🧩 RFID Pentester Pack.
• Сегодня я собрал для тебя подборку инструментов для работы с RFID. С этими инструментами, ты можешь выполнить практически любую задачу, связанную с RFID, которая тебе когда-либо понадобится: тестирование, взлом, анализ, эмуляция, чтение, запись, отладка, программирование и т.д.
• DL533N;
• ChameleonTiny;
• LF Antenna Pack;
• HF Antenna Pack;
• RFID Field Detector;
• ChameleonTiny Pro;
• Proxmark Blueshark;
• Proxmark 3 RDV4.01;
• ChameleonMini RevG.
‼️ Описание каждого инструмента, доступно по ссылкам выше. Также, не забывай про другой полезный материал:
Подборка: Social Engineering Tools.
Подборка: Red Teaming Toolkit Collection.
Подборка: 100 лучших хакерских инструментов в 2020 году.
tools: O•MG keylogger.
tools: nRF52840 dongle.
tools: AirDrive Keylogger Pro.
Статья: ESP8266. Фейковые точки доступа и атака на сеть.
Статья: Социальная инженерия и физическая безопасность.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #tools #Пентест #СИ и #RFID. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Несколько месяцев назад, я опубликовал 2 статьи "Арсенал социального инженера" и "Походный арсенал пентестера", в которых описаны инструменты, применяемые на практике для проведения пентеста.• Сегодня я собрал для тебя подборку инструментов для работы с RFID. С этими инструментами, ты можешь выполнить практически любую задачу, связанную с RFID, которая тебе когда-либо понадобится: тестирование, взлом, анализ, эмуляция, чтение, запись, отладка, программирование и т.д.
• DL533N;
• ChameleonTiny;
• LF Antenna Pack;
• HF Antenna Pack;
• RFID Field Detector;
• ChameleonTiny Pro;
• Proxmark Blueshark;
• Proxmark 3 RDV4.01;
• ChameleonMini RevG.
‼️ Описание каждого инструмента, доступно по ссылкам выше. Также, не забывай про другой полезный материал:
Подборка: Social Engineering Tools.
Подборка: Red Teaming Toolkit Collection.
Подборка: 100 лучших хакерских инструментов в 2020 году.
tools: O•MG keylogger.
tools: nRF52840 dongle.
tools: AirDrive Keylogger Pro.
Статья: ESP8266. Фейковые точки доступа и атака на сеть.
Статья: Социальная инженерия и физическая безопасность.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #tools #Пентест #СИ и #RFID. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👨🏻💻 Онлайн песочницы. Защита от вредоносных файлов. V2.
• Дешифраторы коротких URL-ссылок и проверка ссылок на вирусы:
https://scanurl.net/
https://longurl.info/
https://unshorten.me/
http://www.trueurl.net/
http://checkshorturl.com
http://www.untinyurl.com
https://vms.drweb.ru/online/
https://opentip.kaspersky.com/
https://iplogger.ru/url-checker/
https://www.virustotal.com/gui/home/url
• Онлайн песочницы:
https://any.run
https://cuckoo.cert.ee
https://www.hybrid-analysis.com
http://www.cpcheckme.com/checkme
https://threatpoint.checkpoint.com/ThreatPortal/emulation
• Онлайн-антивирусы:
https://online.drweb.com/
https://www.virustotal.com/ru/
https://opentip.kaspersky.com/
https://www.esetnod32.ru/home/products/online-scanner/
• Проверка анонимности:
https://amiunique.org/fp
http://proiptest.com/test/
https://proxy6.net/privacy
https://webkay.robinlinus.com/
https://coveryourtracks.eff.org/
https://browsercheck.qualys.com/
http://www.hackerwatch.org/probe/
http://www.cpcheckme.com/checkme/
http://www.t1shopper.com/tools/port-scan/
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #Подборка. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Недавно я публиковал подборку необходимых онлайн ресурсов, благодаря которым ты можешь проверить любой файл, полученный из недостоверного источника. Сегодня мы дополним данный список необходимыми источниками и полезным материалом, с помощью которых ты обезопасишь себя от фишинга.• Дешифраторы коротких URL-ссылок и проверка ссылок на вирусы:
https://scanurl.net/
https://longurl.info/
https://unshorten.me/
http://www.trueurl.net/
http://checkshorturl.com
http://www.untinyurl.com
https://vms.drweb.ru/online/
https://opentip.kaspersky.com/
https://iplogger.ru/url-checker/
https://www.virustotal.com/gui/home/url
• Онлайн песочницы:
https://any.run
https://cuckoo.cert.ee
https://www.hybrid-analysis.com
http://www.cpcheckme.com/checkme
https://threatpoint.checkpoint.com/ThreatPortal/emulation
• Онлайн-антивирусы:
https://online.drweb.com/
https://www.virustotal.com/ru/
https://opentip.kaspersky.com/
https://www.esetnod32.ru/home/products/online-scanner/
• Проверка анонимности:
https://amiunique.org/fp
http://proiptest.com/test/
https://proxy6.net/privacy
https://webkay.robinlinus.com/
https://coveryourtracks.eff.org/
https://browsercheck.qualys.com/
http://www.hackerwatch.org/probe/
http://www.cpcheckme.com/checkme/
http://www.t1shopper.com/tools/port-scan/
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #Подборка. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🧩 Payloads Collection.
Part 1:
https://github.com/foospidy/payloads
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/payloadbox/rfi-lfi-payload-list
https://github.com/payloadbox/csv-injection-payloads
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/xxe-injection-payload-list
https://github.com/hahwul/XSS-Payload-without-Anything
https://github.com/payloadbox/open-redirect-payload-list
https://github.com/payloadbox/command-injection-payload-list
Part 2:
https://github.com/sh377c0d3/Payloads
https://github.com/BrodieInfoSec/BIG_XSS
https://github.com/RedVirus0/LFI-Payloads
https://github.com/pgaijin66/XSS-Payloads
https://github.com/emadshanab/LFI-Payload-List
https://github.com/austinsonger/payloadsandlists
https://github.com/secf00tprint/payloadtester_lfi_rfi
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/akalankauk/XSS-SQL-Master-Payloads
Part 3:
https://github.com/cujanovic/SSRF-Testing
https://github.com/omurugur/XSS_Payload_List
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/swisskyrepo/PayloadsAllTheThings
https://github.com/omurugur/OS_Command_Payload_List
https://github.com/omurugur/Open_Redirect_Payload_List
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #bugbounty #payload
🖖🏻 Приветствую тебя user_name.💬 Сегодня я представляю тебе подборку ресурсов в которых собраны: инструменты, литература, payload'ы, видеоуроки, способы эксплуатации различных web-уязвимостей и многое другое...
Part 1:
https://github.com/foospidy/payloads
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/payloadbox/rfi-lfi-payload-list
https://github.com/payloadbox/csv-injection-payloads
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/xxe-injection-payload-list
https://github.com/hahwul/XSS-Payload-without-Anything
https://github.com/payloadbox/open-redirect-payload-list
https://github.com/payloadbox/command-injection-payload-list
Part 2:
https://github.com/sh377c0d3/Payloads
https://github.com/BrodieInfoSec/BIG_XSS
https://github.com/RedVirus0/LFI-Payloads
https://github.com/pgaijin66/XSS-Payloads
https://github.com/emadshanab/LFI-Payload-List
https://github.com/austinsonger/payloadsandlists
https://github.com/secf00tprint/payloadtester_lfi_rfi
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/akalankauk/XSS-SQL-Master-Payloads
Part 3:
https://github.com/cujanovic/SSRF-Testing
https://github.com/omurugur/XSS_Payload_List
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/swisskyrepo/PayloadsAllTheThings
https://github.com/omurugur/OS_Command_Payload_List
https://github.com/omurugur/Open_Redirect_Payload_List
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #bugbounty #payload
😈 Методы, применяемые при фишинговых атаках.
• Угон Telegram каналов. v2.
• Фейковая курьерская доставка.
• Фишинг сообществ криптовалютных трейдеров в Discord.
• Фейковая рассылка от "Почты РФ" для российских компаний.
• Фейковые рассылки от продюсеров российских «звезд».
• Фишеры используют морзянку, чтобы маскировать вредоносные URL.
• Выплата компенсаций. Рассылка фишинговых ссылок на альбомы с Google Фото.
• Фишинговая кампания, нацеленная на высшее руководство крупных компаний разных стран.
• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.
• Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Сегодня я собрал для тебя подборку методов, которые использовали фишеры в течении этого месяца и будут использоваться еще долгое время. Такие подборки будут публиковаться на постоянной основе, около 1 раз в месяц и будут включать в себя весь актуальный материал по данной теме. Список не претендует на полноту. Подробный разбор каждого из метода, ты можешь найти по ссылкам ниже. • Угон Telegram каналов. v2.
• Фейковая курьерская доставка.
• Фишинг сообществ криптовалютных трейдеров в Discord.
• Фейковая рассылка от "Почты РФ" для российских компаний.
• Фейковые рассылки от продюсеров российских «звезд».
• Фишеры используют морзянку, чтобы маскировать вредоносные URL.
• Выплата компенсаций. Рассылка фишинговых ссылок на альбомы с Google Фото.
• Фишинговая кампания, нацеленная на высшее руководство крупных компаний разных стран.
• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.
• Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
📮 Одноразовые почтовые ящики.
• https://M.kuku.lu
• https://maildrop.cc
• https://tempail.com
• https://anonbox.net
• http://od.obagg.com
• https://smailpro.com
• https://generator.email
• https://www.moakt.com
• https://owlymail.com/en
• http://www.yopmail.com
• https://temp-mail.org/en
• https://en.getairmail.com
• https://www.mohmal.com
• https://10minutemail.com
• https://www.mailinator.com
• http://www.yopmail.com/en
• https://www.emailondeck.com
• http://www.throwawaymail.com/en
• https://www.trash-mail.com/inbox/
📌 Дополнительные подборки:
• Сервисы для приема SMS.
• Площадки для практики хакинга.
• Сервисы для сбора информации.
• Сервисы для поиска утечек IP адреса.
• Подборка лучших сайтов для поиска уязвимостей.
• Подборка ресурсов для проверки безопасности в сети.
‼️ Дополнительную информацию ты можешь найти по хештегу #Malware #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Отличная подборка сервисов, которые предоставят тебе временный почтовый ящик. Подробно расписывать предназначение временной почты не имеет смысла, думаю каждый из Вас, понимает зачем нужен такой ящик и в каких случаях применяется. Функционал каждого сервиса ты можешь найти по ссылкам ниже. Удачи
user_name.
• http://xkx.me • https://M.kuku.lu
• https://maildrop.cc
• https://tempail.com
• https://anonbox.net
• http://od.obagg.com
• https://smailpro.com
• https://generator.email
• https://www.moakt.com
• https://owlymail.com/en
• http://www.yopmail.com
• https://temp-mail.org/en
• https://en.getairmail.com
• https://www.mohmal.com
• https://10minutemail.com
• https://www.mailinator.com
• http://www.yopmail.com/en
• https://www.emailondeck.com
• http://www.throwawaymail.com/en
• https://www.trash-mail.com/inbox/
📌 Дополнительные подборки:
• Сервисы для приема SMS.
• Площадки для практики хакинга.
• Сервисы для сбора информации.
• Сервисы для поиска утечек IP адреса.
• Подборка лучших сайтов для поиска уязвимостей.
• Подборка ресурсов для проверки безопасности в сети.
‼️ Дополнительную информацию ты можешь найти по хештегу #Malware #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🧠 Социальная инженерия. Классический обман.
• Приступим... Злоумышленники звонят потенциальной жертве и напоминают, что скоро ей нужно оплатить очередной взнос по ипотеке. При этом у них имеется полная информация о банке, выдавшем ипотеку, дате, размере платежа, ФИО жертвы и прочая информация.
• Во время разговора «сотрудник банка» интересуется, каким образом жертва вносит деньги в счёт погашения ипотеки, через банкомат, через мобильное приложение или в офисе банка.
• Если жертва отвечает, что посещает банк, разговор заканчивается. Если жертва оплачивает ипотеку через мобильное приложение, ему сообщают, что реквизиты для погашения изменились, но приложение доработать не успели, поэтому жертве будет выслана ссылка, по которой нужно перейти и провести платёж.
• Если жертва перечисляет деньги на сайте по этой ссылке, они попадают к злоумышленникам.
• Чтобы убедить жертву действовать быстрее, мошенники грозят ей штрафом за просрочку платежа при переводе по «старым» реквизитам.
‼️ Каждую неделю я сталкиваюсь с новым вектором атак о чем и стараюсь тебя проинформировать. Другие методы, приемы и схемы которые применяют злоумышленники, ты можешь найти в нашей группе по хэштегу #Фишинг и #СИ. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Сегодня ты узнаешь о схеме обмана людей, которую активно используют злоумышленники в настоящее время. На самом деле, если посмотреть с технической стороны, ничего не меняется, меняется лишь вектор атаки который выбирает атакующая сторона.• Приступим... Злоумышленники звонят потенциальной жертве и напоминают, что скоро ей нужно оплатить очередной взнос по ипотеке. При этом у них имеется полная информация о банке, выдавшем ипотеку, дате, размере платежа, ФИО жертвы и прочая информация.
• Во время разговора «сотрудник банка» интересуется, каким образом жертва вносит деньги в счёт погашения ипотеки, через банкомат, через мобильное приложение или в офисе банка.
• Если жертва отвечает, что посещает банк, разговор заканчивается. Если жертва оплачивает ипотеку через мобильное приложение, ему сообщают, что реквизиты для погашения изменились, но приложение доработать не успели, поэтому жертве будет выслана ссылка, по которой нужно перейти и провести платёж.
• Если жертва перечисляет деньги на сайте по этой ссылке, они попадают к злоумышленникам.
• Чтобы убедить жертву действовать быстрее, мошенники грозят ей штрафом за просрочку платежа при переводе по «старым» реквизитам.
‼️ Каждую неделю я сталкиваюсь с новым вектором атак о чем и стараюсь тебя проинформировать. Другие методы, приемы и схемы которые применяют злоумышленники, ты можешь найти в нашей группе по хэштегу #Фишинг и #СИ. Твой S.E.
🔑 Login Hunter. Находим дефолтные пароли.
• Благодаря скрипту NMAP (http-default-accounts) ты можешь осуществить проверку дефолтных паролей, однако с помощью данного скрипта ты проверишь только 80 и 443 порт. Проблема заключается в том, что многие устройства находятся на нестандартных портах и с помощью данного скрипта ты ничего не найдешь.
• Ты конечно можешь изменить скрипт и поменять порт по которому происходит поиск, но я предлагаю воспользоваться крутой тулзой которая избавит тебя ручного труда... Default HTTP Login Hunter — инструмент, который способен проверить более 380 различных веб-интерфейсов в поисках дефолтных учетных записей.
• Более подробная информация о данному инструменте, примеры использования и преимущества, ты можешь прочитать тут: https://www.infosecmatter.com/default-password-scanner-default-http-login-hunter-sh/
• Репозиторий и автор инструмента: https://github.com/mlgualtieri/NTLMRawUnHide
Дополнительная информация:
Статья: Nmap в Termux.
Статья: Глобальный поиск. Находим принтер.
Статья: Эксплуатация безопасности сетевых устройств.
Статья: Passhunt. Находим дефолтные данные устройств.
Статья: Скрипты Nmap для сбора информации и аудита RDP.
Статья: Набор подсказок для работы с различными инструментами.
Курс: Nmap for Penetration Testing.
Курс: Полный курс по этичному хакингу с Nmap.
Книга: Nmap Essentials.
Книга: Network Scanning Cookbook.
Книга: Practical Web Penetration Testing.
Книга: Mastering the Nmap Scripting Engine.
Книга: Quick Start Guide to Penetration Testing.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #nmap #tools #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Устройства на которых не изменены дефолтные пароли, великое множество. Даже в крупных организациях есть вероятность найти камеру, принтер, роутер, IP-телефоны, сетевые устройства или другое оборудование с дефолтными паролями.
• Благодаря скрипту NMAP (http-default-accounts) ты можешь осуществить проверку дефолтных паролей, однако с помощью данного скрипта ты проверишь только 80 и 443 порт. Проблема заключается в том, что многие устройства находятся на нестандартных портах и с помощью данного скрипта ты ничего не найдешь.
• Ты конечно можешь изменить скрипт и поменять порт по которому происходит поиск, но я предлагаю воспользоваться крутой тулзой которая избавит тебя ручного труда... Default HTTP Login Hunter — инструмент, который способен проверить более 380 различных веб-интерфейсов в поисках дефолтных учетных записей.
• Более подробная информация о данному инструменте, примеры использования и преимущества, ты можешь прочитать тут: https://www.infosecmatter.com/default-password-scanner-default-http-login-hunter-sh/
• Репозиторий и автор инструмента: https://github.com/mlgualtieri/NTLMRawUnHide
Дополнительная информация:
Статья: Nmap в Termux.
Статья: Глобальный поиск. Находим принтер.
Статья: Эксплуатация безопасности сетевых устройств.
Статья: Passhunt. Находим дефолтные данные устройств.
Статья: Скрипты Nmap для сбора информации и аудита RDP.
Статья: Набор подсказок для работы с различными инструментами.
Курс: Nmap for Penetration Testing.
Курс: Полный курс по этичному хакингу с Nmap.
Книга: Nmap Essentials.
Книга: Network Scanning Cookbook.
Книга: Practical Web Penetration Testing.
Книга: Mastering the Nmap Scripting Engine.
Книга: Quick Start Guide to Penetration Testing.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #nmap #tools #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👺 Red Teaming Toolkit.
• Разумеется что о многих инструментах мы уже говорили и даже разбирали на практике, но осталось большое количество материала о котором мы не успели поговорить. Ниже, будет подборка, с помощью которой ты найдешь полезный и нужный материал для дальнейшего обучения.
🧷 https://github.com/infosecn1nja/Red-Teaming-Toolkit
Дополнительный материал:
Железо: RFID Pentester Pack.
Курс: Red Team Ops with Cobalt Strike.
Книги: Red Team. Подборка литературы.
Видео: Red team: пентест одновременно двух организаций.
Статья: Функционал и отличия команд. Red, Blue, Purple, Yellow, Orange, Green, White и Black Team.
Подборка: Red Teaming Toolkit Collection.
Подборка: Red Teaming для начинающих и профи. Очень много полезного материала на любой вкус.
https://github.com/tcostam/awesome-command-control
https://github.com/marcosValle/awesome-windows-red-team
https://github.com/yeyintminthuhtut/Awesome-Red-Teaming
https://github.com/r3p3r/yeyintminthuhtut-Awesome-Red-Teaming
https://github.com/mishmashclone/yeyintminthuhtut-Awesome-Red-Teaming
‼️ Другую дополнительную информацию ты можешь найти по хештегам #ИБ #tools и #Redteam . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• О Red Team я писал уже очень много, сегодня хочу представить тебе полезный репозиторий в котором собраны полезные инструменты. Список разделен по направлениям: разведка, повышение привилегий, фишинг, удаленный доступ и многое другое...
• Разумеется что о многих инструментах мы уже говорили и даже разбирали на практике, но осталось большое количество материала о котором мы не успели поговорить. Ниже, будет подборка, с помощью которой ты найдешь полезный и нужный материал для дальнейшего обучения.
🧷 https://github.com/infosecn1nja/Red-Teaming-Toolkit
Дополнительный материал:
Железо: RFID Pentester Pack.
Курс: Red Team Ops with Cobalt Strike.
Книги: Red Team. Подборка литературы.
Видео: Red team: пентест одновременно двух организаций.
Статья: Функционал и отличия команд. Red, Blue, Purple, Yellow, Orange, Green, White и Black Team.
Подборка: Red Teaming Toolkit Collection.
Подборка: Red Teaming для начинающих и профи. Очень много полезного материала на любой вкус.
https://github.com/tcostam/awesome-command-control
https://github.com/marcosValle/awesome-windows-red-team
https://github.com/yeyintminthuhtut/Awesome-Red-Teaming
https://github.com/r3p3r/yeyintminthuhtut-Awesome-Red-Teaming
https://github.com/mishmashclone/yeyintminthuhtut-Awesome-Red-Teaming
‼️ Другую дополнительную информацию ты можешь найти по хештегам #ИБ #tools и #Redteam . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
⚠️ Defender Check. Проверка на детект.
• Defender Check — позволяет проверить на что реагирует Microsoft Defender и дает нам возможность увидеть, на какие именно байты нашей тулзы он ругается. Инструмент действительно полезный и заслуживает место в арсенале пентестера и даже социального инженера.
• https://github.com/matterpreter/DefenderCheck в этом репозитории есть описание инструмента и демонстрация работоспособности. Из картинки видно результат проверки Defender Check который задетектил Mimikatz и вывел соответствующие результаты.
Дополнительная информация:
Статья: Походный арсенал пентестера.
Статья: Арсенал социального инженера.
Статья: Обход антивирусов при помощи Shellter.
Статья: Тактики и инструменты. Атаки на организации.
Статья: Mimikatz. Собственная сборка для обхода антивируса.
tools: THC-Archive.
tools: Social Engineering Tools.
tools: Toolkit на все случаи жизни.
Железо: USBHarpoon.
Железо: O•MG cable.
Железо: O•MG keylogger.
Железо: RFID Pentester Pack.
Железо: USB Ninja Professional.
Железо: AirDrive Keylogger Pro.
Железо: Чемоданчик хакера 2020.
Железо: HID-атаки. Выбираем бюджетную плату.
Железо: HID-Атаки. Программируем хакерский девайс.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #tools #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Сегодня мы поговорим о проверке на детект. Дело в том, что, при проведении тестирования на проникновение, наши пейлоады и софт могут палиться антивирусом. Однако возникает закономерный вопрос, что является причиной детекта?
• Defender Check — позволяет проверить на что реагирует Microsoft Defender и дает нам возможность увидеть, на какие именно байты нашей тулзы он ругается. Инструмент действительно полезный и заслуживает место в арсенале пентестера и даже социального инженера.
• https://github.com/matterpreter/DefenderCheck в этом репозитории есть описание инструмента и демонстрация работоспособности. Из картинки видно результат проверки Defender Check который задетектил Mimikatz и вывел соответствующие результаты.
Дополнительная информация:
Статья: Походный арсенал пентестера.
Статья: Арсенал социального инженера.
Статья: Обход антивирусов при помощи Shellter.
Статья: Тактики и инструменты. Атаки на организации.
Статья: Mimikatz. Собственная сборка для обхода антивируса.
tools: THC-Archive.
tools: Social Engineering Tools.
tools: Toolkit на все случаи жизни.
Железо: USBHarpoon.
Железо: O•MG cable.
Железо: O•MG keylogger.
Железо: RFID Pentester Pack.
Железо: USB Ninja Professional.
Железо: AirDrive Keylogger Pro.
Железо: Чемоданчик хакера 2020.
Железо: HID-атаки. Выбираем бюджетную плату.
Железо: HID-Атаки. Программируем хакерский девайс.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #tools #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🔐 AD security.
• Хочу сказать, что для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает. На сайте adsecurity как раз собрана вся необходимая информация для изучения #AD:
• Техники проникновения и детекта:
• Разведка в Active Directory.
• Методы повышения привилегий;
• Боковое перемещение;
• Защита от детекта;
• Сбор учеток в Active Directory
И многое другое...
🧷 https://adsecurity.org/
Также, не забывай про: https://github.com/balaasif6789/AD-Pentesting тут тоже можно найти полезный материал на данную тему.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #AD #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• За последние 6 лет ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Сегодня я представляю тебе наверное, лучший ресурс, раскрывающий все аспекты защиты и уязвимостей #AD — https://adsecurity.org/• Хочу сказать, что для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает. На сайте adsecurity как раз собрана вся необходимая информация для изучения #AD:
• Техники проникновения и детекта:
• Разведка в Active Directory.
• Методы повышения привилегий;
• Боковое перемещение;
• Защита от детекта;
• Сбор учеток в Active Directory
И многое другое...
🧷 https://adsecurity.org/
Также, не забывай про: https://github.com/balaasif6789/AD-Pentesting тут тоже можно найти полезный материал на данную тему.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #AD #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🧅 Выпуск Tor Browser 10.0.12 и Tails 4.16.
• В новом выпуске задействованы новые версии ядра Linux 5.10 (в прошлой версии поставлялось ядро 5.9), Tor Browser 10.0.12, Thunderbird 78.7.0. Осуществлён переход на новую стабильную ветку Tor 0.4.5. В процессе загрузке обновлений убран выставлявшийся по умолчанию фокус на кнопке Cancel, из-за которого обновления случайно могли быть отменены.
• Одновременно выпущена новая версия браузера Tor Browser 10.0.12, ориентированного на обеспечение анонимности, безопасности и приватности. Выпуск синхронизирован с кодовой базой Firefox 78.8.0 ESR, в которой устранено 7 уязвимостей. Обновлены версии
‼️ Другую дополнительную информацию ты можешь найти по хештегам #tor и #tails. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Сформирован релиз специализированного дистрибутива Tails 4.16 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 ГБ.• В новом выпуске задействованы новые версии ядра Linux 5.10 (в прошлой версии поставлялось ядро 5.9), Tor Browser 10.0.12, Thunderbird 78.7.0. Осуществлён переход на новую стабильную ветку Tor 0.4.5. В процессе загрузке обновлений убран выставлявшийся по умолчанию фокус на кнопке Cancel, из-за которого обновления случайно могли быть отменены.
• Одновременно выпущена новая версия браузера Tor Browser 10.0.12, ориентированного на обеспечение анонимности, безопасности и приватности. Выпуск синхронизирован с кодовой базой Firefox 78.8.0 ESR, в которой устранено 7 уязвимостей. Обновлены версии
Tor 0.4.5.6, NoScript 11.2.2 и Openssl 1.1.1j.
🧷 Источник: https://www.opennet.ru/opennews/art.shtml?num=54643‼️ Другую дополнительную информацию ты можешь найти по хештегам #tor и #tails. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
📚 Продвинутые техники создания словарей.
• Статья включает в себя:
• Азы генерации словарей;
• Атака на основе правил;
• Комбинирование по алгоритму PRINCE;
• Как комбинировать более двух словарей;
• Как создавать комбинированные словари;
• Когда о пароле ничего не известно (все символы);
• Как создать словарь по маске с переменной длиной;
• Генерация словарей на основе информации о человеке;
• Как создать все возможные комбинации для короткого списка;
• Гибридная атака - объединение комбинаторной атаки и атаки по маске;
• Составление списков слов и списков имён пользователей на основе веб-сайта;
• Создание словарей, в которых обязательно используется определённые символы или строки;
• Как извлечь имена пользователей и пароли из комбинированного словаря в обычные словари;
• Как создать комбинированный словарь, содержащий имя пользователя и пароль, разделённые символом;
• Как при помощи Hashcat можно сгенерировать словарь хешей MD5 всех шестизначных чисел от 000000 до 999999;
• Удвоение слов.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #hashcat #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Использование подходящих словарей во время проведения тестирования на проникновение во многом определяет успех подбора учетных данных. В этой статье собраны возможные ситуации генерации словарей, с которыми можно столкнуться на практике, будут рассмотрены не только уже знакомые нам инструменты, но и парочка новых. • Статья включает в себя:
• Азы генерации словарей;
• Атака на основе правил;
• Комбинирование по алгоритму PRINCE;
• Как комбинировать более двух словарей;
• Как создавать комбинированные словари;
• Когда о пароле ничего не известно (все символы);
• Как создать словарь по маске с переменной длиной;
• Генерация словарей на основе информации о человеке;
• Как создать все возможные комбинации для короткого списка;
• Гибридная атака - объединение комбинаторной атаки и атаки по маске;
• Составление списков слов и списков имён пользователей на основе веб-сайта;
• Создание словарей, в которых обязательно используется определённые символы или строки;
• Как извлечь имена пользователей и пароли из комбинированного словаря в обычные словари;
• Как создать комбинированный словарь, содержащий имя пользователя и пароль, разделённые символом;
• Как при помощи Hashcat можно сгенерировать словарь хешей MD5 всех шестизначных чисел от 000000 до 999999;
• Удвоение слов.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #hashcat #hack и #Пентест . Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👁 Сканируем порты.
• Давай рассмотрим пример, если мы воспользуемся ZoomEye (или другим инструментом, например #NMAP), выполним поиск указав в запросе порт 9100 (
• Таких примеров очень много и с другими сетевыми устройствами. Буквально неделю назад, на англоязычном ресурсе, я нашел полезную статью, которая поможет новичкам в изучении и понимании нашей сегодняшней темы. https://securitytrails.com/blog/open-ports.
• Перевод статьи, мы опубликовали в Telegra.ph. Но лучше читать в оригинале на англ. языке.
• Я надеюсь что ты освоишь данный материал, и приступишь к изучению дополнительной информации. Вся информация которая представлена в нашем канале, распространяется бесплатно и доступна каждому из Вас:
• The Official Nmap Project Guide.
• Полный курс по этичному хакингу с Nmap.
• Анонимное сканирование с NMAP через Tor.
• Конференция DEFCON 16. NMAP-cканирование.
• Набор подсказок для работы с различными инструментами.
• Курсы Cisco CCNA 200-301
• Тренинг Cisco 200-125 CCNA v3.0.
• Учебный курс: Компьютерные сети.
• Практический курс для новичков в мире сетевых технологий.
• Сканируем порты, получаем нужную информацию о хосте.
• Полный курс по WireShark - От Начального до Продвинутого Уровня!
Рекомендуемая литература.
• Nmap Essentials.
• Network Scanning Cookbook.
• Mastering the Nmap Scripting Engine.
• Quick Start Guide to Penetration Testing.
• Э.Таненбаум, Д.Уэзеролл. Компьютерные сети.
• В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы.
• Компьютерные сети. Принципы, технологии, протоколы. 2020
‼️ Разумеется что это не полный список всех курсов и литературы в нашем канале, другую дополнительную информацию ты можешь найти по хештегам #NMAP #Сети #Пентест #WireShark #OSINT и #ИБ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• По мнению многих ИБ специалистов, сканирование портов – это одна из интересных задач, которые приходится выполнять, когда мы собираем данные о цели. В нашем канале собрано очень много материала по #NMAP (и не только), благодаря этому материалу ты можешь получить знания в разных направлениях, например в области #ИБ или #OSINT.
• Давай рассмотрим пример, если мы воспользуемся ZoomEye (или другим инструментом, например #NMAP), выполним поиск указав в запросе порт 9100 (
device:"printer" +port:9100 +country:"RU") то на выходе получим результат, содержащий более 3000 сетевых принтеров, доступ к которым не так сложно получить.• Таких примеров очень много и с другими сетевыми устройствами. Буквально неделю назад, на англоязычном ресурсе, я нашел полезную статью, которая поможет новичкам в изучении и понимании нашей сегодняшней темы. https://securitytrails.com/blog/open-ports.
• Перевод статьи, мы опубликовали в Telegra.ph. Но лучше читать в оригинале на англ. языке.
• Я надеюсь что ты освоишь данный материал, и приступишь к изучению дополнительной информации. Вся информация которая представлена в нашем канале, распространяется бесплатно и доступна каждому из Вас:
• The Official Nmap Project Guide.
• Полный курс по этичному хакингу с Nmap.
• Анонимное сканирование с NMAP через Tor.
• Конференция DEFCON 16. NMAP-cканирование.
• Набор подсказок для работы с различными инструментами.
• Курсы Cisco CCNA 200-301
• Тренинг Cisco 200-125 CCNA v3.0.
• Учебный курс: Компьютерные сети.
• Практический курс для новичков в мире сетевых технологий.
• Сканируем порты, получаем нужную информацию о хосте.
• Полный курс по WireShark - От Начального до Продвинутого Уровня!
Рекомендуемая литература.
• Nmap Essentials.
• Network Scanning Cookbook.
• Mastering the Nmap Scripting Engine.
• Quick Start Guide to Penetration Testing.
• Э.Таненбаум, Д.Уэзеролл. Компьютерные сети.
• В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы.
• Компьютерные сети. Принципы, технологии, протоколы. 2020
‼️ Разумеется что это не полный список всех курсов и литературы в нашем канале, другую дополнительную информацию ты можешь найти по хештегам #NMAP #Сети #Пентест #WireShark #OSINT и #ИБ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🔖 Lateral Movement Detection GPO Settings Cheat Sheet.
• Групповые политики могут рассказать очень многое об устройствах организации и могут включать параметры безопасности, разделы реестра, правила установки программного обеспечения, сценарии для запуска и завершения работы и т.д. Основное, на что мы должны обращать внимание - какие параметры активности детектирует защита.
• Ниже, будет представлена крутая шпаргалка от Compass Security, предназначенной для Blue Team, о том какие групповые политики должны быть активны для обнаружения перемещения атакующих по домену. Также, эта шпаргалка поможет и атакующей стороне. К примеру, если мы видим, что у "Turn on PowerShell script Block Logging" установлен флаг "Enabled" то из этого следует что все действия об обработке команд и сценариев PowerShell логируются, какой из этого следует вывод, я думаю ты прекрасно понимаешь.
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #Active_Directory
🖖🏻 Приветствую тебя user_name.💬 Во время атаки на инфраструктуру Active Directory очень важно сохранить полученный доступ. Для этого используются различные методы и средства, в том числе — особенности групповых политик и бэкдоры.
• Групповые политики могут рассказать очень многое об устройствах организации и могут включать параметры безопасности, разделы реестра, правила установки программного обеспечения, сценарии для запуска и завершения работы и т.д. Основное, на что мы должны обращать внимание - какие параметры активности детектирует защита.
• Ниже, будет представлена крутая шпаргалка от Compass Security, предназначенной для Blue Team, о том какие групповые политики должны быть активны для обнаружения перемещения атакующих по домену. Также, эта шпаргалка поможет и атакующей стороне. К примеру, если мы видим, что у "Turn on PowerShell script Block Logging" установлен флаг "Enabled" то из этого следует что все действия об обработке команд и сценариев PowerShell логируются, какой из этого следует вывод, я думаю ты прекрасно понимаешь.
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #Active_Directory
🧩 BlackMamba. Фрейморк для постэксплуатации.
• Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях.
• Зашифрованная связь;
• Сбор скриншотов;
• Потоковое видео;
• Блокировка клиента;
• Зашифрованная передача файлов;
• Keylogger;
• Веб-загрузчик;
🧷 Более подробно об этом фреймворке ты можешь прочитать тут: https://en.iguru.gr/2021/02/19/blackmamba-post-exploitation-framework-multi-client/
🧷 Гайд по установке: https://github.com/loseys/BlackMamba#install-guide
📌 Дополнительная информация:
• Covenant.
• Powershell Empire.
• Metasploit Framework.
• Cobalt Strike. Курсы, мануалы, статьи, эксплуатация.
• Koadic. Фреймворк для постэксплуатации в Windows.
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #BlackMamba #Фреймворк
🖖🏻 Приветствую тебя user_name.
💬 Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. Соответственно постэксплуатация означает в основном действия, которые следуют после того, как атакуемая инфраструктура была скомпрометирована. • Ценность взломанной системы определяется весомостью фактических данных, хранящихся в ней, и тем, как ты можешь их использовать в своих целях.
💬 Сегодня мы поговорим о BlackMamba — это фрейморк для постэксплуатации с функциями шпионского ПО. Включает в себя много функций, некоторые из них:• Зашифрованная связь;
• Сбор скриншотов;
• Потоковое видео;
• Блокировка клиента;
• Зашифрованная передача файлов;
• Keylogger;
• Веб-загрузчик;
🧷 Более подробно об этом фреймворке ты можешь прочитать тут: https://en.iguru.gr/2021/02/19/blackmamba-post-exploitation-framework-multi-client/
🧷 Гайд по установке: https://github.com/loseys/BlackMamba#install-guide
📌 Дополнительная информация:
• Covenant.
• Powershell Empire.
• Metasploit Framework.
• Cobalt Strike. Курсы, мануалы, статьи, эксплуатация.
• Koadic. Фреймворк для постэксплуатации в Windows.
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #BlackMamba #Фреймворк
🔧 Взлом лифтов - Из шахты в пентхаус.
💬 В нашем канале иногда публикуются интересные вебинары, материалы с различных конференций и полезные видеоматериалы касательно пентеста, но ни разу я не публиковал информацию, касательно взлома лифта. Сегодня ты узнаешь какую роль играет лифт при проведении пентеста, обход защиты на многих объектах, устройство лифта и многое другое...
• Тема не совсем обычная, но она может сыграть важную роль в нужный момент. Материал доступен на YT и переведен на русский язык. https://youtu.be/8BJXuhV3UeM. Тема очень интересная и рекомендуется к изучению.
Немного дополню от себя...
• В середине видео упоминается, что в некоторых случаях нельзя вызвать лифт в коридоре и вместо кнопки вызова лифта присутствует замочная скважина. В данном случае нам поможет Lockpicking. Я уже публиковал материал на данную тему, и хочу напомнить о нем:
• Awesome Lockpicking.
• Социальная инженерия. Lockpicking.
• Социальная инженерия и физическая безопасность.
• Практическое руководство по взлому сейфов и замков.
• Легендарный Кевин #Митник также использовал методы взлома замков, в своей деятельности, что подтверждает его визитка.
• В твоем любимом сериале Mr.Robot, Эллиот взламывал лифт в Season 4 episode 5 (ссылка на момент взлома лифта), отличный момент который показывает важность владения навыком локпикинга.
‼️ Другую дополнительную информацию ты можешь найти по хэштегу #Пентест. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• На протяжении всей истории хакерской культуры, лифты играли ключевую роль. От студентов Массачусетского технологического института с их тайными ночными катаниями на крышах кабин до современных пентестеров, которые используют лифты в своей работе для обхода систем безопасности зданий (это проще, чем кажется!), эти устройства часто неправильно понимают, а их полный набор функций и возможностей остается неизученными.💬 В нашем канале иногда публикуются интересные вебинары, материалы с различных конференций и полезные видеоматериалы касательно пентеста, но ни разу я не публиковал информацию, касательно взлома лифта. Сегодня ты узнаешь какую роль играет лифт при проведении пентеста, обход защиты на многих объектах, устройство лифта и многое другое...
• Тема не совсем обычная, но она может сыграть важную роль в нужный момент. Материал доступен на YT и переведен на русский язык. https://youtu.be/8BJXuhV3UeM. Тема очень интересная и рекомендуется к изучению.
Немного дополню от себя...
• В середине видео упоминается, что в некоторых случаях нельзя вызвать лифт в коридоре и вместо кнопки вызова лифта присутствует замочная скважина. В данном случае нам поможет Lockpicking. Я уже публиковал материал на данную тему, и хочу напомнить о нем:
• Awesome Lockpicking.
• Социальная инженерия. Lockpicking.
• Социальная инженерия и физическая безопасность.
• Практическое руководство по взлому сейфов и замков.
• Легендарный Кевин #Митник также использовал методы взлома замков, в своей деятельности, что подтверждает его визитка.
• В твоем любимом сериале Mr.Robot, Эллиот взламывал лифт в Season 4 episode 5 (ссылка на момент взлома лифта), отличный момент который показывает важность владения навыком локпикинга.
‼️ Другую дополнительную информацию ты можешь найти по хэштегу #Пентест. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👁 Конференции 2020. Что посмотреть?
• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat US 2020 ты можешь найти на YT: https://www.youtube.com/playlist?list=PLH15HpR5qRsXE_4kOSy_SXwFkFQre4AV_
Обязательно ознакомься со статьей: 7 интересных хаков с Black Hat / DEF CON 2020
• SANS Threat Hunting & Incident Response Summit 2020. Отличный плейлист, где ведущие специалисты по ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях.
https://youtube.com/playlist?list=PLfouvuAjspTpESwgitHe8roa7XBOnemFa
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://youtube.com/playlist?list=PLdVJWiil7RxoW8rBeKc0flY8bRuD3M68L
Если тебе интересна тема CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2020. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях.
https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2020. Конференция для Blue Team специалистов с огромным количеством полезной информации.
https://youtube.com/playlist?list=PLs4eo9Tja8bjMyah8ZEOlG9sq4070b5_v
• DEF CON Conference. Сборник плейлистов по разным направлениям, особое внимание заслуживает DEF CON Safe Mode Blue Team Village и DEF CON Safe Mode Red Team Village.
Общий список плейлистов: https://www.youtube.com/user/DEFCONConference/playlists
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Другую дополнительную информацию ты можешь найти по хэштегу #ИБ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Сегодня хочу поделиться с тобой полезным видеоматериалом с крутых конференций, которые прошли в 2020 году и доступы на YT. Первое с чего мы начнем, это Black Hat.• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat US 2020 ты можешь найти на YT: https://www.youtube.com/playlist?list=PLH15HpR5qRsXE_4kOSy_SXwFkFQre4AV_
Обязательно ознакомься со статьей: 7 интересных хаков с Black Hat / DEF CON 2020
• SANS Threat Hunting & Incident Response Summit 2020. Отличный плейлист, где ведущие специалисты по ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях.
https://youtube.com/playlist?list=PLfouvuAjspTpESwgitHe8roa7XBOnemFa
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://youtube.com/playlist?list=PLdVJWiil7RxoW8rBeKc0flY8bRuD3M68L
Если тебе интересна тема CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2020. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях.
https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2020. Конференция для Blue Team специалистов с огромным количеством полезной информации.
https://youtube.com/playlist?list=PLs4eo9Tja8bjMyah8ZEOlG9sq4070b5_v
• DEF CON Conference. Сборник плейлистов по разным направлениям, особое внимание заслуживает DEF CON Safe Mode Blue Team Village и DEF CON Safe Mode Red Team Village.
Общий список плейлистов: https://www.youtube.com/user/DEFCONConference/playlists
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Другую дополнительную информацию ты можешь найти по хэштегу #ИБ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🔑 Находим пароли от почты в слитых базах.
• Первый шаг, это проверка на слитые данные. Поможет нам в этом haveibeenpwned. Если сервис ничего не нашел, то есть шанс найти информацию в аналогичных сервисах, которые будут описаны ниже.
• Далее находим информацию по email в Intelligence X. Если сервис выводит результаты, то открываем каждую и ищем строку по email.
• Если на предыдущем шаге ты не нашел нужный пароль, то стоит попробовать воспользоваться Telegram-ботами. Первый бот — @mailsearch_bot, прочитать более подробно о боте, можешь тут: "Запущен telegram-бот, который выдаёт пароли по адресу почты"
• Ищем информацию в других аналогичных haveibeenpwned сервисах:
leakcheck.io
dehashed.com
ghostproject.fr
leakedsource.ru
breachalarm.com
sitecheck.sucuri.net
monitor.firefox.com
• Если ты активный читатель S.E., то ты должен помнить о боте
• Не забывай про тулзу h8mail. Которая может помочь найти слитый пароль.
‼️ Разумеется что есть и другие сервисы и методы поиска пароля, но о них мы поговорим немного позже. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #OSINT
🖖🏻 Приветствую тебя user_name.• Сегодня мы погорим о методах поиска информации, а также выполним поиск паролей от Email по различным утечкам.
• Первый шаг, это проверка на слитые данные. Поможет нам в этом haveibeenpwned. Если сервис ничего не нашел, то есть шанс найти информацию в аналогичных сервисах, которые будут описаны ниже.
• Далее находим информацию по email в Intelligence X. Если сервис выводит результаты, то открываем каждую и ищем строку по email.
• Если на предыдущем шаге ты не нашел нужный пароль, то стоит попробовать воспользоваться Telegram-ботами. Первый бот — @mailsearch_bot, прочитать более подробно о боте, можешь тут: "Запущен telegram-бот, который выдаёт пароли по адресу почты"
• Ищем информацию в других аналогичных haveibeenpwned сервисах:
leakcheck.io
dehashed.com
ghostproject.fr
leakedsource.ru
breachalarm.com
sitecheck.sucuri.net
monitor.firefox.com
• Если ты активный читатель S.E., то ты должен помнить о боте
@HowToFind_RU_bot которой мог узнать нужную информацию по ключевым параметрам. Например для поиска человека по номеру мобильного телефона, по email по аккаунту в соц.сетях, в общем крутой бот, но относительно недавно он стал платным. Но зачем платить, когда мы залили в облако полноценный архив, благодаря которому ты можешь получить всю информацию которую выдавал бот.• Не забывай про тулзу h8mail. Которая может помочь найти слитый пароль.
‼️ Разумеется что есть и другие сервисы и методы поиска пароля, но о них мы поговорим немного позже. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #OSINT
⚙️ 100 Hacking tools от hackerone.
• Рекомендую внимательно изучить этот список и добавить к себе в арсенал нужные инструменты, о многих из них я писал в нашем канале и подробно расписывал возможности, давал необходимую литературу для изучения и давал ссылки на весь необходимый материал. Если тебя интересуют мануалы по различным инструментам, обязательно воспользуйся поиском.
🧷 https://www.hackerone.com/blog/100-hacking-tools-and-resources
• Надеюсь что ты найдешь для себя новую и полезную информацию. Ну а я, в свою очередь, рекомендую тебе ряд курсов и полезный материал, благодаря которому ты можешь приступить к практике:
Курс по WireShark;
Курс по этичному хакингу с Nmap;
Курс: Хакинг с Metasploit. RU.
Курс: Cobalt Strike. Переведено на RU.
Курс: Бесплатный курс по взлому от HackerOne
tools: THC-Archive.
tools: Social Engineering Tools.
tools: Toolkit на все случаи жизни.
tools: Походный арсенал пентестера.
tools: Арсенал социального инженера.
tools: Форензика. Бесплатные инструменты и ресурсы.
‼️ Другую дополнительную информацию ты можешь найти по хэштегам #tools #Пентест #Hack и #Курс. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• 25 Августа 2020 года, я опубликовал пост в котором были рассмотрены инструменты которые активно используются хакерами и пентестерами. Прошло много времени и сегодня я нашел для тебя отличную подборку от hackerone, которая подойдет как новичкам так и профессионалам.• Рекомендую внимательно изучить этот список и добавить к себе в арсенал нужные инструменты, о многих из них я писал в нашем канале и подробно расписывал возможности, давал необходимую литературу для изучения и давал ссылки на весь необходимый материал. Если тебя интересуют мануалы по различным инструментам, обязательно воспользуйся поиском.
🧷 https://www.hackerone.com/blog/100-hacking-tools-and-resources
• Надеюсь что ты найдешь для себя новую и полезную информацию. Ну а я, в свою очередь, рекомендую тебе ряд курсов и полезный материал, благодаря которому ты можешь приступить к практике:
Курс по WireShark;
Курс по этичному хакингу с Nmap;
Курс: Хакинг с Metasploit. RU.
Курс: Cobalt Strike. Переведено на RU.
Курс: Бесплатный курс по взлому от HackerOne
tools: THC-Archive.
tools: Social Engineering Tools.
tools: Toolkit на все случаи жизни.
tools: Походный арсенал пентестера.
tools: Арсенал социального инженера.
tools: Форензика. Бесплатные инструменты и ресурсы.
‼️ Другую дополнительную информацию ты можешь найти по хэштегам #tools #Пентест #Hack и #Курс. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🔐 Lockpick - устройство замков и их уязвимости. VolgaCTF.
• Всех кого интересует тема локпикинга и социальной инженерии, рекомендую изучить данный материал. Также, хочу заметить, что в нашем канале мы еще не разбирали уязвимости и методы обхода "СКУД" и различных домофонов, этот материал как раз направлен на эту тему. Приятного просмотра: https://youtu.be/uoeM56tVO8E
💬 От себя, хочу добавить немного полезного материала который поможет поднять твой скилл в этой теме. Одним из основных ресурсов о взломе замков является lockwiki, в которой подробно описаны многие аспекты взлома. Подборка материала на тему #lockpicking, репозиторий включает в себя множество ресурсов, статей, видео, книг, инструментов и другого полезного материала. Много полезного материала в Reddit Lockpicking Community.
• Практическое руководство по взлому сейфов и замков. Книга поможет новичкам выбрать необходимые инструменты, поможет определить слабые места различных замков, благодаря множеству иллюстраций ты с легкостью освоишь нужный материал и сможешь приступить к практике. https://www.youtube.com/c/lockpickinglawyer/videos Крутой канал где ты можешь найти огромное количество видео для прокачки #lockpicking.
🔑 Отмычки для Социального инженера.
• Stainless Steel Hook Lock Pick Set - Silver + Black (14PCS)
• ZH-0121 Inside-View Pick Skill Training Practice Padlock for Locksmith
• Обязательно ознакомься с типами замков: https://securitysnobs.com/Types-Of-Locks.html
🧷 Полезная инструкция, о том как сделать самодельный набор отмычек.
🧷 Еще одна полезная инструкция.
‼️ Другую дополнительную информацию ты можешь найти по хэштегам #СИ #lockpicking и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Физическая безопасность — важный аспект социального инженера. Изучение того, как взламывать замки, может быть полезно для получения доступа к компаниям, сейфам, офисам, лифтам и другим местам, где будет храниться необходимая информация. На VolgaCTF была проведена отличная лекция, которая освещает очень много тем: от истории создания, до уязвимостей популярных моделей.• Всех кого интересует тема локпикинга и социальной инженерии, рекомендую изучить данный материал. Также, хочу заметить, что в нашем канале мы еще не разбирали уязвимости и методы обхода "СКУД" и различных домофонов, этот материал как раз направлен на эту тему. Приятного просмотра: https://youtu.be/uoeM56tVO8E
💬 От себя, хочу добавить немного полезного материала который поможет поднять твой скилл в этой теме. Одним из основных ресурсов о взломе замков является lockwiki, в которой подробно описаны многие аспекты взлома. Подборка материала на тему #lockpicking, репозиторий включает в себя множество ресурсов, статей, видео, книг, инструментов и другого полезного материала. Много полезного материала в Reddit Lockpicking Community.
• Практическое руководство по взлому сейфов и замков. Книга поможет новичкам выбрать необходимые инструменты, поможет определить слабые места различных замков, благодаря множеству иллюстраций ты с легкостью освоишь нужный материал и сможешь приступить к практике. https://www.youtube.com/c/lockpickinglawyer/videos Крутой канал где ты можешь найти огромное количество видео для прокачки #lockpicking.
🔑 Отмычки для Социального инженера.
• Stainless Steel Hook Lock Pick Set - Silver + Black (14PCS)
• ZH-0121 Inside-View Pick Skill Training Practice Padlock for Locksmith
• Обязательно ознакомься с типами замков: https://securitysnobs.com/Types-Of-Locks.html
🧷 Полезная инструкция, о том как сделать самодельный набор отмычек.
🧷 Еще одна полезная инструкция.
‼️ Другую дополнительную информацию ты можешь найти по хэштегам #СИ #lockpicking и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
