Forwarded from Social Engineering
💬 true story. Карты. Деньги. Double VPN.
Эта небольшая местами печальная, а местами смешная история, о том как можно потерять всё на ровном, если совсем забыть про свою совесть.
ненормативную лексику, описание проникновения на компьютеры, роутеры, применение социальной инженерии. В нём постоянно происходит какая-то малопонятная ерунда, которая может поджечь стул мамкиным хакерам экспертам по кибербезопасности и ввести в ступор даже матерых спецов, поэтому большая просьба пройти всех чувствительных мальчиков и девочек от экрана подальше. Супер крутым пентестерам, кормящим матерям, лицам не достигшими 18 лет, а также высоконравственным личностям - читать не рекомендуется. Всем остальным - адекватным и с чувством юмора - милости просим.
🧷 Читать статью: https://rentry.co/once-upon-a-time
• P.S. Хотел упомянуть автора данной статьи, но автор неизвестен. Ссылку нашел в чате у Ареса: @cepter
Твой S.E. #СИ #Пентест #Hack
Эта небольшая местами печальная, а местами смешная история, о том как можно потерять всё на ровном, если совсем забыть про свою совесть.
🖖🏻 Приветствую тебя user_name.
• Текст содержит 🧷 Читать статью: https://rentry.co/once-upon-a-time
• P.S. Хотел упомянуть автора данной статьи, но автор неизвестен. Ссылку нашел в чате у Ареса: @cepter
Твой S.E. #СИ #Пентест #Hack
🔐 AD security.
• #Подборка достаточно большая и на английском языке. Но каждый из Вас, найдет для себя крайне много полезной информации. От себя хочу напомнить, что для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает.
• Active Directory Security;
• Active Directory Kill Chain Attack & Defense;
• Top 16 Active Directory Vulnerabilities;
• Active Directory Exploitation Cheat Sheet;
• Windows & Active Directory Exploitation Cheat Sheet and Command Reference;
• Red Teaming - Enumeration;
• Полезные шпаргалки для пентестеров.
• Подробные гайды по атакам на AD.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #AD #hack и #Пентест. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• За последние 6 лет ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Сегодня я поделюсь с тобой небольшой подборкой с полезными ресурсами, которые раскрывают все аспекты защиты и уязвимостей #AD. • #Подборка достаточно большая и на английском языке. Но каждый из Вас, найдет для себя крайне много полезной информации. От себя хочу напомнить, что для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает.
• Active Directory Security;
• Active Directory Kill Chain Attack & Defense;
• Top 16 Active Directory Vulnerabilities;
• Active Directory Exploitation Cheat Sheet;
• Windows & Active Directory Exploitation Cheat Sheet and Command Reference;
• Red Teaming - Enumeration;
• Полезные шпаргалки для пентестеров.
• Подробные гайды по атакам на AD.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #AD #hack и #Пентест. Твой S.E.
Forwarded from Social Engineering
👨🏻💻 Хак в 1 клик. Швейцарский нож из мира сканеров.
• Имеется неплохой GUI с удобными вкладками, автоматические модули для подбора паролей, идентификаторов, фаззинга, кодировщики и раскодировщики данных в разных форматах. Обзоров Burp не делал только ленивый, так что сегодня я собрал для тебя небольшую подборку полезного материала, для изучения этого инструмента:
🧷 Скачать свежую и ломаную версию инструмента: https://t.me/RalfHackerChannel/1174
• Обзор: https://habr.com/ru/post/328382/
• Полезный материал для изучения:
Burp Suite for Pentester: Web Scanner & Crawler
Burp Suite for Pentester – Fuzzing with Intruder (Part3)
Burp Suite for Pentester – Fuzzing with Intruder (Part2)
Burp Suite for Pentester – Fuzzing with Intruder (Part1)
Burp Suite for Pentester – XSS Validator
Burp Suite for Pentester – Configuring Proxy
Burp Suite for Pentester: Burp Collaborator
Burp Suite For Pentester: HackBar
Burp Suite for Pentester: Burp Sequencer
Burp Suite for Pentester: Turbo Intruder
Engagement Tools Tutorial in Burp suite
Payload Processing Rule in Burp suite (Part2)
Payload Processing Rule in Burp suite (Part1)
Beginners Guide to Burpsuite Payloads (Part2)
Beginners Guide to Burpsuite Payloads (Part1)
Burpsuite Encoder & Decoder Tutorial
Burp Suite for Pentester: Active Scan++
Burp Suite for Pentester: Software Vulnerability Scanner
Burp Suite for Pentester: Burp’s Project Management
Burp Suite for Pentester: Repeater
• Плагины (Список не претендует на полноту)
SQLiPy - поможет с автоматизацией SQL-инъекций.
ActiveScan++ - расширяет стандартный перечень проверок, которые выполняются при работе активного и пассивного сканера.
Backslash Powered Scanner - манипулируя всевозможными параметрами из запроса, расширение пытается выявить нестандартное поведение сервера. Такие аномалии могут помочь при обнаружении как простых уязвимостей типа error-based SQL-инъекций, так и сложных XSS-инъекций с обходом встроенного WAF.
AuthMatrix и Autorize - проверка на корректность логики распределения прав доступа в приложении.
J2EEScan - обнаруживает и тестирует различные J2EE (Java 2 Enterprise Edition) приложения на наличие известных уязвимостей.
OAUTHScan - обеспечивает автоматическую проверку безопасности приложений, которые реализуют стандарты OAUTHv2 и OpenID.
• Cheat Sheet:
Burp Suite Cheat Sheet.
Burp Suite Cheat Sheet V2.
Burp Suite Cheat Sheet V3.
Burp Suite Cheat Sheet V4.
Burp Suite Cheat Sheet V5.
Burp Suite Cheat Sheet V6.
• Книга: A Complete Guide to Burp Suite: Learn to Detect Application Vulnerabilities.
• Еще больше полезного материала: https://t.me/burpsuite + Чат в описании.
Твой S.E. #Burp #Пентест #hack.
🖖🏻 Приветствую тебя user_name.
• Burp Suite — комбайн, который умеет работать как прокси, сканер уязвимостей, паук-краулер, репитер запросов или платформа для множества плагинов. Сканер разработала компания PortSwigger и выпустила в двух редакциях: Community (бесплатно) и Professional (400 долларов) (про корпоративную версию говорить не будем). Pro версия отличается наличием в комплекте большого количества плагинов для Burp Intruder, наличием автоматического сканера и отсутствием ограничений в BApp Store.• Имеется неплохой GUI с удобными вкладками, автоматические модули для подбора паролей, идентификаторов, фаззинга, кодировщики и раскодировщики данных в разных форматах. Обзоров Burp не делал только ленивый, так что сегодня я собрал для тебя небольшую подборку полезного материала, для изучения этого инструмента:
🧷 Скачать свежую и ломаную версию инструмента: https://t.me/RalfHackerChannel/1174
• Обзор: https://habr.com/ru/post/328382/
• Полезный материал для изучения:
Burp Suite for Pentester: Web Scanner & Crawler
Burp Suite for Pentester – Fuzzing with Intruder (Part3)
Burp Suite for Pentester – Fuzzing with Intruder (Part2)
Burp Suite for Pentester – Fuzzing with Intruder (Part1)
Burp Suite for Pentester – XSS Validator
Burp Suite for Pentester – Configuring Proxy
Burp Suite for Pentester: Burp Collaborator
Burp Suite For Pentester: HackBar
Burp Suite for Pentester: Burp Sequencer
Burp Suite for Pentester: Turbo Intruder
Engagement Tools Tutorial in Burp suite
Payload Processing Rule in Burp suite (Part2)
Payload Processing Rule in Burp suite (Part1)
Beginners Guide to Burpsuite Payloads (Part2)
Beginners Guide to Burpsuite Payloads (Part1)
Burpsuite Encoder & Decoder Tutorial
Burp Suite for Pentester: Active Scan++
Burp Suite for Pentester: Software Vulnerability Scanner
Burp Suite for Pentester: Burp’s Project Management
Burp Suite for Pentester: Repeater
• Плагины (Список не претендует на полноту)
SQLiPy - поможет с автоматизацией SQL-инъекций.
ActiveScan++ - расширяет стандартный перечень проверок, которые выполняются при работе активного и пассивного сканера.
Backslash Powered Scanner - манипулируя всевозможными параметрами из запроса, расширение пытается выявить нестандартное поведение сервера. Такие аномалии могут помочь при обнаружении как простых уязвимостей типа error-based SQL-инъекций, так и сложных XSS-инъекций с обходом встроенного WAF.
AuthMatrix и Autorize - проверка на корректность логики распределения прав доступа в приложении.
J2EEScan - обнаруживает и тестирует различные J2EE (Java 2 Enterprise Edition) приложения на наличие известных уязвимостей.
OAUTHScan - обеспечивает автоматическую проверку безопасности приложений, которые реализуют стандарты OAUTHv2 и OpenID.
• Cheat Sheet:
Burp Suite Cheat Sheet.
Burp Suite Cheat Sheet V2.
Burp Suite Cheat Sheet V3.
Burp Suite Cheat Sheet V4.
Burp Suite Cheat Sheet V5.
Burp Suite Cheat Sheet V6.
• Книга: A Complete Guide to Burp Suite: Learn to Detect Application Vulnerabilities.
• Еще больше полезного материала: https://t.me/burpsuite + Чат в описании.
Твой S.E. #Burp #Пентест #hack.
Forwarded from Social Engineering
🧩 Nessus. Библиотека плагинов.
Сегодня ты узнаешь о самой крупной библиотеке плагинов для Nessus, но для начала ознакомимся с кратким описанием этого инструмента.
• Сканер способен определить уязвимые версии служб или серверов, детектить ошибки в конфигурации системы, выполнять брутфорс словарных паролей. Можно использовать для определения корректности настроек сервисов (почта, обновления и т.п.), а также при подготовке к PCI DSS аудиту. Помимо всего прочего, в Nessus можно передать учетные данные для хоста (SSH или доменная учетная записи в Active Directory), и сканер получит доступ к хосту и проведет проверки прямо на нем. Nessus будет полезен компаниям, проводящих аудиты собственных сетей (и не только).
Преимущества:
Библиотека плагинов:
‼️ Дополнительный материал ищи по хэштегам #ИБ #Пентест #Toosl #Hack. Твой S.E. #Nessus
Сегодня ты узнаешь о самой крупной библиотеке плагинов для Nessus, но для начала ознакомимся с кратким описанием этого инструмента.
🖖🏻 Приветствую тебя user_name.• Nessus — коммерческий сканер для автоматизации проверки и обнаружения известных уязвимостей в системе. Исходный код закрыт, Существует 3 редакции: Essentials (бесплатная), Professional (платная) и Tenable.io, который представляет собой отдельный продукт со своей ценой. Разница между Essentials и Professional только в количестве доступных для сканирования адресов и технической поддержки по email.
• Сканер способен определить уязвимые версии служб или серверов, детектить ошибки в конфигурации системы, выполнять брутфорс словарных паролей. Можно использовать для определения корректности настроек сервисов (почта, обновления и т.п.), а также при подготовке к PCI DSS аудиту. Помимо всего прочего, в Nessus можно передать учетные данные для хоста (SSH или доменная учетная записи в Active Directory), и сканер получит доступ к хосту и проведет проверки прямо на нем. Nessus будет полезен компаниям, проводящих аудиты собственных сетей (и не только).
Преимущества:
•
Отдельные сценарии для каждой уязвимости, база которых постоянно обновляется;•
Вывод результатов — простой текст, XML, HTML и LaTeX;•
API Nessus — позволяет автоматизировать процессы сканирования и получения результатов;•
Credential Scan, можно использовать учетные данные Windows или Linux для проверки обновлений или иных уязвимостей;•
Возможность писать собственные встраиваемые модули безопасности — в сканере имеется собственный язык сценариев NASL (Nessus Attack Scripting Language);•
Можно задать время для регулярного сканирования локальной сети.Библиотека плагинов:
•
По ссылке ниже, ты можешь найти огромную и полезную библиотеку, которая содержит подробное описание о плагине и уязвимости, содержит инструкцию и другую полезную информацию: https://www.infosecmatter.com/nessus-plugin-library/‼️ Дополнительный материал ищи по хэштегам #ИБ #Пентест #Toosl #Hack. Твой S.E. #Nessus
VPS-web-hacking-tools
Automatically install some web hacking/bug bounty tools for your VPS.
https://github.com/supr4s/VPS-web-hacking-tools
#VPS #hack
Automatically install some web hacking/bug bounty tools for your VPS.
https://github.com/supr4s/VPS-web-hacking-tools
#VPS #hack
GitHub
GitHub - supr4s/WebHackingTools: Automatically install some web hacking/bug bounty tools.
Automatically install some web hacking/bug bounty tools. - supr4s/WebHackingTools
Steganography Toolkit.
This project is a Docker image useful for solving Steganography challenges as those you can find at CTF platforms like hackthebox.eu. The image comes pre-installed with many popular tools (see list below) and several screening scripts you can use check simple things (for instance, run
https://github.com/DominicBreuker/stego-toolkit/blob/master/README.md
#infosec #red_team #hack
This project is a Docker image useful for solving Steganography challenges as those you can find at CTF platforms like hackthebox.eu. The image comes pre-installed with many popular tools (see list below) and several screening scripts you can use check simple things (for instance, run
check_jpg.sh image.jpg
to get a report for a JPG file).https://github.com/DominicBreuker/stego-toolkit/blob/master/README.md
#infosec #red_team #hack
GitHub
stego-toolkit/README.md at master · DominicBreuker/stego-toolkit
Collection of steganography tools - helps with CTF challenges - DominicBreuker/stego-toolkit
Forwarded from Social Engineering
😈 OSTmap. Карта хакерских группировок и их инструментов.
📌 OSTMap — карта на которой изображена взаимосвязь хакерских группировок и инструментов которые они используют при атак на свою цель. Например, благодаря OSTMap ты можешь с легкостью узнать что использовала хакерская группировка Cobalt (эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира).
➖ OSTMap: https://www.intezer.com/ost-map/
‼️ Благодаря данной информации ты можешь подчеркнуть для себя те инструменты которые использовала та или иная группировка, изучить историю и методы группировки, определить инструменты и выяснить какие из них активно применяются с использованием социальной инженерии, множество таких инструментов ты можешь найти в нашем канале благодаря хештегам #tools #СИ #Взлом и #hack. И не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Очень давно я писал про АРТ-группировки и инструменты которые они применяют при атаках на различные госучреждения или сторонние компании. Сегодня хочу представить тебе интересный ресурс, благодаря которому ты можешь узнать, какой софт использует та или иная хакерская группировка.
📌 OSTMap — карта на которой изображена взаимосвязь хакерских группировок и инструментов которые они используют при атак на свою цель. Например, благодаря OSTMap ты можешь с легкостью узнать что использовала хакерская группировка Cobalt (эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира).
➖ OSTMap: https://www.intezer.com/ost-map/
‼️ Благодаря данной информации ты можешь подчеркнуть для себя те инструменты которые использовала та или иная группировка, изучить историю и методы группировки, определить инструменты и выяснить какие из них активно применяются с использованием социальной инженерии, множество таких инструментов ты можешь найти в нашем канале благодаря хештегам #tools #СИ #Взлом и #hack. И не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - go-outside-labs/blockchains-security-toolkit: 👾 𝘀𝗮𝘃𝗶𝗻𝗴 𝘁𝗵𝗲 𝗳𝘂𝘁𝘂𝗿𝗲 𝗼𝗳 $ 𝗳𝗼𝗿 𝗳𝘂𝗻 𝗼𝗿 $ - 𝗺𝘆 𝗻𝗼𝘁𝗲𝘀 𝗮𝗻𝗱 𝗮𝗿𝘅𝗶𝘃𝘀 𝗳𝗿𝗼𝗺 𝗮𝗻 𝗼𝗻𝗴𝗼𝗶𝗻𝗴…
👾 𝘀𝗮𝘃𝗶𝗻𝗴 𝘁𝗵𝗲 𝗳𝘂𝘁𝘂𝗿𝗲 𝗼𝗳 $ 𝗳𝗼𝗿 𝗳𝘂𝗻 𝗼𝗿 $ - 𝗺𝘆 𝗻𝗼𝘁𝗲𝘀 𝗮𝗻𝗱 𝗮𝗿𝘅𝗶𝘃𝘀 𝗳𝗿𝗼𝗺 𝗮𝗻 𝗼𝗻𝗴𝗼𝗶𝗻𝗴 𝗮𝗻𝗱 𝗰𝗼𝗺𝗽𝗿𝗲𝗵𝗲𝗻𝘀𝗶𝘃𝗲 𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗿𝗲𝘀𝗲𝗮𝗿𝗰𝗵 - go-outside-labs/blockchains-security-toolkit
• KeyHacks shows ways in which particular API keys found on a Bug Bounty Program can be used, to check if they are valid.
• https://github.com/streaak/keyhacks
#api #hack
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - streaak/keyhacks: Keyhacks is a repository which shows quick ways in which API keys leaked by a bug bounty program can…
Keyhacks is a repository which shows quick ways in which API keys leaked by a bug bounty program can be checked to see if they're valid. - streaak/keyhacks
📓 SQL Injection Strategies.
What you will learn:
• Focus on how to defend against SQL injection attacks;
• Understand web application security;
• Get up and running with a variety of SQL injection concepts;
• Become well-versed with different SQL injection scenarios;
• Discover SQL injection manual attack techniques;
• Delve into SQL injection automated techniques.
📌 Download.
#SQL #hack #eng
What you will learn:
• Focus on how to defend against SQL injection attacks;
• Understand web application security;
• Get up and running with a variety of SQL injection concepts;
• Become well-versed with different SQL injection scenarios;
• Discover SQL injection manual attack techniques;
• Delve into SQL injection automated techniques.
📌 Download.
#SQL #hack #eng