Maltego XL 4.2.18 fully activated by Dr.FarFar

Password: Dr.FarFar

#эксклюзив [900.000 строк]

База данных арабского аниме сайта, содержащая ники, имена, почты (преимущественно gmail) и пароли в открытом виде.

Выкачено пару недель назад.
Даты регистраций с 2019 по 2021 года.

Пополняйте свои базы :3

​​🧅 Инструменты OSINT для Onion сайтов

Небольшой список полезных инструментов для работы с сайтами в сети Tor.

Поисковые утилиты

OnionSearch - https://github.com/megadose/OnionSearch
Darkdump - https://github.com/josh0xA/darkdump
Ahmia Search Engine - ahmia.fi, https://github.com/ahmia/ahmia-site,
DarkSearch - https://darksearch.io/, https://github.com/thehappydinoa/DarkSearch
Katana - https://github.com/adnane-X-tebbaa/Katana

Инструменты для получения onion ссылок

Hunchly - https://www.hunch.ly/darkweb-osint/
H-Indexer - http://jncyepk6zbnosf4p.onion/onions.html
Tor66 Fresh Onions - http://tor66sewebgixwhcqfnp5inzp5x5uohhdy3kvtnyfxc2e5mxiuh34iid.onion/fresh

Инструменты для сканирования

Onionscan - https://github.com/s-rah/onionscan
Onioff - https://github.com/k4m4/onioff
Onion-nmap - https://github.com/milesrichardson/docker-onion-nmap

Краулеры

TorBot - https://github.com/DedSecInside/TorBot
TorCrawl - https://github.com/MikeMeliz/TorCrawl.py
VigilantOnion - https://github.com/andreyglauzer/VigilantOnion
OnionIngestor - https://github.com/danieleperera/OnionIngestor

Прочее

DeepDarkCTI - https://github.com/fastfire/deepdarkCTI

#web #tor #osint #recon

​​🗳 Инструмент для создания вредоносных Zip-файлов, не требующих разархивации

ZipExec - это инструмент для выполнения полезной нагрузки, хранящейся в защищенных паролем zip-файлах, без их извлечения.

Инструмент передает zip-файлы на диск, используя JScript и COM-объекты, для создания zip-файла на диске и последующего их выполнения. Защита zip-файла паролем позволяет обходить EDR и механизмы сканирования антивирусов.

#redteam #malware #av

Ссылка на GitHub

​​🔑 Определяем принадлежность найденных ключей и токенов

При пентесте сайтов мы зачастую ищем утечки в различных местах, включая GitHub, JS-файлы, HTTP-ответы, исходные коды и других местах.

В результате, находится множество ключей и токенов. Если мы знаем к чему относится ключ, то можем поискать способы его эксплуатации в репозитории KeyHacks.

Однако, бывают случаи, когда мы не знаем действительны ли найденные токены / ключи или к какой службе они принадлежат? Одним из способов определить это является атака Token Spray.

По сути, в этой атаке мы берём найденный токен и пытаемся использовать его во всех подряд общеизвестных службах. Если где то сработает, то мы соответственно узнаем принадлежность этого ключа.

Но так как вручную делать это долго и не интересно, мы можем использовать новые шаблоны в Nuclei (не забудьте обновиться). Для их использования достаточно выполнить:

nuclei -t ~/nuclei-templates/token-spray -var token=XXX_TOKEN_XXX

Или сохраните все токены в файл и выполните:

nuclei -t ~/nuclei-templates/token-spray -var token=token_list.txt

#web #leak #recon

​👁 OSINT: Подборка полезных инструментов и ресурсов.

🖖🏻 Приветствую тебя user_name.

• Собрал для тебя подборку полезных инструментов, ресурсов, полезных статей и другой необходимой информации, касательно #OSINT.

➖ Статьи:
OSINT в пентесте.
Собираем информацию о сайте.
Собираем информацию по Email.
Сбор информации о владельце сайта.
OSINT через телефонный справочник.
Гайд по поиску электронной почты в 2021.
OSINT и атаки на медицинские учреждения.
Архив интернета. Находим информацию из прошлого.
Ловим самого разыскиваемого преступника Голландии.
Определение местоположения по фотографии.
Определение местоположения по фотографии. Обратный поиск изображений.
Как использовать приложения-телефонные справочники для исследований.

➖ Поиск по определенным данным:
Поиск информации по фото лица.
Находим имя цели по номеру телефона.
Поиск информации по номеру телефона.
Поиск информации с помощью документов.
Поиск информации о цели, зная Email адрес.
Поиск цели по ip, MAC и Физическому адресу.
OSINT по номеру кошелька + подборка поисковиков.
Поиск информации о цели, имея данные о транспорте.

➖ Инструменты и подборки:
IP Logger.
Telegram OSINT.
Snoop Project 1.3
TiDos — Разведка и сбор информации.
h8mail. Находим пароль от почты в слитых базах.
Поиск цели в социальных сетях с помощью Sherlock.
GHunt — вытаскиваем информацию о пользователе Google аккаунта.
OSINT в Telegram. Находим чаты в которых состоит наша цель.

Сервисы для сбора информации.
Инструменты для поиска поддоменов.
Коллекция из 150+ инструментов OSINT.
Подборка поисковиков в сегменте ONION.
Браузерные расширения для OSINT-специалистов.
Находим интересующую информацию об организации.
Инструменты для поиска информации по никнейму в RU сегменте.
Огромный список инструментов OSINT с открытым исходным кодом.
Подборка инструментов для поиска информации в социальных сетях.
Подборка полезных поисковиков для поиска нужной информации о цели.

Полное руководство по OSINT с использованием Maltego.
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации;
• DarkNet matter.
• Отслеживание криптовалютных транзакций при помощи Maltego.

➖ Дорки:
TOP #Shodan Dorks.
Дорки на любой вкус.
Дорки для Intelligence X и Google.

➖ Книги, Курсы, Cheat Sheet:
OSIN Encyclopedia
OSINT. Курс: Зеркало интернета.
Bellingcat Online Investigation Toolkit.
Bellingcat. OSINT и подборка инструментов.
Social Engineering: руководство этичного хакера.
Operator Handbook: Red Team + OSINT + Blue Team Reference.

➖ ОС и VM:
Tsurugi Linux.
Trace Labs OSINT VM.
OffenOsint Virtual Machine.

‼️ Список не является полным, дополнительную информацию ты можешь найти по хештегу #OSINT. Твой S.E.

SecretFinder

Инструмент для поиска конфиденциальных данных (apikeys, accesstoken, jwt, ..) или поиска чего-либо с #regexp в файлах #javascript.

Он также может извлекать ссылки на JS-файлы с веб-страницы (можно настроить куки, прокси и заголовки).

https://github.com/m4ll0k/SecretFinder

Создатель
@ m4ll0k


#python

Репо BBT (#BugBounty Tools).

36 базовых сценариев #python и bash для поиска уязвимостей на веб-сайтах и ​​в приложениях.

https://github.com/m4ll0k/BBTz

Создатель
@ m4ll0k

#OSINT #Security Сегодня изучим общедоступные источники, предназначенные для анализа иностранных контрагентов. Полезно для служб безопасности, да и юристам пригодится. Поехали...

├inttax (World Tax)
├opencorporates (Service)
├kompany (Service)
├bvdinfo (Service)
├dnb (Service)
├offshoreleaks (Offshore DB)
├occrp (Offshore DB)
├youcontrol (Ukraine)
├kartoteka (Belarus)
├legat (Belarus)
├contragento (Belarus)
└kompra (Kazakhstan)

З.Ы. О проверке и мониторинге российских контрагентов читайте в моих прошлых постах.

@tomhunter

​Как забанить чужой ВК по номеру телефона

В данном посте мы разберём простейший метод бана ВКонтакте по номеру телефона. Заранее предупреждаю, нам понадобится левая сим-карта, для того, что бы на нее можно было длительное время принимать смс. Так же необходим номер жертвы.

1. Пытаемся войти в аккаунт по номеру жертвы;
2. Нажимаем на 3 точки в правом верхнем углу;
3. Выбираем пункт "Пожаловаться" и указываем причину "Ненастоящий профиль";
4. На вопрос ваша страница или нет отвечаем "Да";
5. В полне "старый телефон" вводим телефон жертвы;
6. В доступный номер указываем наш левый номер;
7. Отправляем жалобу;
8. Поздравляю, вы великолепны!

Блокируй, веселись ✌️

​Подборка ботов для скачивания и прослушивания музыки в Telegram

1. @JRmusic_bot — топовый вариант на сегодняшний день. Скачивает музыку практически откуда угодно.

2. @vkm4bot — бессмертная классика. Для успешной работы с ним рекомендуется создать канал или чат.

3. @MusicsHunterbot — запасной вариант, боле 80 000 000 треков. Есть в формате flac.

4. @ivksound_bot — ранее уже упоминался мной, можно встретить рекламу скама, но сам бот работает.

5. @vk_ios_virus_bot — бот, который работает на iOS. Второй вариант из списка тоже подойдет, но только с созданием канала.

​Как убрать водяной знак с изображения

Водяные знаки - это защита авторских прав, и убирать их нелегально, конечно, запрещено. Но если вы столкнулись с потребностью убрать водяной знак, например, со своего изображения, то следующий сайт идеально подойдёт для этого.

Inpaint — простой и удобный сервис для обработки фотографий, который позволит быстро убрать водяной знак, сгладить неровности кожи на портретных фотографиях или, например, избавиться от ненужных объектов прямо в браузере.

Перетаскиваем фото внутрь рамки или выбираем его через файловый менеджер. Далее, используя кисть, замазываем ненужную часть и нажимаем на кнопку «Erase». Скачать готовое изображение можно через кнопку «Download» Всё бесплатно и без ограничений по количеству фото.

​Как сканировать документы с помощью смартфона

Только австралопитеки, когда нужно сделать скан, истерически бегают по городу в поисках копицентра. В правильных руках смартфон может быть восьмым чудом света! Правда, одного только гаджета недостаточно: еще нужно знать нужные сервисы.

Adobe Scan — генератор качественных сканов документов, визитных карточек, удостоверений и т.п. Есть специальный режим для сканирования паспорта! Устанавливаем приложение → запускаем → наводим камеру на документ. Готово! Есть классная фича: можно отсканировать обе стороны удостоверения личности и разместить на одной странице. Так хранить документы в цифровом виде еще удобнее.

Даже если не видишь в Adobe Scan чёткой выгоды для себя, советуем не торопиться с выводами. Приложение используют для разных целей: можно, например, сканировать счета и квитанции для учёта расходов.

В хозяйстве пригодится ✌️

​Подборка анонимных операционных систем

1. Tails — дистрибутив Linux на основе Debian, созданный для обеспечения приватности и анонимности и спонсируемый проектом Tor.

2. Whonix — дистрибутив Linux на основе Debian, предназначенный для обеспечения анонимности средствами VirtualBox и Tor.

3. MOFO Linux — операционная система на базе Ubuntu, оптимизированная для обхода цензуры и защиты от слежки "из коробки".

4. BlackArch Linux — похожая на Kali Linux операционная система, но на основе Arch.

5. Tiny Core Linux — минималистичная ОС на основе Linux (с размером всего в 15 Мбайт), предоставляющая базовые утилиты из BusyBox / FLTK.

Сохраняем "секретные файлы" из Telegram

Салют, бандиты. Среди функций Telegram есть "отправка медиафайла с ограниченным временем просмотра". Часто этой функцией пользуются, когда отправляют что-то важное.

breaking-telegram — скрипт позволит вам мгновенно сохранять любые медиафайлы из Telegram, и обходит это ограничение

Подробнее об установке на официальной странице github ✌️

​Бесплатно пробиваем номер телефона

Phoneinfoga — инструмент для сбора информации и разведки OSINT ( разведка с открытым исходным кодом ), который собирает различную информацию о предоставленных телефонных номерах с бесплатных ресурсов.

Установка

$ apt update
$ apt upgrade
$ pkg install python
$ pkg install git- y
$ git clone https://github.com/Wes974/PhoneInfoga
$ cd PhoneInfoga
$ pip install -r requirements.txt

Запуск

$ python phoneinfoga.py -n (номер)

OSINT'ерам салам, остальным соболезную ✌️

#софт #слив

Приватный спамер по чатам в Telegram стоимостью 2500₽ (by Nelu)

Скомпилированная версия спамера, который приобретался неделю назад. Легкий и удобный функционал.

Несмотря на то, что VirusTotal чистый, все равно рекомендуем запускать только на виртуалке или дедике.

⚠️ ИСПОЛЬЗУЕМ НА СВОЙ СТРАХ И РИСК ⚠️
VirusTotal
Пароль на архив: @mamontyatina

Seeker на русском языке

Seeker — cкрипт для поиска местоположения жертвы посредством перехода по ссылке. Скрипт размещает фейковый веб-сайт, который запрашивает разрешение на отслеживание геолокации.

Установка

$ pkg update -y
$ pkg install python -y
$ pkg install git
$ git clone https://github.com/lamer112311/seeker
$ cd seeker
$ bash start.sh
$ cd && cd seeker
$ chmod 777 install.sh
$ ./install.sh
$ bash termux_install.sh

Запуск

$ python seeker.py -t manual

Пробивай, веселись ✌️