CrackMapExec
[https://github.com/byt3bl33d3r/CrackMapExec]
инструмент постэксплуатации, который помогает автоматизировать оценку безопасности сетей Active Directory. Создан с учетом принципа пользования встроенными функциями/протоколами Active Directory для достижения целей, что позволяет ему обходить большинство решений по защите конечных точек/IDS/IPS. Прежде всего помогает автоматизировать рутинные дйствия при продвижении по сети.
• активно использует библиотеку Impacket (https://github.com/SecureAuthCorp/impacket) и PowerSploit Toolkit (https://github.com/PowerShellMafia/PowerSploit) для работы с сетевыми протоколами и выполнения различных техник постэксплуатации.
• может использоваться для оценки привилегий учетных записей, поиска возможных неправильных конфигураций и моделирования сценариев атак.
• умеет перечислять вошедших пользователей и индексировать общие папки SMB, выполнять атаки в стиле psexec, автоматические Mimikatz/Shellcode/DLL инъекции в память и многое другое
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
[https://github.com/byt3bl33d3r/CrackMapExec]
инструмент постэксплуатации, который помогает автоматизировать оценку безопасности сетей Active Directory. Создан с учетом принципа пользования встроенными функциями/протоколами Active Directory для достижения целей, что позволяет ему обходить большинство решений по защите конечных точек/IDS/IPS. Прежде всего помогает автоматизировать рутинные дйствия при продвижении по сети.
• активно использует библиотеку Impacket (https://github.com/SecureAuthCorp/impacket) и PowerSploit Toolkit (https://github.com/PowerShellMafia/PowerSploit) для работы с сетевыми протоколами и выполнения различных техник постэксплуатации.
• может использоваться для оценки привилегий учетных записей, поиска возможных неправильных конфигураций и моделирования сценариев атак.
• умеет перечислять вошедших пользователей и индексировать общие папки SMB, выполнять атаки в стиле psexec, автоматические Mimikatz/Shellcode/DLL инъекции в память и многое другое
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
GitHub
GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
A swiss army knife for pentesting networks. Contribute to byt3bl33d3r/CrackMapExec development by creating an account on GitHub.
AD Enum
[https://github.com/SecuProject/ADenum]
инструмент пентестинга, который позволяет найти неправильную конфигурацию в протоколе LDAP и использовать некоторые из этих слабостей с помощью Kerberos.
• Перечисляет пользователей администраторов домена, контроллеры домена, перечисление пользователей домена по различным параметрам
• Реализует атаки AS-REP Roasting, Kerberoasting
• Взлом паролей с помощью john (krb5tgs и krb5asrep)
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
[https://github.com/SecuProject/ADenum]
инструмент пентестинга, который позволяет найти неправильную конфигурацию в протоколе LDAP и использовать некоторые из этих слабостей с помощью Kerberos.
• Перечисляет пользователей администраторов домена, контроллеры домена, перечисление пользователей домена по различным параметрам
• Реализует атаки AS-REP Roasting, Kerberoasting
• Взлом паролей с помощью john (krb5tgs и krb5asrep)
#pentest #windows #activedirectory
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
Вредоносные запросы к веб-серверу зачастую блокируются WAF. Нахождение способов обхода систем предотвращения вторжений (IPS), систем предотвращения утечек информации (DLP) и файрволов (WAF) сводится к поиску запроса, который понятен веб-приложению и валиден для WAF. Ниже представлены техники обхода WAF/DLP/IPS . Актуально, например, при пентесте web-сервисов организации - https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в образовательных целях на собственный страх и риск.
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в образовательных целях на собственный страх и риск.
GitHub
GitHub - Bo0oM/WAF-bypass-Cheat-Sheet: Another way to bypass WAF Cheat Sheet (draft)
Another way to bypass WAF Cheat Sheet (draft). Contribute to Bo0oM/WAF-bypass-Cheat-Sheet development by creating an account on GitHub.
Nessus_202112290217.zip
291.2 MB
Nessus Plugin (2021 Dec 29)
Nessus - https://www.tenable.com/downloads/nessus
Extract and Read "How To Install"
@zer0daylab #nessus
Nessus - https://www.tenable.com/downloads/nessus
Extract and Read "How To Install"
@zer0daylab #nessus
Picocrypt — комплексная, легковесная, простая тулза для шифрования ваших файлов и не только.
Что умеет еще?
1. Генератор устойчивых к брутфорсу паролей;
2. Возможность удалять/редактировать метаданные файла;
3. Режим «параноика»: шифрование ваших данных по XChaCha20 и Serpent и применение HMAC-SHA3 для аутентификации;
И многое другое. Подробнее изучайте на странице GitHub, там много интересного ;)
#софт #анонимность
Что умеет еще?
1. Генератор устойчивых к брутфорсу паролей;
2. Возможность удалять/редактировать метаданные файла;
3. Режим «параноика»: шифрование ваших данных по XChaCha20 и Serpent и применение HMAC-SHA3 для аутентификации;
И многое другое. Подробнее изучайте на странице GitHub, там много интересного ;)
#софт #анонимность
👍1
Threatnote
Платформа менеджмента жизненного цикла разведки угроз, основанная на следующем цикле менеджмента: Требования к разведке, Разведывательные отчеты, Управление потребителями, Управление показателями.
Также интегрируется с большим числом сервисов: MISP, AlienVault, ipinfo, VirusTotal и др.
https://github.com/brianwarehime/threatnote
Сайт:
https://threatnote.io/
#infosec #soft #иб #разведка #virustotal #alienvault
Платформа менеджмента жизненного цикла разведки угроз, основанная на следующем цикле менеджмента: Требования к разведке, Разведывательные отчеты, Управление потребителями, Управление показателями.
Также интегрируется с большим числом сервисов: MISP, AlienVault, ipinfo, VirusTotal и др.
https://github.com/brianwarehime/threatnote
Сайт:
https://threatnote.io/
#infosec #soft #иб #разведка #virustotal #alienvault
Безопасные альтернативы Google Authenticator, Authy
1. Aegis Authenticator — аналог c открытым исходным кодом. Для пользователей Android.
2. Tofu — аутентификатор для пользователей iOS.
3. andOTP — настраиваемый, с шифрованием, для пользователей Android.
4. Raivo OTP — легковесный, user-friendly и secure on-time-password (OTP) решение для пользователей iOS.
5. Authenticator Pro — альтернатива с шифрованием для пользователей Android и Wear OS.
#приложение #android #ios
1. Aegis Authenticator — аналог c открытым исходным кодом. Для пользователей Android.
2. Tofu — аутентификатор для пользователей iOS.
3. andOTP — настраиваемый, с шифрованием, для пользователей Android.
4. Raivo OTP — легковесный, user-friendly и secure on-time-password (OTP) решение для пользователей iOS.
5. Authenticator Pro — альтернатива с шифрованием для пользователей Android и Wear OS.
#приложение #android #ios
🧲 NOTFLIX — это Shell скрипт для поиска и потокового воспроизведения торрентов
F@#k Netflix use Notflix a tool which search magnet links and stream it with webtorrent
Алиса рассказывает 🖐🏻
F@#k Netflix use Notflix a tool which search magnet links and stream it with webtorrent
Алиса рассказывает 🖐🏻
GitHub
GitHub - bugswriter/notflix: Notflix is a shell script to search and stream torrent.
Notflix is a shell script to search and stream torrent. - bugswriter/notflix
Paranoia Text Encryption — сохраняет ваши SMS, электронные сообщения, сообщения в социальных сетях, заметки и любые другие тексты в безопасности от наблюдателей, хакеров и любопытных глаз.
Данные шифруются с использованием сильных алгоритмов шифрования: Blowfish 448bit, AES 256bit, RC6 256bit, Serpent 256bit, Twofish 256bit, GOST 256bit + (Threefish 1024bit и SHACAL-2 512bit для Pro Version).
Просто скопируйте и вставьте в свои любимые приложения или из своих любимых приложений или сохраните их в файл для последующего использования.
Включена реализация стеганографии. Стеганографический алгоритм F5 используется в сочетании с выбранным симметричным алгоритмом шифрования для создания финальной стеганограммы.
#софт #анонимность
Данные шифруются с использованием сильных алгоритмов шифрования: Blowfish 448bit, AES 256bit, RC6 256bit, Serpent 256bit, Twofish 256bit, GOST 256bit + (Threefish 1024bit и SHACAL-2 512bit для Pro Version).
Просто скопируйте и вставьте в свои любимые приложения или из своих любимых приложений или сохраните их в файл для последующего использования.
Включена реализация стеганографии. Стеганографический алгоритм F5 используется в сочетании с выбранным симметричным алгоритмом шифрования для создания финальной стеганограммы.
#софт #анонимность
👍1
Как узнать кто смотрит ваши истории в Instagram с фейка
В очередной раз заметив, что ваши истории просматривает незаполненный Instagram-профиль, становится любопытно, кто же за ним скрывается. Это может оказаться как случайный посетитель, так и прячущийся знакомый, которого запросто можно рассекретить.
Чтобы определить, кто просматривает истории с поддельного аккаунта, нужно нажать по своему логину в Instagram и выбрать «
При поочередном нажатии, вы узнаете первую и две последних цифры номера телефона, а так же первую и последнюю букву привязанной почты, на которую отправляется письмо восстановления доступа. Зная эти данные, вы сможете сверить ее со своей телефонной книгой и определить, кто же из знакомых использует дополнительный аккаунт.
В очередной раз заметив, что ваши истории просматривает незаполненный Instagram-профиль, становится любопытно, кто же за ним скрывается. Это может оказаться как случайный посетитель, так и прячущийся знакомый, которого запросто можно рассекретить.
Чтобы определить, кто просматривает истории с поддельного аккаунта, нужно нажать по своему логину в Instagram и выбрать «
Добавить аккаунт», затем «Войти в существующий аккаунт», а после «Переключить аккаунты». В следующем окне выбираем «Получить помощь со входом в систему» и вводим логин подозрительного профиля. Кликаем по каждому из пунктов: «Отправить электронное письмо» и «Отправить SMS».При поочередном нажатии, вы узнаете первую и две последних цифры номера телефона, а так же первую и последнюю букву привязанной почты, на которую отправляется письмо восстановления доступа. Зная эти данные, вы сможете сверить ее со своей телефонной книгой и определить, кто же из знакомых использует дополнительный аккаунт.
👍2
Forwarded from Open Source
Distrobox
Позволяет вам использовать любой дистрибутив GNU/Linux внутри вашего терминала.
Distroboxспользует podman или Docker для создания контейнеров с использованием выбранного вами дистрибутива GNU/Linux. Созданный контейнер будет тесно интегрирован с хостом, что позволит совместно использовать каталог HOME пользователя, внешнее хранилище, внешние USB-устройства и графические приложения (X11/Wayland) и аудио.
https://github.com/89luca89/distrobox
=============
Если нашел интересный софт, поделись с сообществом: @FOSS_triangle_bot
Позволяет вам использовать любой дистрибутив GNU/Linux внутри вашего терминала.
Distroboxспользует podman или Docker для создания контейнеров с использованием выбранного вами дистрибутива GNU/Linux. Созданный контейнер будет тесно интегрирован с хостом, что позволит совместно использовать каталог HOME пользователя, внешнее хранилище, внешние USB-устройства и графические приложения (X11/Wayland) и аудио.
https://github.com/89luca89/distrobox
=============
Если нашел интересный софт, поделись с сообществом: @FOSS_triangle_bot
Forwarded from CyberYozh
Секрет безопасного логина
Мы много говорили о создании надежных паролей и их безопасном хранении, но мы ни слова не сказали о логине. И сейчас у нас есть кое-что важное для вас. Это секрет, фишка IT- специалистов, называемая игнорируемой частью email, которую вам стоит добавить во все ваши логины.
Давайте я на примере поясню, как это работает. Перед вами два адреса электронной почты: test+ivan@protonmail.com и test+petr@protonmail.com. Как вы думаете, если я отправлю на первый электронный адрес письмо, сможет ли владелец второго электронного адреса его прочесть?
На самом деле, на какой бы адрес я ни отправил, получателем будет test@protonmail.com. Google, Яндекс, как и рекомендуемый нами Protonmail, игнорируют все символы, размещенные после знака + и до знака @. Но если вы укажете эти адреса на сайтах в качестве логина, для абсолютного большинства сайтов это будут разные электронные адреса.
Приведу практический пример использования данного секрета. Предположим, вы регистрируетесь на сайте example.com и решили использовать для создания логинов первые 4 символа сайта. При регистрации вы указываете электронный адрес test+exam@protonmail.com. Письмо приходит вам на test@protonmail.com, вы его, разумеется, сразу удаляете, так как в нем может содержаться подлинный логин, и не стоит его хранить.
Если хакер, взломав ваш email, попытается ввести test@protonmail.com как логин на сайте example.com, то получит сообщение, что аккаунт с таким email не зарегистрирован. Даже имея доступ к email для восстановления пароля, хакеру необходимо указать логин, который вы использовали при регистрации на сайте.
Читать полный текст
Мы много говорили о создании надежных паролей и их безопасном хранении, но мы ни слова не сказали о логине. И сейчас у нас есть кое-что важное для вас. Это секрет, фишка IT- специалистов, называемая игнорируемой частью email, которую вам стоит добавить во все ваши логины.
Давайте я на примере поясню, как это работает. Перед вами два адреса электронной почты: test+ivan@protonmail.com и test+petr@protonmail.com. Как вы думаете, если я отправлю на первый электронный адрес письмо, сможет ли владелец второго электронного адреса его прочесть?
На самом деле, на какой бы адрес я ни отправил, получателем будет test@protonmail.com. Google, Яндекс, как и рекомендуемый нами Protonmail, игнорируют все символы, размещенные после знака + и до знака @. Но если вы укажете эти адреса на сайтах в качестве логина, для абсолютного большинства сайтов это будут разные электронные адреса.
Приведу практический пример использования данного секрета. Предположим, вы регистрируетесь на сайте example.com и решили использовать для создания логинов первые 4 символа сайта. При регистрации вы указываете электронный адрес test+exam@protonmail.com. Письмо приходит вам на test@protonmail.com, вы его, разумеется, сразу удаляете, так как в нем может содержаться подлинный логин, и не стоит его хранить.
Если хакер, взломав ваш email, попытается ввести test@protonmail.com как логин на сайте example.com, то получит сообщение, что аккаунт с таким email не зарегистрирован. Даже имея доступ к email для восстановления пароля, хакеру необходимо указать логин, который вы использовали при регистрации на сайте.
Читать полный текст
👍1
Методичка.docx
724.5 KB
#слив
Методичка МВД по организации расследования хищения денежных средств, совершенных с использованием компьютерных технологий 🍾
Содержит в себе реальную статистику и правовые нормы. К сожалению, документ датируется 2017м годом, но современнее просто не найти.
Методичка МВД по организации расследования хищения денежных средств, совершенных с использованием компьютерных технологий 🍾
Содержит в себе реальную статистику и правовые нормы. К сожалению, документ датируется 2017м годом, но современнее просто не найти.
👍1
[Spyonweb]
http://spyonweb.com/
Spyonweb - сервис позволяет определить сайты с одинаковыми характеристиками, в том числе, использующими одинаковые идентификаторы сервиса статистики Google Analytics, IP адреса и т.п.
http://spyonweb.com/
Spyonweb - сервис позволяет определить сайты с одинаковыми характеристиками, в том числе, использующими одинаковые идентификаторы сервиса статистики Google Analytics, IP адреса и т.п.
👍1
Checker Telegram.rar
7 MB
#софт
Чекер номеров на наличие Telegram
Первая версия программы позволяет проверять неограниченое количество номеров на наличие регистрации в мессенджере.
Стоит отметить, что чекер проверяет по 50 номеров, после чего останавливается на 5 минут. Ксожалению, данная "пауза" является вынужденной мерой, посколько Telegram ввел ограничение на подобные действия.
Видео с работой софта
VirusTotal
Пароль на архив: @mamontyatina
Чекер номеров на наличие Telegram
Первая версия программы позволяет проверять неограниченое количество номеров на наличие регистрации в мессенджере.
Стоит отметить, что чекер проверяет по 50 номеров, после чего останавливается на 5 минут. Ксожалению, данная "пауза" является вынужденной мерой, посколько Telegram ввел ограничение на подобные действия.
Видео с работой софта
VirusTotal
Пароль на архив: @mamontyatina
baza RF oblako sxem.xlsx
43.3 MB
#слив
Миллион номеров телефонов РФ + почты
Слив базы датируется серединой мая.
Скриншот - https://imgur.com/a/1GTkuay
Миллион номеров телефонов РФ + почты
Слив базы датируется серединой мая.
Скриншот - https://imgur.com/a/1GTkuay
👍2
XiaomiM365Locker.rar
2 MB
#софт
Xiaomi Hack
Перед вами программа для взлома самокатов, наушников и прочей техники компании Xiaomi через Bluetooth. Приложение не требует ROOT прав, и подойдет для любого андроид девайса.
Пароль на архив: @mamontyatina
Xiaomi Hack
Перед вами программа для взлома самокатов, наушников и прочей техники компании Xiaomi через Bluetooth. Приложение не требует ROOT прав, и подойдет для любого андроид девайса.
Пароль на архив: @mamontyatina
👍2