углы, отметил г-н Дворянский. Опять же г-н Рыбинцев привел пример мессенджера Авито, где в рамках банальной отправки сообщений и фото друг другу (был еще клевый тезис про то, что Авито – это дейтинг) используется машинный анализ переписки, отлов ссылок со спамом и на фишинг и многое другое. И все это абсолютно незаметно для пользователей. В результате большинство обычных людей реагируют на безопасность, только когда ее кто-то преодолевает. Ну что тут скажешь, Андрей. Только так это обычно и работает.

📑 Автоматизированный поиск конфиденциальных данных Новый инструмент под названием back-me-up позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных выражений. Шаблоны в основном нацелены на данные с Wayback Machine. ⏺ Ссылка на GitHub #Web

📶 Мощный сканер веб-приложений, объединяющий широкий набор инструментов reconFTW - это инструмент, предназначенный для выполнения автоматизированного сбора информации о целевом домене, путем запуска наилучшего набора инструментов для выполнения сканирования и выявления уязвимостей. Он объединяет в себе множество популярных инструментов, которые мы уже рассматривали на канале. Подробнее о работе данного инструменты вы можете узнать на GitHub, но будьте уверены, инструмент заслуживает вашего внимания. Ниже представлена схема его работы. ⏺ Ссылка на GitHub #Web

ЧЕ, АЙТИШНИК, ДА? КРАСАВЧИК! Сделали для вас самую полезную подборку каналов по программированию. В ней собраны официальные русскоязычные каналы самых популярных языков. Там только топовая информация, которая потом появляется на платных курсах. Надо подписаться: @it

🗂 Коллекция видео по эксплуатации уязвимостей веб-приложений Представленный ниже репозиторий содержит подборку видео по тестированию веб-приложений на различные уязвимости. Для удобства, содержимое разбито на категории, в зависимости от типа атак и уязвимостей. ⏺ Ссылка на GitHub #Web

⚠️ Хакер который убивает Dark проекты (не кликбейт) ♾ Начни зарабатывать, а не втыкать в экран! Все обучения бесплатны! — Что будет дальше? — Знает только он, но масштаб тут явно лютый 🚀 Залетай в Deanon Club и узнавай первым А еще лови годный контент по DDOS, Хакингу, Деанонам и Взломам 😎 Тут не воздух гоняют, а показывают на практике Переходи в ссылке: ✈️ https://t.me/+VC8PsqTTv4o3MDI9

🔎 Автоматический поиск SSRF уязвимостей Для поиска SSRF на сайте можно воспользоваться инструментом под названием SSRFire. Просто укажите доменное имя сайта, адрес своего сервера (или Burp Collaborator) и ждите результатов. Также есть опции для поиска XSS и Open Redirect. Для работы инструмента требуются установленные Python 3.7+ и GO. ⏺ Ссылка на GitHub #Web #XSS #SSRF

Освоить графический дизайн с нуля и устроиться на работу? С Компьютерной Академией ТОР это реально!🔝 Вы можете учиться очно или офлайн. Компьютерная Академия ТОР проводит набор на курс «Графический дизайн» — востребованные инструменты и навыки графического дизайна для решения дизайн-задач.🎨 🗓Длительность 12 месяцев 👥 возраст 15-55 лет ⏰ обучение 2 раза в неделю 📶с нуля. Успей купить по самой выгодной цене! Только до 31 мая - 7500 руб. Оффлайн обучение по цене онлайна. ❗️❗️❗️ Графический дизайнер — универсальный специалист. Он создает фирменный стиль и весь визуальный контент для брендов: от баннера и плаката до макета сайта и брендбука.🔗 Если хотите освоить новую профессию или систематизировать знания, оставляйте заявку на сайте. ❗PS: По завершению курса в вашем портфолио будут следующие проекты: многодетальный тематический коллаж, дизайн мобильной игры, авторский дизайн упаковки, бренд-бук компании, многостраничный журнал с собственным фотоконтентом - будет что показать работодателям и клиентам.

💰 Взлом с помощью картинки. Полезная нагрузка PHP в изображении. С помощью инструмента php-jpeg-injector можно производить атаки на веб-приложения, которые запускают изображение .jpeg через графическую библиотеку PHP GD. Инструмент создаёт новый .jpeg файл с полезной нагрузкой PHP. Зараженный .jpeg файл запускается через gd-библиотеку PHP. PHP интерпретирует полезную нагрузку, введенную в jpeg, и выполняет ее. ⏺ Ссылка на GitHub #Web #PHP

⚡️ В Telegram появился первый архив нейросетей — Пакет Нейросетей Внутри доступны ИИ под любые задачи: для образования, работы, развлечений и творчества. Например: • 12 нейросетей в одном посте (SMM, дизайн, таргет, CEO, программирование и даже генератор Reels'ов для Инсты) • Первый в мире конструктор нейросетей (да, вы можете создать свою по запросу) • И даже Dream Interpreter AI, визуализирующий ваши сны. Обновления, анонсы новых проектов и всё-всё про нейросети тоже здесь. Подписывайтесь!

✈️ Инструмент для проведения MITM на RDP соединения Pyrdp создан для проведения MITM атак на RDP и позволяет просматривать RDP-соединения в режиме реального времени или постфактум. Написан на Python3 и имеет открытый исходный код. Более подробное описание работы можно прочитать в блоге авторов проекта. ⏺ Ссылка на GitHub #RDP #Python #MITM

⚠️ Хакер который убивает Dark проекты (не кликбейт) ♾ Начни зарабатывать, а не втыкать в экран! Все обучения бесплатны! — Что будет дальше? — Знает только он, но масштаб тут явно лютый 🚀 Залетай в Deanon Club и узнавай первым А еще лови годный контент по DDOS, Хакингу, Деанонам и Взломам 😎 Тут не воздух гоняют, а показывают на практике Переходи в ссылке: ✈️ https://t.me/+VC8PsqTTv4o3MDI9

⛓ icmpdoor - ICMP reverse shell, написанный на Python3 icmpdoor может туннелировать скрытый ICMP канал для управления скомпрометированной машиной. Более подробно про работу с инструментом можно ознакомиться в блоге автора. Фильтрация ICMP трафика настраивается редко, что позволяет злоумышленникам обходить брандмауэры. В прошлом использование ICMP в качестве бэкдора совершалось по крайней мере одной APT (Advanced Persistent Threat) группой. ⏺ Ссылка на Github #Redteam #Malware

🦠 HTTP ботнет на C++ с открытым исходным кодом Uboat - PoC HTTP-ботнета, предназначенный для репликации реального боевого коммерческого ботнета. Основная цель создания этого проекта состоит в том, чтобы помочь исследователям в области безопасности улучшить понимание устройства и работы коммерческих HTTP ботнетов. ⏺ Ссылка на GitHub #Malware

​​🦠 PEzor - инструмент с открытым исходным кодом для обхода антивирусных решений Реализацию и принцип работы данного инструмента можно почитать в блоге автора. ⏺ Ссылка на GitHub #Redteam #Malware

Хотите начать карьеру в IT? Быстро освоить навыки и перейти к практике — легко!  Платформа Deepskills представляет методику микрообучения, которая поможет вам быстро войти в профессию и получить работу мечты! Курсы от практикующих экспертов. Бесплатный пробный период в течение 14 дней, чтобы вы убедились в качестве нашего обучения. Начни свой путь к успеху уже сегодня. Учись на практике с Deepskills!

​​⚙️ Инструмент для аудита безопасности GraphQL GraphQL Cop - это небольшая утилита на Python для запуска общих тестов безопасности в API GraphQL. Имеет порядка 10 тестов для DoS, CSRF и утечек информации. При обнаружении уязвимостей позволяет воспроизвести результаты, предоставляя команды для cURL. ⏺ Ссылка на GitHub #Web #API