IVRE — система сетевой разведки, включающая в себя различные инструменты для разведки.
🌟 Пассивные инструменты: Zeek, Argus, Nfdump, p0f, airodump-ng
🌟 Активные инструменты: Nmap, Masscan, ZGrab2, ZDNS, Nuclei, httpx, dnsx, tlsx, Dismap
🪄 Установка
Установка возможна через встроенный в Kali менеджер пакетов.
Для базы данных необходимо использовать MongoDB с минимальной версией 3.6.
В качестве веб-сервера, можно использовать интегрированный сервер IVRE, подходящий для тестирования или небольших установок с помощью команды
Далее можно задать значения конфигурации в файлах ivre.conf в следующих каталогах: /etc/, /etc/ivre, /usr/local/etc, /usr/local/etc/ivre.
После правильной настройки IVRE необходимо инициализировать его базы данных. Для этого модули ivre ipinfo, ivre scancli, ivre view, ivre flowcli и ivre runscansagentdb необходимо запустить с флагом --init.
Чтобы получить файлы с данными об IP-адресах и проанализировать их (это необходимо, если вы хотите просканировать или вывести список всех IP-адресов из страны или AS), нужно выполнить команду:
⭐️ Пример использования
Проверка 1000 (маршрутизируемых) IP-адресов с помощью одного процесса nmap.
После выполнения команды необходимо импортировать результаты и создать представление.
Аргумент -c добавляет категории к результатам сканирования. Категории — это произвольные названия, используемые для фильтрации результатов, -s добавляет имя для источника сканирования.
Более подробно с функционалом описанного выше инструмента можно ознакомиться в документации.
Установка возможна через встроенный в Kali менеджер пакетов.
sudo apt update
sudo apt install ivre
Для базы данных необходимо использовать MongoDB с минимальной версией 3.6.
В качестве веб-сервера, можно использовать интегрированный сервер IVRE, подходящий для тестирования или небольших установок с помощью команды
ivre httpd.Далее можно задать значения конфигурации в файлах ivre.conf в следующих каталогах: /etc/, /etc/ivre, /usr/local/etc, /usr/local/etc/ivre.
После правильной настройки IVRE необходимо инициализировать его базы данных. Для этого модули ivre ipinfo, ivre scancli, ivre view, ivre flowcli и ivre runscansagentdb необходимо запустить с флагом --init.
Чтобы получить файлы с данными об IP-адресах и проанализировать их (это необходимо, если вы хотите просканировать или вывести список всех IP-адресов из страны или AS), нужно выполнить команду:
sudo ivre ipdata --download. Рекомендуется выполнять эту команду регулярно.Проверка 1000 (маршрутизируемых) IP-адресов с помощью одного процесса nmap.
sudo ivre runscans --routable --limit 1000
После выполнения команды необходимо импортировать результаты и создать представление.
ivre scan2db -c ROUTABLE,ROUTABLE-CAMPAIGN-001 -s MySource -r \
> scans/ROUTABLE/up
ivre db2view nmap
Аргумент -c добавляет категории к результатам сканирования. Категории — это произвольные названия, используемые для фильтрации результатов, -s добавляет имя для источника сканирования.
Более подробно с функционалом описанного выше инструмента можно ознакомиться в документации.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍8🔥5
Fern Wifi Cracker: Инструмент для тестирования беспроводных сетей
⚡️ Основные возможности Fern Wifi Cracker
Аудит беспроводных сетей:
⏺️ Обнаружение доступных Wi-Fi сетей.
⏺️ Проверка уровня безопасности сетей и используемых протоколов.
Взлом паролей:
⏺️ Поддержка атак на WEP, WPA и WPA2 с использованием словарных атак.
⏺️ Возможность загрузки и использования пользовательских словарей.
Интеграция с инструментами сторонних разработчиков:
⏺️ Использование дополнительных утилит, таких как Aircrack-ng, для повышения эффективности атак.
Интерфейс в реальном времени:
⏺️ Визуализация процесса взлома и тестирования сети.
⏺️ Отображение результатов сканирования в удобном графическом интерфейсе.
Расширенные функции:
⏺️ Проведение атак MITM (Man-in-the-Middle) на захваченные сети.
⏺️ Автоматическое сохранение найденных паролей в локальную базу данных.
⬇️ Установка и использование
Для работы с инструментом требуется установленный Python и дополнительные библиотеки. Выполните следующие шаги для установки на Kali Linux или другом Linux-дистрибутиве.
1️⃣ Склонируйте репозиторий:
2️⃣ Установите зависимости:
3️⃣ Запустите утилиту:
4️⃣ Сканирование доступных сетей
После запуска инструмента выберите адаптер беспроводной сети и начните сканирование:
➡️ Выберите сеть для тестирования.
➡️ Укажите тип атаки (WEP/WPA/WPA2).
5️⃣ Проведение атак
➡️ Для WEP-сетей:
Fern Wifi Cracker автоматизирует процесс взлома, используя пакеты, перехваченные с помощью Aircrack-ng.
➡️ Для WPA/WPA2-сетей:
Выполните словарную атаку, загрузив файл словаря.
Fern Wifi Cracker — это утилита с открытым исходным кодом, разработанная для тестирования безопасности Wi-Fi сетей. Инструмент позволяет специалистам по информационной безопасности выявлять слабости в беспроводных сетях, включая взлом паролей и тестирование на наличие уязвимостей WEP, WPA и WPA2.
Аудит беспроводных сетей:
Взлом паролей:
Интеграция с инструментами сторонних разработчиков:
Интерфейс в реальном времени:
Расширенные функции:
Для работы с инструментом требуется установленный Python и дополнительные библиотеки. Выполните следующие шаги для установки на Kali Linux или другом Linux-дистрибутиве.
git clone https://github.com/savio-code/fern-wifi-cracker.git
cd fern-wifi-cracker
sudo apt-get install python3 python3-qt4 aircrack-ng
sudo python3 execute.py
После запуска инструмента выберите адаптер беспроводной сети и начните сканирование:
Fern Wifi Cracker автоматизирует процесс взлома, используя пакеты, перехваченные с помощью Aircrack-ng.
Выполните словарную атаку, загрузив файл словаря.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍8🔥5
CRLFuzz: автоматическое обнаружение CRLF-уязвимостей
❓ Что такое CRLF-инъекция?
CRLF-инъекция возникает, когда злоумышленник внедряет в HTTP-заголовки символы
- Добавлять вредоносные заголовки (`X-Forwarded-Host`,
- Разделять ответ сервера и внедрять произвольный контент
- Проводить атаки, такие как: HTTP Response Splitting или Session Fixation
🔎 Пример уязвимого URL:
Если сервер некорректно обрабатывает ввод, в ответе может появиться заголовок:
✅ CRLFuzz — это инструмент на Go, который автоматически проверяет сайты на уязвимости CRLF. Преимущества:
⁃ Работает из командной строки
⁃ Проверяет множество URL за секунды
⁃ Поддерживает кастомные payloads и прокси
⁃ Можно интегрировать в CI/CD или скрипты
🔄 Установка
Проверка
🎥 Базовый пример
Если уязвимость есть, CRLFuzz покажет успешную инъекцию
🎥 Проверка списка URL
Где:
-
-
🎥 Использование прокси (Burp, ZAP)
🔒 Практический пример
Допустим, мы тестируем сайт
Если сервер уязвим, вывод может быть таким:
📌 Защита от CRLF-инъекций
- Кодируйте пользовательский ввод перед вставкой в заголовки
- Используйте безопасные API (например,
- Валидируйте входные данные на наличие
- Проводите регулярные тесты с CRLFuzz
В мире веб-безопасности CRLF-инъекции (Carriage Return Line Feed) остаются одной из опасных, но часто упускаемых из виду уязвимостей. Они могут привести к межсайтовой подделке запросов (XSS), отравлению кеша и HTTP-спуфингу.
CRLF-инъекция возникает, когда злоумышленник внедряет в HTTP-заголовки символы
\r\n (CRLF), что позволяет: - Добавлять вредоносные заголовки (`X-Forwarded-Host`,
Location и др.)- Разделять ответ сервера и внедрять произвольный контент
- Проводить атаки, такие как: HTTP Response Splitting или Session Fixation
http://example.com/search?q=test%0d%0aSet-Cookie:malicious=payloadЕсли сервер некорректно обрабатывает ввод, в ответе может появиться заголовок:
HTTP/1.1 200 OK
Set-Cookie: malicious=payload
⁃ Работает из командной строки
⁃ Проверяет множество URL за секунды
⁃ Поддерживает кастомные payloads и прокси
⁃ Можно интегрировать в CI/CD или скрипты
sudo apt install crlfuzz
Проверка
crlfuzz -h
crlfuzz -u "https://example.com/search?q=test"
Если уязвимость есть, CRLFuzz покажет успешную инъекцию
crlfuzz -l targets.txt -o vulnerable.txt
Где:
-
targets.txt — файл с URL-
vulnerable.txt — файл с результатамиcrlfuzz -u "https://example.com" -x http://127.0.0.1:8080
Допустим, мы тестируем сайт
https://vulnerable.site: crlfuzz -u "https://vulnerable.site/search?query=fuzz"
Если сервер уязвим, вывод может быть таким:
[VULN] https://vulnerable.site/search?query=%0d%0aX-Injected:Header
- Кодируйте пользовательский ввод перед вставкой в заголовки
- Используйте безопасные API (например,
encodeURIComponent в JS)- Валидируйте входные данные на наличие
\r\n- Проводите регулярные тесты с CRLFuzz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍5🔥3
XSS - В С Ё
📌 В кратце
На этой неделе власти предприняли серьезные меры против подпольного киберпреступного сообщества. После многолетнего расследования подозреваемый администратор XSS.is, одного из самых активных русскоязычных хакерских форумов, был арестован в Украине. Домен форума был конфискован, а его некогда процветающий черный рынок был ликвидирован.
1️⃣ Что такое XSS?
XSS.is был одним из самых активных русскоязычных форумов по киберпреступности. Он служил рынком для продажи похищенных данных, вредоносного ПО, доступа к взломанным системам и услуг по созданию программ-вымогателей. На нем было зарегистрировано более 50 000 пользователей, и он просуществовал более десяти лет. Многие известные злоумышленники использовали этот форум для рекламы, вербовки и общения.
2️⃣ Что произошло?
22 июля 2025 года власти арестовали подозреваемого администратора XSS.is в Киеве, Украина. Это стало результатом четырехлетнего расследования, проводимого французской полицией и прокуратурой Парижа в тесном сотрудничестве с украинскими правоохранительными органами и Европолом.
Подозреваемый также, как утверждается, управлял сервисом безопасного обмена сообщениями под названием thesecure.biz, который позволял киберпреступникам общаться анонимно.
3️⃣ Был ли этот форум важным?
XSS.is был не просто очередным форумом в даркнете, а одним из основных игроков в русскоязычном мире киберпреступности. Первоначально запущенный под названием DaMaGeLaB, он был переименован в XSS и превратился в надежную платформу для продажи похищенных данных, вредоносных программ, эксплойтов и доступа к взломанным системам.
Он был тесно связан с другими ведущими форумами, такими как Exploit и RAMP. Фактически, репутация на XSS часто была необходима для вступления в новые форумы, такие как RAMP 2.0. XSS также играл роль в операциях с программами-вымогателями, служа инструментом для набора участников групп Ransomware-as-a-Service (RaaS), прежде чем в 2021 году такие темы были запрещены.
Благодаря зашифрованным сообщениям, услугам по разрешению споров и строгому контролю со стороны администрации, XSS обеспечивал доверие и безопасность, что позволяло ему оставаться популярным на протяжении более десяти лет. Его закрытие ослабляет ключевую часть экосистемы киберпреступности.
4️⃣ Что теперь?
Домен xss.is теперь отображает уведомление о конфискации. Однако часть инфраструктуры по-прежнему активна. Версия форума .onion доступна, хотя доступ к ней, похоже, ограничен. Резервный домен xss.as и сервер Jabber на thesecure.biz также остаются в сети. Эти сервисы по-прежнему могут обеспечивать связь между пользователями, которые не покинули платформу.
На этой неделе власти предприняли серьезные меры против подпольного киберпреступного сообщества. После многолетнего расследования подозреваемый администратор XSS.is, одного из самых активных русскоязычных хакерских форумов, был арестован в Украине. Домен форума был конфискован, а его некогда процветающий черный рынок был ликвидирован.
XSS.is был одним из самых активных русскоязычных форумов по киберпреступности. Он служил рынком для продажи похищенных данных, вредоносного ПО, доступа к взломанным системам и услуг по созданию программ-вымогателей. На нем было зарегистрировано более 50 000 пользователей, и он просуществовал более десяти лет. Многие известные злоумышленники использовали этот форум для рекламы, вербовки и общения.
22 июля 2025 года власти арестовали подозреваемого администратора XSS.is в Киеве, Украина. Это стало результатом четырехлетнего расследования, проводимого французской полицией и прокуратурой Парижа в тесном сотрудничестве с украинскими правоохранительными органами и Европолом.
Подозреваемый также, как утверждается, управлял сервисом безопасного обмена сообщениями под названием thesecure.biz, который позволял киберпреступникам общаться анонимно.
XSS.is был не просто очередным форумом в даркнете, а одним из основных игроков в русскоязычном мире киберпреступности. Первоначально запущенный под названием DaMaGeLaB, он был переименован в XSS и превратился в надежную платформу для продажи похищенных данных, вредоносных программ, эксплойтов и доступа к взломанным системам.
Он был тесно связан с другими ведущими форумами, такими как Exploit и RAMP. Фактически, репутация на XSS часто была необходима для вступления в новые форумы, такие как RAMP 2.0. XSS также играл роль в операциях с программами-вымогателями, служа инструментом для набора участников групп Ransomware-as-a-Service (RaaS), прежде чем в 2021 году такие темы были запрещены.
Благодаря зашифрованным сообщениям, услугам по разрешению споров и строгому контролю со стороны администрации, XSS обеспечивал доверие и безопасность, что позволяло ему оставаться популярным на протяжении более десяти лет. Его закрытие ослабляет ключевую часть экосистемы киберпреступности.
Домен xss.is теперь отображает уведомление о конфискации. Однако часть инфраструктуры по-прежнему активна. Версия форума .onion доступна, хотя доступ к ней, похоже, ограничен. Резервный домен xss.as и сервер Jabber на thesecure.biz также остаются в сети. Эти сервисы по-прежнему могут обеспечивать связь между пользователями, которые не покинули платформу.
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤17🔥9👎7👍5💔1