Labtainers
Система кибер лабораторий на базе Docker.
Labtainers включает более 50 упражнений кибер лаборатории и инструменты для создания собственных. Импорт одной виртуальной машины или установка на Linux-систему - и ваши студенты уже готовы к инициализации и административной настройке для этих и будущих лабораторных заданий.
1. Последовательная среда выполнения лабораторных работ и автоматическое обеспечение с помощью контейнеров Docker.
2. Многокомпонентные сетевые топологии на скромном по производительности ноутбуке.
3. Автоматизированная оценка лабораторных работ и успеваемости студентов
4. Индивидуальные лабораторные задания для предотвращения обмена решениями
https://github.com/mfthomps/Labtainers
@dnevnik_infosec
Система кибер лабораторий на базе Docker.
Labtainers включает более 50 упражнений кибер лаборатории и инструменты для создания собственных. Импорт одной виртуальной машины или установка на Linux-систему - и ваши студенты уже готовы к инициализации и административной настройке для этих и будущих лабораторных заданий.
1. Последовательная среда выполнения лабораторных работ и автоматическое обеспечение с помощью контейнеров Docker.
2. Многокомпонентные сетевые топологии на скромном по производительности ноутбуке.
3. Автоматизированная оценка лабораторных работ и успеваемости студентов
4. Индивидуальные лабораторные задания для предотвращения обмена решениями
https://github.com/mfthomps/Labtainers
@dnevnik_infosec
GitHub
GitHub - mfthomps/Labtainers: Labtainers: A Docker-based cyber lab framework
Labtainers: A Docker-based cyber lab framework. Contribute to mfthomps/Labtainers development by creating an account on GitHub.
What's the Easiest Vulnerability to Exploit? IDOR!
https://www.youtube.com/watch?v=1vaXTqJGNIc
@dnevnik_infosec
https://www.youtube.com/watch?v=1vaXTqJGNIc
@dnevnik_infosec
YouTube
What's the Easiest Vulnerability to Exploit? IDOR!
IDOR (Insecure Direct Object Reference) is one of the most basic vulnerabilities you can find on the web, and identifying it is one of the best ways to get started with pentesting.
In this video, security research Shivam Bathla explains how IDOR works (hint:…
In this video, security research Shivam Bathla explains how IDOR works (hint:…
Forwarded from Investigation & Forensic TOOLS
BeholderIsHere Дайджест - Тренируем пользователей реагировать на фишинг при помощи фишинга.
На «Безопасной среде» от КОД ИБ говорили сегодня про обучение сотрудников и повышение их осведомленности… Ну другими словами про то как их тренировать по системе Павлова, чтоб не открывали что попало из почты и не вбивали свои ( ну и конечно корпоративные данные в это же - «куда попало».
И в очередной раз убедились, что способов, кроме как регулярно проводить учение и (главное!) контроль за усвояемостью материала можно только проводя регулярные фишинговый компании силами самих безопасников. Только делать это с пониманием! Ну и собственно, к вашему вниманию специально для канала t.me/ForensicTools четыре инструмента для проведения учебных (!) фишинговый атак, на которые стоит обратить внимание!
SocialFish
[ github.com/UndeadSec/SocialFish ]
Инструмент для создания фишинговых рассылок, написанный на Python’e, а значит простейшим образом кастомизируется под любые нужды создания фишинговых страниц.
Из приятного:
⁃ Позволяет создавать страницы аутентификации Facebook, Google, LinkedIN, Гитхаб, Stackoverflow, WordPress.
⁃ Имеет мобильное приложение для удаленного доступа к инструменту, что прям очень удобно.
⁃ Встроенный сервер ( не надо размещать формы приманки где-то удаленно)
Из неприятного:
⁃ Требует хотя бы начальные знания работы с Linux
⁃ Не так просто в установке.
LitePhish
[ https://github.com/graysuit/LitePhish ]
Прост и минималистичен. Панель администратора собрана максимально упрощена. Но при этом, все равно сделан под Линуксоидов (так что те же самые минимальные знания этих операционной необходим). Как по мне, то идеально подойдет для red team исследований, чем для учебных компаний.
Из приятного:
⁃ Почти все шаблоны имеют размер менее 20 КБ.
⁃ Веб-страницы сохраняются в режиме offline.
⁃ Изображения кодируются в base64, чтобы избежать лишних линков.
⁃ Фишинговые страницы настраиваются так, что форму входа нельзя обойти, пока все данные не будут заполнены жертвой.
⁃ Регистрирует все пользовательские данные с помощью iplogger.
⁃ Может отправлять данные в discord, telegram.
Gophish
[ getgophish.com ]
Очень удобный и простой в установке инструмент для проведения учебных фишинговый атак. Устанавливается буквально в один клик и очень легко настраивается на Windows/Linux/macOS Компьютерах.
Из приятного:
⁃ Отличный интерфейс, максимально наглядно показывающий ход проведения учебной атаки. Позволяющий просматривать результаты как в реальном времени, так и в виде удобных и информативных отчетов.
⁃ Все события можно отсортировать по времени, кликам по ссылкам, отправленной пользователями информации и многим другим параметрам.
Самый красивый и простой в установке инструмент в нашем дайджесте.
King Phisher
[ https://github.com/rsmusllp/king-phisher ]
Еще один максимально простой и удобный для использования инструмент. Не такой красивый как Гофиш, но делать может гораздо больше, позволяя полностью контролировать проведения атаки ( или нескольких, ибо позволяет делать несколько параллельно).
Что же он умеет:
- Запускать одновременно несколько фишинговый атак
- Двухфакторная авторизация
- Собирать учетные данные пользователей с целевых страниц
- Клонировать вебсайты
- Показывать геолокации испытуемых
- Отправлять почту с приглашениями в календари
- Отправлять sms о результатах проведения атак
- Имеет большое количество расширений собственного функционала
- Имеет большое количество настраиваемых шаблонов для имитации страниц и официальных писем.
Живет по Windows и Linux
——
Как резюме: последние два решения- однозначно must have! Сам пользую по старинке King Phisher для исследований.
На «Безопасной среде» от КОД ИБ говорили сегодня про обучение сотрудников и повышение их осведомленности… Ну другими словами про то как их тренировать по системе Павлова, чтоб не открывали что попало из почты и не вбивали свои ( ну и конечно корпоративные данные в это же - «куда попало».
И в очередной раз убедились, что способов, кроме как регулярно проводить учение и (главное!) контроль за усвояемостью материала можно только проводя регулярные фишинговый компании силами самих безопасников. Только делать это с пониманием! Ну и собственно, к вашему вниманию специально для канала t.me/ForensicTools четыре инструмента для проведения учебных (!) фишинговый атак, на которые стоит обратить внимание!
SocialFish
[ github.com/UndeadSec/SocialFish ]
Инструмент для создания фишинговых рассылок, написанный на Python’e, а значит простейшим образом кастомизируется под любые нужды создания фишинговых страниц.
Из приятного:
⁃ Позволяет создавать страницы аутентификации Facebook, Google, LinkedIN, Гитхаб, Stackoverflow, WordPress.
⁃ Имеет мобильное приложение для удаленного доступа к инструменту, что прям очень удобно.
⁃ Встроенный сервер ( не надо размещать формы приманки где-то удаленно)
Из неприятного:
⁃ Требует хотя бы начальные знания работы с Linux
⁃ Не так просто в установке.
LitePhish
[ https://github.com/graysuit/LitePhish ]
Прост и минималистичен. Панель администратора собрана максимально упрощена. Но при этом, все равно сделан под Линуксоидов (так что те же самые минимальные знания этих операционной необходим). Как по мне, то идеально подойдет для red team исследований, чем для учебных компаний.
Из приятного:
⁃ Почти все шаблоны имеют размер менее 20 КБ.
⁃ Веб-страницы сохраняются в режиме offline.
⁃ Изображения кодируются в base64, чтобы избежать лишних линков.
⁃ Фишинговые страницы настраиваются так, что форму входа нельзя обойти, пока все данные не будут заполнены жертвой.
⁃ Регистрирует все пользовательские данные с помощью iplogger.
⁃ Может отправлять данные в discord, telegram.
Gophish
[ getgophish.com ]
Очень удобный и простой в установке инструмент для проведения учебных фишинговый атак. Устанавливается буквально в один клик и очень легко настраивается на Windows/Linux/macOS Компьютерах.
Из приятного:
⁃ Отличный интерфейс, максимально наглядно показывающий ход проведения учебной атаки. Позволяющий просматривать результаты как в реальном времени, так и в виде удобных и информативных отчетов.
⁃ Все события можно отсортировать по времени, кликам по ссылкам, отправленной пользователями информации и многим другим параметрам.
Самый красивый и простой в установке инструмент в нашем дайджесте.
King Phisher
[ https://github.com/rsmusllp/king-phisher ]
Еще один максимально простой и удобный для использования инструмент. Не такой красивый как Гофиш, но делать может гораздо больше, позволяя полностью контролировать проведения атаки ( или нескольких, ибо позволяет делать несколько параллельно).
Что же он умеет:
- Запускать одновременно несколько фишинговый атак
- Двухфакторная авторизация
- Собирать учетные данные пользователей с целевых страниц
- Клонировать вебсайты
- Показывать геолокации испытуемых
- Отправлять почту с приглашениями в календари
- Отправлять sms о результатах проведения атак
- Имеет большое количество расширений собственного функционала
- Имеет большое количество настраиваемых шаблонов для имитации страниц и официальных писем.
Живет по Windows и Linux
——
Как резюме: последние два решения- однозначно must have! Сам пользую по старинке King Phisher для исследований.
Fuzzing-101
Вы хотите научиться делать фаззинг, как настоящий эксперт, но не знаете, с чего начать?
Если да, то этот курс для вас!
10 реальных целей, 10 упражнений. Сможете ли вы решить все 10?
https://github.com/antonio-morales/fuzzing101
@dnevnik_infosec
Вы хотите научиться делать фаззинг, как настоящий эксперт, но не знаете, с чего начать?
Если да, то этот курс для вас!
10 реальных целей, 10 упражнений. Сможете ли вы решить все 10?
https://github.com/antonio-morales/fuzzing101
@dnevnik_infosec
GitHub
GitHub - antonio-morales/Fuzzing101: An step by step fuzzing tutorial. A GitHub Security Lab initiative
An step by step fuzzing tutorial. A GitHub Security Lab initiative - GitHub - antonio-morales/Fuzzing101: An step by step fuzzing tutorial. A GitHub Security Lab initiative
bug-hunting-101
Этот репозиторий призван помочь новичкам в области бинарной bug hunting улучшить свои навыки.
В настоящее время разрыв между CTF и реальной bug hunting может быть довольно большим. И этот репозиторий - попытка решить эту проблему, перенеся охоту за жучками из реального мира в небольшие упражнения.
CVE выбираются и устанавливаются в определенной сцене, ваша цель - повторить процесс поиска таких уязвимостей.
https://github.com/StarCrossPortal/bug-hunting-101
@dnevnik_infosec
Этот репозиторий призван помочь новичкам в области бинарной bug hunting улучшить свои навыки.
В настоящее время разрыв между CTF и реальной bug hunting может быть довольно большим. И этот репозиторий - попытка решить эту проблему, перенеся охоту за жучками из реального мира в небольшие упражнения.
CVE выбираются и устанавливаются в определенной сцене, ваша цель - повторить процесс поиска таких уязвимостей.
https://github.com/StarCrossPortal/bug-hunting-101
@dnevnik_infosec
GitHub
GitHub - StarCrossPortal/bug-hunting-101
Contribute to StarCrossPortal/bug-hunting-101 development by creating an account on GitHub.
SocialFish
Инструмент для создания фишинговых рассылок, написанный на Python’e, а значит простейшим образом кастомизируется под любые нужды создания фишинговых страниц.
Из приятного:
1. Позволяет создавать страницы аутентификации Facebook, Google, LinkedIN, Гитхаб, Stackoverflow, WordPress.
2. Имеет мобильное приложение для удаленного доступа к инструменту, что прям очень удобно.
3. Встроенный сервер ( не надо размещать формы приманки где-то удаленно).
https://github.com/UndeadSec/SocialFish
@dnevnik_infosec
Инструмент для создания фишинговых рассылок, написанный на Python’e, а значит простейшим образом кастомизируется под любые нужды создания фишинговых страниц.
Из приятного:
1. Позволяет создавать страницы аутентификации Facebook, Google, LinkedIN, Гитхаб, Stackoverflow, WordPress.
2. Имеет мобильное приложение для удаленного доступа к инструменту, что прям очень удобно.
3. Встроенный сервер ( не надо размещать формы приманки где-то удаленно).
https://github.com/UndeadSec/SocialFish
@dnevnik_infosec
Хотите узнать больше о systemd или попрактиковаться в его использовании?
🐧 Интересный ресурс, на котором можно изучить работу systemd и попрактиковаться с разными вариантами запуска https://systemd-by-example.com
@dnevnik_infosec
🐧 Интересный ресурс, на котором можно изучить работу systemd и попрактиковаться с разными вариантами запуска https://systemd-by-example.com
@dnevnik_infosec
VMware Exploitation
Коллекция ссылок, связанных с эксплойтами для VMware.
https://github.com/xairy/vmware-exploitation
@dnevnik_infosec
Коллекция ссылок, связанных с эксплойтами для VMware.
https://github.com/xairy/vmware-exploitation
@dnevnik_infosec
GitHub
GitHub - xairy/vmware-exploitation: A collection of links related to VMware escape exploits
A collection of links related to VMware escape exploits - xairy/vmware-exploitation
OWASP Amass
Проект OWASP Amass осуществляет сетевое картирование поверхностей атак и обнаружение внешних активов с использованием методов сбора информации из открытых источников и активной разведки.
https://github.com/OWASP/Amass
Проект OWASP Amass осуществляет сетевое картирование поверхностей атак и обнаружение внешних активов с использованием методов сбора информации из открытых источников и активной разведки.
https://github.com/OWASP/Amass
GitHub
GitHub - owasp-amass/amass: In-depth attack surface mapping and asset discovery
In-depth attack surface mapping and asset discovery - owasp-amass/amass
VulnLab
Проект лаборатории веб-уязвимостей, разработанный компанией Yavuzlar.
Уязвимости:
1. Инъекция SQL
2. Межсайтовый скриптинг (XSS)
3. Командная инъекция
4. Небезопасные прямые ссылки на объекты (IDOR)
5. Подделка межсайтовых запросов (CSRF)
6. Внешние сущности XML (XXE)
7. Небезопасная десериализация
8. Загрузка файлов
9. Включение файла
10. Нарушенная аутентификация
Установка с помощью DockerHub
1. Если вы хотите установить на DockerHub, просто введите эту команду.
https://github.com/Yavuzlar/VulnLab
@dnevnik_infosec
Проект лаборатории веб-уязвимостей, разработанный компанией Yavuzlar.
Уязвимости:
1. Инъекция SQL
2. Межсайтовый скриптинг (XSS)
3. Командная инъекция
4. Небезопасные прямые ссылки на объекты (IDOR)
5. Подделка межсайтовых запросов (CSRF)
6. Внешние сущности XML (XXE)
7. Небезопасная десериализация
8. Загрузка файлов
9. Включение файла
10. Нарушенная аутентификация
Установка с помощью DockerHub
1. Если вы хотите установить на DockerHub, просто введите эту команду.
docker run --name vulnlab -d -p 1337:80 yavuzlar/vulnlab:latest2. Перейдите на http://localhost:1337
https://github.com/Yavuzlar/VulnLab
@dnevnik_infosec
GitHub
GitHub - Yavuzlar/VulnLab
Contribute to Yavuzlar/VulnLab development by creating an account on GitHub.
Bootkit samples
Образцы Bootkit из реальной атаки. Будьте осторожны при настройке образца для исследовательских целей.
https://github.com/hardenedvault/bootkit-samples
@dnevnik_infosec
Образцы Bootkit из реальной атаки. Будьте осторожны при настройке образца для исследовательских целей.
https://github.com/hardenedvault/bootkit-samples
@dnevnik_infosec
GitHub
GitHub - hardenedvault/bootkit-samples: Bootkit sample for firmware attack
Bootkit sample for firmware attack. Contribute to hardenedvault/bootkit-samples development by creating an account on GitHub.
👍1
Подробно об XSS и примеры использования
https://telegra.ph/Podrobno-ob-XSS-i-primery-ispolzovaniya-01-27
@dnevnik_infosec
https://telegra.ph/Podrobno-ob-XSS-i-primery-ispolzovaniya-01-27
@dnevnik_infosec
Telegraph
Подробно об XSS и примеры использования
Некоторые примеры векторов атаки XSS Ниже приведен неполный список векторов XSS-атак, которые злоумышленник может использовать для нарушения безопасности веб-сайта или веб-приложения посредством XSS-атаки. Более подробный список примеров полезной нагрузки…
👍4
Как взломать блокчейн: 10 самых распространенных атак на криптовалюты и распределенные базы данных
Источник
@dnevnik_infosec
Источник
@dnevnik_infosec
Библиотека программиста
⛓ Как взломать блокчейн: 10 самых распространенных атак на криптовалюты и распределенные базы данных
В последнее время все чаще можно услышать о скандалах, связанных со взломами и утечками информации. Блокчейн кажется абсолютно безопасным, но так ли это на самом деле? Рассказываем о десятке самых распространенных атак на распределенные базы данных.
❤1
backdoor-apk
Это shell script, который упрощает процесс добавления бэкдора в любой APK-файл Android.
https://github.com/dana-at-cp/backdoor-apk
@dnevnik_infosec
Это shell script, который упрощает процесс добавления бэкдора в любой APK-файл Android.
https://github.com/dana-at-cp/backdoor-apk
@dnevnik_infosec
GitHub
GitHub - dana-at-cp/backdoor-apk: backdoor-apk is a shell script that simplifies the process of adding a backdoor to any Android…
backdoor-apk is a shell script that simplifies the process of adding a backdoor to any Android APK file. Users of this shell script should have working knowledge of Linux, Bash, Metasploit, Apktool...
👍1
OSINT-SPY
Выполняет OSINT-сканирование электронной почты/домена/ip_адреса/организации с помощью OSINT-SPY. Он может быть использован специалистами по добыче данных, исследователями, пентестерами и следователями по киберпреступлениям для получения глубокой информации о своей цели.
https://github.com/SharadKumar97/OSINT-SPY
@dnevnik_infosec
Выполняет OSINT-сканирование электронной почты/домена/ip_адреса/организации с помощью OSINT-SPY. Он может быть использован специалистами по добыче данных, исследователями, пентестерами и следователями по киберпреступлениям для получения глубокой информации о своей цели.
https://github.com/SharadKumar97/OSINT-SPY
@dnevnik_infosec
GitHub
GitHub - SharadKumar97/OSINT-SPY: Performs OSINT scan on email/domain/ip_address/organization using OSINT-SPY. It can be used by…
Performs OSINT scan on email/domain/ip_address/organization using OSINT-SPY. It can be used by Data Miners, Infosec Researchers, Penetration Testers and cyber crime investigator in order to find de...
Hera Chrome Keylogger
Post Exploitation Tool
https://github.com/UndeadSec/HeraKeylogger
@dnevnik_infosec
Post Exploitation Tool
https://github.com/UndeadSec/HeraKeylogger
@dnevnik_infosec
GitHub
GitHub - UndeadSec/HeraKeylogger: Chrome Keylogger Extension | Post Exploitation Tool
Chrome Keylogger Extension | Post Exploitation Tool - GitHub - UndeadSec/HeraKeylogger: Chrome Keylogger Extension | Post Exploitation Tool
👍1