Forwarded from Z Правда Шурави.
Маленькая подборка каналов, которые я читаю сам и могу рекомендовать вам не на правах рекламы:
@pravda_shuravi
https://t.me/zluchka_tactical
https://t.me/opasny366
https://t.me/rosich_ru
https://t.me/warwebm
https://t.me/grey_zone
https://t.me/notes_veterans
https://t.me/rusich_army
https://t.me/radiocombat
https://t.me/signalman_diary
https://t.me/citsecurity
https://t.me/new_militarycolumnist
https://t.me/ordinaryczarizm
https://t.me/sputnikipogrom
https://t.me/Za_Derjavy
https://t.me/rustroyka1945
https://t.me/podled
https://t.me/rsotmdivision
https://t.me/russiankotikkk
https://t.me/zlochan
https://t.me/dshrg2
https://t.me/gazetavarta
Рекомендую администраторам честных сообществ делать подобные подборки не по «договорняку», а по собственной инициативе, чтобы сформировать качественное инфо поле для обывателя и оградить его от ЦИПСОшных проектов и инфо помоек.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Zluchka Tactical
"Злючка" сама по себе - плод фантазии одного из админов. Является символом единомышленников в горячих точках и в мирное время. Основная концепция движения - поддержка и укрепление русского мира.
Для связи с админами: @adzlbot
Для связи с админами: @adzlbot
👍3👎3
This media is not supported in your browser
VIEW IN TELEGRAM
postmaniac - инструмент для извлечения кредитов, токенов, имени пользователя, электронной почты и многого другого из общедоступных рабочих пространств Postman.
▫️https://github.com/boringthegod/postmaniac
😉👍 Подписывайтесь на @irozysk
▫️https://github.com/boringthegod/postmaniac
😉👍 Подписывайтесь на @irozysk
❤2
Сбор email-адресов через дорки:
▫️site:facebook.com "cybersecurity" "@gmail.com"
▫️site:facebook.com "cybersecurity" "florida" "@gmail.com"
Еще больше хакерских дорков тут...
😉👍 Подписывайтесь на @irozysk
▫️site:facebook.com "cybersecurity" "@gmail.com"
▫️site:facebook.com "cybersecurity" "florida" "@gmail.com"
Еще больше хакерских дорков тут...
😉👍 Подписывайтесь на @irozysk
👍1
Forwarded from Тупи4ок ДиZZайнера #Free Madrid
Вечером попробуем в трансляцию, вопросы, пожелания и хейт традиционно в комменты.
(На фотке я делаю вид, как будто вайну ваюю, а не сторожу продсклад)
(На фотке я делаю вид, как будто вайну ваюю, а не сторожу продсклад)
❤5👎2
Господа, заходим на трансляцию🇷🇺👍https://t.me/tupi4okDezignera?livestream=35bcaa6e8297fd3cc7
👍2👎2
Mini.WebVM: Your own Linux box from Dockerfile, virtualized in the browser via WebAssembly
https://leaningtech.com/mini-webvm-your-linux-box-from-dockerfile-via-wasm/
https://leaningtech.com/mini-webvm-your-linux-box-from-dockerfile-via-wasm/
Leaning Technologies Developer Hub
Mini.WebVM: Your own Linux box from Dockerfile, virtualized in the browser via WebAssembly
WebVM is a Linux-like virtual machine running fully client-side in the browser. It is based on CheerpX: a x86 execution engine in WebAssembly by Leaning Technologies. With today’s update, you can deploy your own version of WebVM by simply forking the repository…
Подборка расширений для Burp Suite для помощи в пентесте и поиске уязвимостей
Сохраню себе на будущее список полезных расширений для бурпа и заодно расскажу в двух словах о каждом, может кому-то будет полезно. Отключенные расширения - в основном те, которые используются в каких-то конкретных случаях и их постоянная работа только нагружает систему.
▫️JS Miner
Превосходная вещь для пассивного поиска секретов, АПИ ключей, паролей и тп в JS файлах. Есть миллион и один аналог, но именно этот всегда помогал мне находить приколы.
▫️JSON Web Tokens + JWT Editor
Первое примечательно тем, что удобно подсвечивает наличие жвт в реквесте, даёт возможность иззменять токен на ходу и применять базовые атаки. Второе использую в конкретных случаях, когда надо сгенерировать ключи.
▫️Param Miner + GAP
Отличная связка для фаззинга и краулинга эндпоинтов.
▫️JS Link Finder
Похожий за принципом с JS Miner. Полезно для пассивного поиска доп. путей и директорий в жс файлах.
▫️HTTP Request Smuggler
Все еще питаю надежды, что когда-нибудь найду смуглинг на реальном проекте...
▫️Nuclei
Тут понятно. Первое для сканирования, второе для создания собственных темплейтов.
▫️SSL Scanner
Проблемы с SSL - дополнительный пункт в вашем репорте.
▫️Burp Bounty Pro
Использую для более детального сканирования определенных эндпоинтов. Совершенно не подходит для сканирования всего скоупа, если только ваш комп не оснащен RTXXX 69069 с 228 гб оперативки и процом из графитного стержня.
▫️APIKit + OpenAPI Parser
Даешь им на вход АПИ документацию, получаешь на выходе список всех эндпоитов. Имеют какие то там отличия.
▫️Add Custom Header
Полезен в редких случаях, когда тебе необходимо использовать какой-то один хедер для всех реквестов, без надобности добавлять их самостоятельно.
▫️Authorize
Полезно для проверки путей на доступ с: куками высокого уровня привелегий, низкого уровня и без кук.
▫️CYS4-SensitiveDiscoverer
Не менее шикарная вещь чем JS Miner. Аля TruffleHog, находит АПИ ключи, секреты и тп во всех респонсах истории бурпа.
▫️Agartha
Генератор пейлоадов под все нужды и в одном месте.
▫️Software Vulnerability Scanner
Использует АПИ vulners.com для автоматического поиска CVE на найденные сервисы и их версии.
▫️Headers Analyzer
Проблемы с секьюрити хедерами - это всегда критикал. Ищем!
▫️403 Bypasser
По названию понятно. Пытается обойти 403 с помощью списка пейлоадов.
#burp #extension
Сохраню себе на будущее список полезных расширений для бурпа и заодно расскажу в двух словах о каждом, может кому-то будет полезно. Отключенные расширения - в основном те, которые используются в каких-то конкретных случаях и их постоянная работа только нагружает систему.
▫️JS Miner
Превосходная вещь для пассивного поиска секретов, АПИ ключей, паролей и тп в JS файлах. Есть миллион и один аналог, но именно этот всегда помогал мне находить приколы.
▫️JSON Web Tokens + JWT Editor
Первое примечательно тем, что удобно подсвечивает наличие жвт в реквесте, даёт возможность иззменять токен на ходу и применять базовые атаки. Второе использую в конкретных случаях, когда надо сгенерировать ключи.
▫️Param Miner + GAP
Отличная связка для фаззинга и краулинга эндпоинтов.
▫️JS Link Finder
Похожий за принципом с JS Miner. Полезно для пассивного поиска доп. путей и директорий в жс файлах.
▫️HTTP Request Smuggler
Все еще питаю надежды, что когда-нибудь найду смуглинг на реальном проекте...
▫️Nuclei
Тут понятно. Первое для сканирования, второе для создания собственных темплейтов.
▫️SSL Scanner
Проблемы с SSL - дополнительный пункт в вашем репорте.
▫️Burp Bounty Pro
Использую для более детального сканирования определенных эндпоинтов. Совершенно не подходит для сканирования всего скоупа, если только ваш комп не оснащен RTXXX 69069 с 228 гб оперативки и процом из графитного стержня.
▫️APIKit + OpenAPI Parser
Даешь им на вход АПИ документацию, получаешь на выходе список всех эндпоитов. Имеют какие то там отличия.
▫️Add Custom Header
Полезен в редких случаях, когда тебе необходимо использовать какой-то один хедер для всех реквестов, без надобности добавлять их самостоятельно.
▫️Authorize
Полезно для проверки путей на доступ с: куками высокого уровня привелегий, низкого уровня и без кук.
▫️CYS4-SensitiveDiscoverer
Не менее шикарная вещь чем JS Miner. Аля TruffleHog, находит АПИ ключи, секреты и тп во всех респонсах истории бурпа.
▫️Agartha
Генератор пейлоадов под все нужды и в одном месте.
▫️Software Vulnerability Scanner
Использует АПИ vulners.com для автоматического поиска CVE на найденные сервисы и их версии.
▫️Headers Analyzer
Проблемы с секьюрити хедерами - это всегда критикал. Ищем!
▫️403 Bypasser
По названию понятно. Пытается обойти 403 с помощью списка пейлоадов.
#burp #extension
portswigger.net
JS Miner
Tries to find interesting stuff inside static files; mainly JavaScript and JSON files.
👍1
Товарищ! Компартия Китай сделать свой жена-сканер Afrog. Рис плюнуть бургер тупой Nuclei. Доказать что рис лучше:
Afrog💚 Nuclei💩 杀手
优点 Преимущество:
- работать в провинция Тайбэй
- сканирование
- ответ бургер приговор
- нефритовая компиляция
- грязный хозяин Би Дон не видеть Веб-сайт 网站
- стержень внутри
- интернет не анонимность
- приветствовать
- Стирать Тяньаньмэнь 1989 не быть
- 🇺🇸😃😂🤡
缺点 Отрицание:
- Нет
https://github.com/zan8in/afrog
Ну а если в двух словах: перспективный веб-сканнер, который имеет похожую концепцию с нуклеем. Запустить быстро на какой-то таргет лишним не будет.
Afrog💚 Nuclei💩 杀手
优点 Преимущество:
- работать в провинция Тайбэй
- сканирование
- ответ бургер приговор
- нефритовая компиляция
- грязный хозяин Би Дон не видеть Веб-сайт 网站
- стержень внутри
- интернет не анонимность
- приветствовать
- Стирать Тяньаньмэнь 1989 не быть
- 🇺🇸😃😂🤡
缺点 Отрицание:
- Нет
https://github.com/zan8in/afrog
Ну а если в двух словах: перспективный веб-сканнер, который имеет похожую концепцию с нуклеем. Запустить быстро на какой-то таргет лишним не будет.
👍1
Сезон альтернатив
Полная копирка SQLmap, с условием, что он может иногда находить то, что не нашел дед. Как альтернативный вариант для раскрутки задней точки вашего сайта, сойдет.
https://github.com/r0oth3x49/ghauri
Полная копирка SQLmap, с условием, что он может иногда находить то, что не нашел дед. Как альтернативный вариант для раскрутки задней точки вашего сайта, сойдет.
https://github.com/r0oth3x49/ghauri
Поиск IP-камер и стандартных паролей к ним
Открыл для себя вот такую интересную утилиту, которая принимает заданный список IP-камер по RTSP протоколу и перебирает на них дефолтные пароли. Чем примечательна данная утилита - это создание и сохранение скриншотов с доступных камер, что может помочь существенно сэкономить время для сортировки. Отлично идет в связке с шоданом, где для поиска всех подключенных камер используем:
Только в образовательных целях.
https://gitlab.com/woolf/RTSPbrute
Открыл для себя вот такую интересную утилиту, которая принимает заданный список IP-камер по RTSP протоколу и перебирает на них дефолтные пароли. Чем примечательна данная утилита - это создание и сохранение скриншотов с доступных камер, что может помочь существенно сэкономить время для сортировки. Отлично идет в связке с шоданом, где для поиска всех подключенных камер используем:
shodan download cams 'RTSP' --limit -1P.S. Да, именно так еба-боба ютуберы взламывают камеры в пятерочках и ставят жмышенко и пистолетова на проигрывание.
Только в образовательных целях.
https://gitlab.com/woolf/RTSPbrute
🔥1
Отличное "дополнение" к Шодану
Набирает популярность новая поисковая система, похожая за принципом по шодану, с основным отличием - он ориентируется на разного рода утечку информации. Так например можно найти конфиги в .git, базы данных с публичным доступом, path traversal и другое.
Только в образовательных целях.
https://leakix.net/
Набирает популярность новая поисковая система, похожая за принципом по шодану, с основным отличием - он ориентируется на разного рода утечку информации. Так например можно найти конфиги в .git, базы данных с публичным доступом, path traversal и другое.
Только в образовательных целях.
https://leakix.net/
🔥1
Автоматизируем поиск LFI и RCE
Достаточно непопулярный инструмент для поиска lfi/rce. Примечателен наличием большого количества полезных нагрузок и их вполне точной проверкой с помощью signatures.txt. Отлично подойдет для "настройки под свои нужды".
Только в образовательных целях.
https://github.com/Shivangx01b/BountyIt
Достаточно непопулярный инструмент для поиска lfi/rce. Примечателен наличием большого количества полезных нагрузок и их вполне точной проверкой с помощью signatures.txt. Отлично подойдет для "настройки под свои нужды".
Только в образовательных целях.
https://github.com/Shivangx01b/BountyIt
👍1