Forwarded from Data1eaks | Утечки баз данных
🔥🔥🔥 В открытый доступ попал PostgreSQL-дамп с данными пользователей гос. образовательной платформы «Российская электронная школа» (resh.edu.ru).
ℹ️ В файле 9.148.981 запись с такими полями как:
⭕️ Ф.И.О.;
⭕️ Дата рождения;
⭕️ Адрес эл. почты (9.037.203 уникальных);
⭕️ Телефон (54.505 уникальных);
⭕️ Пароль в хэше (с солью);
⭕️ Login (почти всегда АЭП);
⭕️ Пол;
⭕️ Роль пользователя (учитель, родитель, ученик);
⭕️ Данные соц. сетей (ВКонтакте, Facebook, Одноклассники, Skype, Twitter);
⭕️ Учебное заведение;
⭕️ Техн. детали (даты регистраци, последнего входа)
📅 Актуальность данных в дампе с августа 2016 по декабрь 2022 года.
🛑 Утечка серьёзная, затрагивает огромное число россиян, в том числе детей и если вы учитель, ученик или родитель, можете проверить наличие своих эл. почт и телефонов в этом сливе с помощью наших телеграм-ботов:
📧 @EmailLeaks_bot
☎️ @PhoneLeaks_bot
🌐 Агрегатор утечек @data1eaks
Не протекайте, друзья 🖥💦
ℹ️ В файле 9.148.981 запись с такими полями как:
⭕️ Ф.И.О.;
⭕️ Дата рождения;
⭕️ Адрес эл. почты (9.037.203 уникальных);
⭕️ Телефон (54.505 уникальных);
⭕️ Пароль в хэше (с солью);
⭕️ Login (почти всегда АЭП);
⭕️ Пол;
⭕️ Роль пользователя (учитель, родитель, ученик);
⭕️ Данные соц. сетей (ВКонтакте, Facebook, Одноклассники, Skype, Twitter);
⭕️ Учебное заведение;
⭕️ Техн. детали (даты регистраци, последнего входа)
📅 Актуальность данных в дампе с августа 2016 по декабрь 2022 года.
🛑 Утечка серьёзная, затрагивает огромное число россиян, в том числе детей и если вы учитель, ученик или родитель, можете проверить наличие своих эл. почт и телефонов в этом сливе с помощью наших телеграм-ботов:
📧 @EmailLeaks_bot
☎️ @PhoneLeaks_bot
🌐 Агрегатор утечек @data1eaks
Не протекайте, друзья 🖥💦
👍1😐1
Forwarded from Лаборатория хакера
🍪 Поиск уязвимостей неправильной настройки сеансов
Недавно был представлен небольшой инструмент для обнаружения неверно настроенных реализаций сеансов в веб-приложениях.
CookieMonster быстро находит неверно настроенные секретные ключи в приложениях, использующих Laravel, Flask, JWT и многое другое. Более подробно читайте в блоге автора.
Для массового сканирования данным инструментом можно использовать данный шаблон Nuclei и выполнить однострочник:
⏺ Ссылка на GitHub
#Web
Недавно был представлен небольшой инструмент для обнаружения неверно настроенных реализаций сеансов в веб-приложениях.
CookieMonster быстро находит неверно настроенные секретные ключи в приложениях, использующих Laravel, Flask, JWT и многое другое. Более подробно читайте в блоге автора.
Для массового сканирования данным инструментом можно использовать данный шаблон Nuclei и выполнить однострочник:
echo "http://example.com" | nuclei -t cookie-extractor.yaml | cut -d "=" -f 2 | cut -d ";" -f 1 > cookies && for cookie in $(cat cookies); do ./cookiemonster -cookie $cookie; done
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.• Cobalt Strike — это легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию. Инструмент давно используется хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
• Недавно на форуме XSS появилась информация, что при поддержке LockBitSupp был оформлен перевод официального руководства по Cobalt Strike'у версии 4.7. Скачать данное руководство можно в нашем облаке: https://t.me/it_secur/343 или по ссылкам ниже.
• Источники:
- Оригинальная версия руководства.
- Топик на форуме XSS [onion], [clearnet].
• Дополнительно:
- Cobalt Strike от А до Я.
- Бесплатный курс по изучению фреймворка CS.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Kali Linux
📌 Список новых инструментов в Kali Linux, на которые стоит обратить внимание. Часть 1
1. Arkime
Arkime – это инструмент для захвата и анализа сетевого трафика, который позволяет пользователям индексировать сетевой трафик в режиме реального времени. Он может анализировать данные из различных источников, включая сетевые ответвители, порты span и файлы PCAP. Arkime также включает мощные функции поиска и анализа, позволяющие легко находить и идентифицировать подозрительную сетевую активность.
2. CyberChef
CyberChef – это универсальный инструмент для анализа и преобразования данных. Он позволяет пользователям конвертировать, анализировать и преобразовывать данные различными способами, включая кодирование и декодирование base64, сжатие данных и их форматирование. CyberChef также хорошо настраивается, для добавления новых функций имеется широкий спектр плагинов и расширений.
3. DefectDojo
DefectDojo – это инструмент управления уязвимостями, который позволяет пользователям отслеживать и управлять уязвимостями программного обеспечения на протяжении всего жизненного цикла разработки. Он включает такие функции, как отслеживание уязвимостей, отчетность и аналитика, а также интеграцию с другими инструментами, такими как Jira и Git.
4. Dscan
Dscan – это сканер уязвимостей для контейнеров Docker. Он позволяет пользователям сканировать образы Docker на наличие уязвимостей безопасности и предоставляет подробные отчеты о любых найденных уязвимостях.
5. Kubernetes-Helm
Kubernetes-Helm – это менеджер пакетов для приложений Kubernetes. Он позволяет пользователям легко устанавливать, обновлять и управлять приложениями Kubernetes с помощью предварительно сконфигурированных пакетов.
6. PACK2
PACK2 – это инструмент тестирования на проникновение для беспроводных сетей. Он позволяет пользователям перехватывать беспроводной трафик и выполнять различные атаки, включая инъекцию пакетов, деаутентификацию и пересылку маячков. PACK2 также включает такие функции, как мониторинг сети в режиме реального времени и расширенные возможности фильтрации.
7. Redeye
Redeye – это инструмент разведки, который позволяет пользователям собирать информацию о веб-приложениях и веб-сайтах. Он включает такие функции, как сканирование каталогов, перечисление поддоменов и сканирование портов, а также расширенные возможности фильтрации.
8. Unicrypto
Unicrypto – это инструмент для шифрования и расшифровки файлов и сообщений. Он поддерживает широкий спектр алгоритмов шифрования и ключей, что делает его очень гибким и настраиваемым. Unicrypto также включает такие функции, как защита паролем и сжатие файлов.
@linuxkalii
1. Arkime
Arkime – это инструмент для захвата и анализа сетевого трафика, который позволяет пользователям индексировать сетевой трафик в режиме реального времени. Он может анализировать данные из различных источников, включая сетевые ответвители, порты span и файлы PCAP. Arkime также включает мощные функции поиска и анализа, позволяющие легко находить и идентифицировать подозрительную сетевую активность.
2. CyberChef
CyberChef – это универсальный инструмент для анализа и преобразования данных. Он позволяет пользователям конвертировать, анализировать и преобразовывать данные различными способами, включая кодирование и декодирование base64, сжатие данных и их форматирование. CyberChef также хорошо настраивается, для добавления новых функций имеется широкий спектр плагинов и расширений.
3. DefectDojo
DefectDojo – это инструмент управления уязвимостями, который позволяет пользователям отслеживать и управлять уязвимостями программного обеспечения на протяжении всего жизненного цикла разработки. Он включает такие функции, как отслеживание уязвимостей, отчетность и аналитика, а также интеграцию с другими инструментами, такими как Jira и Git.
4. Dscan
Dscan – это сканер уязвимостей для контейнеров Docker. Он позволяет пользователям сканировать образы Docker на наличие уязвимостей безопасности и предоставляет подробные отчеты о любых найденных уязвимостях.
5. Kubernetes-Helm
Kubernetes-Helm – это менеджер пакетов для приложений Kubernetes. Он позволяет пользователям легко устанавливать, обновлять и управлять приложениями Kubernetes с помощью предварительно сконфигурированных пакетов.
6. PACK2
PACK2 – это инструмент тестирования на проникновение для беспроводных сетей. Он позволяет пользователям перехватывать беспроводной трафик и выполнять различные атаки, включая инъекцию пакетов, деаутентификацию и пересылку маячков. PACK2 также включает такие функции, как мониторинг сети в режиме реального времени и расширенные возможности фильтрации.
7. Redeye
Redeye – это инструмент разведки, который позволяет пользователям собирать информацию о веб-приложениях и веб-сайтах. Он включает такие функции, как сканирование каталогов, перечисление поддоменов и сканирование портов, а также расширенные возможности фильтрации.
8. Unicrypto
Unicrypto – это инструмент для шифрования и расшифровки файлов и сообщений. Он поддерживает широкий спектр алгоритмов шифрования и ключей, что делает его очень гибким и настраиваемым. Unicrypto также включает такие функции, как защита паролем и сжатие файлов.
@linuxkalii
Forwarded from Этичный Хакер
📟 Материалы по пентесту API
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia
#Web #API |💀 Этичный хакер
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia
#Web #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек (Сергей Зыбнев)
MStore API <= 3.9.2 - Authentication Bypass
CVE-2023-2732
Плагин MStore API для WordPress уязвим для обхода аутентификации в версиях до 3.9.2 включительно. Это связано с недостаточной проверкой пользователя во время REST API запроса на добавление объявлений через плагин. Это позволяет злоумышленникам, не прошедшим проверку подлинности, войти в систему под именем любого существующего на сайте пользователя, например администратора, если у них есть доступ к идентификатору пользователя.
PoC:
CVE-2023-2732
Плагин MStore API для WordPress уязвим для обхода аутентификации в версиях до 3.9.2 включительно. Это связано с недостаточной проверкой пользователя во время REST API запроса на добавление объявлений через плагин. Это позволяет злоумышленникам, не прошедшим проверку подлинности, войти в систему под именем любого существующего на сайте пользователя, например администратора, если у них есть доступ к идентификатору пользователя.
PoC:
git clone https://github.com/RandomRobbieBF/CVE-2023-2732 ; pip3 install -r requirements.txt ; python3 mstore-api.py -u http://TARGET#CVE #POC
Forwarded from Kali Linux
👻 Выполнение команд анонимно с помощью GhostShell
GhostShell - это интерактивная оболочка, которая использует Proxychains и Tor для анонимного выполнения команд в.
GhostShell автоматически переключает прокси-сервера Tor при выполнении команд.
Установка GhostShell на Kali Linux
Для работы GhostShell, необходимо установить следующие инструменты:
▪Tor
▪Proxychains
Теперь установим GhostShell:
Использование GhostShell на Kali Linux
Перед запуском и использованием, необходимо запустить сервис Tor:
Или:
Теперь, для анонимного выполнения команд, запускаем скрипт GhostShell:
Теперь у нас установлена интерактивная оболочка, с помощью которой можно выполнять команды анонимно. Для начала, давайте протестируем правильность работы Tor и Proxychains.
Зайдите на какой-нибудь сайт для проверки внешнего IP-адреса и видим, что все работает правильно.
Мы рассмотрели отличный инструмент, который позволяет анонимно выполнять команды, что может быть необходимо в различных сценариях.
▪Github
▪Подробнее о ProxyChains
@linuxkalii
GhostShell - это интерактивная оболочка, которая использует Proxychains и Tor для анонимного выполнения команд в.
GhostShell автоматически переключает прокси-сервера Tor при выполнении команд.
Установка GhostShell на Kali Linux
Для работы GhostShell, необходимо установить следующие инструменты:
▪Tor
▪Proxychains
apt update & apt install tor proxychains4 toiletТеперь установим GhostShell:
git clone https://github.com/S12cybersecurity/GhostShellИспользование GhostShell на Kali Linux
Перед запуском и использованием, необходимо запустить сервис Tor:
service tor startИли:
systemctl start tor.serviceТеперь, для анонимного выполнения команд, запускаем скрипт GhostShell:
bash ghostshell.shТеперь у нас установлена интерактивная оболочка, с помощью которой можно выполнять команды анонимно. Для начала, давайте протестируем правильность работы Tor и Proxychains.
Зайдите на какой-нибудь сайт для проверки внешнего IP-адреса и видим, что все работает правильно.
Мы рассмотрели отличный инструмент, который позволяет анонимно выполнять команды, что может быть необходимо в различных сценариях.
▪Github
▪Подробнее о ProxyChains
@linuxkalii
❤1
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.• Одним из самых важных инструментов, который используется практически во всех внутренних тестированиях на проникновение, является BloodHound. Если говорить простым языком, то это инструмент для визуализации данных Active Directory, который помогает пентестерам эффективно определять пути атаки, чтобы получить контроль над доменом и лесом Windows Active Directory [#AD].
• Об этом инструменте мы уже говорили в нашем канале, и сегодня затронем эту тему повторно. В данном материале будет представлен обзор некоторых программных средств, использующихся для автоматизированного построения вероятных атак в домене. Кроме того, будут рассмотрены некоторые подходы к улучшению уже имеющихся решений и предложен определенный алгоритм к выявлению наиболее приоритетных целей атак:
• Улучшения Bloodhound;
- Пользовательские хранимые запросы;
- Добавление новых сущностей;
- Весовые коэффициенты;
- Многоуровневая архитектура безопасности;
- Объекты первоначального доступа;
- Рекомендации по противодействию BloodHound;
• Управление векторами атак;
- Значимые объекты.
• Читать статью: https://ardent101.github.io/posts/bh_improvement
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.
• Я часто делюсь различными отчетами и исследованиями, чтение которых помогает нам получить очень много уникальной и полезной информации в сфере информационной безопасности. Ведь чтение одних только книг или прохождение курсов, не сделают из тебя крутого эксперта в определенной области, для этого тебе нужно получать практический опыт, постоянно учиться и черпать знания из актуальных источников. • Сегодня поделюсь одним из таких источников: репозиторием с топ отчетами HackerOne. Этот репо постоянно поддерживают в актуальном состоянии, что поможет тебе узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).
• https://github.com/reddelexc/hackerone-reports
• В дополнение: полезный репозиторий, где собраны разборы о фишинговых кампаниях APT группировок, содержащие пример писем и описание инструментов, с помощью которых осуществлялась рассылка: https://github.com/wddadk/Phishing-campaigns
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Лаборатория хакера
📑 Инструмент поиска XSS в AngularJS
Инструмент SSTI-XSS-Finder позволяет собирать из Shodan поддомены, которые используют технологию AngularJS, и предоставляет нам полезную нагрузку XSS, связанную с AngularJS-версией этого поддомена.
⏺ Ссылка на GitHub
#Web #XSS
Инструмент SSTI-XSS-Finder позволяет собирать из Shodan поддомены, которые используют технологию AngularJS, и предоставляет нам полезную нагрузку XSS, связанную с AngularJS-версией этого поддомена.
./SSTI-XSS-Finder.sh <Shodan-Dork>
Примеры дорков:org:target
hostname:target.com
net:127.0.0.1
#Web #XSS
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Life-Hack - Хакер
#подборка
Топ популярных постов за прошедшую неделю:
1. Боевой Linux. Обзор самых мощных дистрибутивов для
пентестов и OSINT
2. Как заразить вирусом любое устройство?
3. Мастерская хакера. ИИ-помощники, работа с JSON и
приятные мелочи, которые пригодятся в работе
4. Как выбрать VPN, который не подведет вас в критический
момент?
5. Как киберпреступники эффективно манипулируют своими жертвами, не оставляя им никакого выбора.
Life-Hack [Жизнь-Взлом]/Хакинг
Топ популярных постов за прошедшую неделю:
1. Боевой Linux. Обзор самых мощных дистрибутивов для
пентестов и OSINT
2. Как заразить вирусом любое устройство?
3. Мастерская хакера. ИИ-помощники, работа с JSON и
приятные мелочи, которые пригодятся в работе
4. Как выбрать VPN, который не подведет вас в критический
момент?
5. Как киберпреступники эффективно манипулируют своими жертвами, не оставляя им никакого выбора.
Life-Hack [Жизнь-Взлом]/Хакинг
Forwarded from Этичный Хакер
Forwarded from Лаборатория хакера
This media is not supported in your browser
VIEW IN TELEGRAM
📄 Создание списка слов из истории BurpSuite
Если вы хотите создать специальный список слов, адаптированный под вашу конкретную цель, то в BurpSuite это можно сделать с помощью расширения Scavenger.
Расширение просматривает историю BurpSuite и выделяет слова, специфичные для вашей цели.
Пример использования данного инструмента в реальной практике можно найти по данной ссылке.
⏺ Ссылка на GitHub
#Web #BurpSuite #Recon
Если вы хотите создать специальный список слов, адаптированный под вашу конкретную цель, то в BurpSuite это можно сделать с помощью расширения Scavenger.
Расширение просматривает историю BurpSuite и выделяет слова, специфичные для вашей цели.
Пример использования данного инструмента в реальной практике можно найти по данной ссылке.
#Web #BurpSuite #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from linkmeup
Отлично! Теперь шелл можно и через SMS пропихнуть.
Пока безопасники бьются с DLP, настраивают политики и заливают порты эпоксидкой, просто отправь SMS на номер.TCPoverSMS, my ass.
https://github.com/persistent-security/SMShell
Пока безопасники бьются с DLP, настраивают политики и заливают порты эпоксидкой, просто отправь SMS на номер.TCPoverSMS, my ass.
https://github.com/persistent-security/SMShell
Forwarded from BotHub
This media is not supported in your browser
VIEW IN TELEGRAM
1️⃣ Деанонимизация по ссылке - узнайте координаты человека, получите фото с его фронтальной камеры и информацию об устройстве.
2️⃣ Сканирование сайтов и хостов.
3️⃣ Поиск по username 🔎
4️⃣ Реверсивный поиск
5️⃣ Определение номера телефона пользователя Telegram.
6️⃣ Поиск по утечкам данных: электронной почте, паролю, логину, номеру телефона и многому другому.
7️⃣ Определение данных точек доступа (ESSID, BSSID, пароли, уязвимые роутеры, гео и тд)
8️⃣ Самая большая база по расшифровке хэшей пароля (md5, sha1, sha256, sha384, sha512 и других. с солью и без).
9️⃣ Сбор метаданных со всех документов по указанному сайту.
🔟 Определение всех электронных почт и номеров телефона с указанного ресурса.
🔐 Защитите свои ресурсы, обезопасьте свою информацию, распознайте слабые места в сети - всё это возможно с OVERLOAD.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Лаборатория хакера
This media is not supported in your browser
VIEW IN TELEGRAM
Это улучшенная сестра утилиты Sherlock и современный инструмент CLI, написанный с помощью Golang, чтобы помочь вам выслеживать учетные записи социальных сетей по имени пользователя в социальных сетях.
#osint #infosec
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SHADOW:Group
Media is too big
VIEW IN TELEGRAM
Awillix создали Pentest Awards - первую в России премию исключительно для пентестеров.
▫️6 номинаций для разных частей имитации хакерских атак;
▫️Топовые профессионалы в совете жюри;
▫️Заявка — это обезличенный рассказ про лучший проект в свободной форме;
▫️Награда — техника Apple для 1,2,3 места + билеты на Offzone, обучение в школе CyberED, много мерча, и самое главное — респект всего комьюнити :)
Отправляйте заявки на сайте — https://award.awillix.ru/, время органиченно.
#промо
▫️6 номинаций для разных частей имитации хакерских атак;
▫️Топовые профессионалы в совете жюри;
▫️Заявка — это обезличенный рассказ про лучший проект в свободной форме;
▫️Награда — техника Apple для 1,2,3 места + билеты на Offzone, обучение в школе CyberED, много мерча, и самое главное — респект всего комьюнити :)
Отправляйте заявки на сайте — https://award.awillix.ru/, время органиченно.
#промо
Forwarded from Life-Hack - Хакер
Telegraph
Dcp – инструмент для безопасной передачи файлов между компьютерами Linux
Передача файлов удаленно уже давно является резервом протоколов rsync и SCP. В этой статье мы рассмотрим, как вы можете передавать файлы между компьютерами Linux с помощью инструмента dcp. Инструмент dcp – удобный инструмент, который копирует файлы между…
Forwarded from Лаборатория хакера
📬 Пассивный сканер портов
Smap - это копия Nmap, которая использует бесплатный API shodan.io для сканирования портов. Он принимает те же аргументы командной строки, что и Nmap, и производит тот же вывод.
Особенности:
• Сканирует 200 хостов в секунду
• Включает обнаружение уязвимостей
• Поддерживает все форматы вывода nmap
• Учетная запись shodan не требуется
• Полностью пассивный, всего 1 http запрос на хост
• и др…
⏺ Ссылка на инструмент
#Recon
Smap - это копия Nmap, которая использует бесплатный API shodan.io для сканирования портов. Он принимает те же аргументы командной строки, что и Nmap, и производит тот же вывод.
Особенности:
• Сканирует 200 хостов в секунду
• Включает обнаружение уязвимостей
• Поддерживает все форматы вывода nmap
• Учетная запись shodan не требуется
• Полностью пассивный, всего 1 http запрос на хост
• и др…
#Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SHADOW:Group
Простой bash скрипт, который объединяет в себе Paramspider для поиска скрытых параметров и Nuclei для поиска xss, sqli, ssrf, open-redirect и т.д. в веб-приложениях.
Ссылка на GitHub
#web #tools #fuzz
Please open Telegram to view this post
VIEW IN TELEGRAM
Новый ролик уже на канале 👇🏻
https://youtu.be/JiC5OX-cvR4
https://youtu.be/JiC5OX-cvR4
YouTube
😱НОВЫЕ ОБОИ НА Kali Linux | Parrot OS
В этом ролике я расскажу про пак обоев на рабочий стол!
Всем приятного просмотра ^-^
Обои: https://github.com/0xHaskar/Kali_Linux_Wallpaper
ТГ КАНАЛ: https://t.me/HelloHackingTeam
ДС СЕРВЕР: https://discord.gg/3a9FwmCqQe
Всем приятного просмотра ^-^
Обои: https://github.com/0xHaskar/Kali_Linux_Wallpaper
ТГ КАНАЛ: https://t.me/HelloHackingTeam
ДС СЕРВЕР: https://discord.gg/3a9FwmCqQe