😈 Взлом зашифрованного pdf-файла | Взлом зашифрованных архивов rar, zip, 7z | Утилиты pdfcrack, rarcrack и не только

— В сегодняшней статье автор поделится примерами кракинга зашифрованных паролями pdf-файлов и файлов архивов

А также покажет примеры работы с такими программами как pdfcrack, rarcrack, John the Ripper

Статью можно использовать как онлайн-шпаргалку по использованию данных утилит

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🚠 Позрачный перехват трафика

sslstrip – это инструмент, который:
⏺незаметно перехватывает HTTP трафик в сети
⏺следит за HTTPS ссылками и редиректами
⏺и затем сопоставляет эти ссылки их HTTP двойникам или омографически сходным HTTPS ссылкам

— Он также поддерживает режимы для подачи иконки сайта (favicon), которая выглядит как иконка замка, выборочное ведение журнала и отклонение сессий

🗄 Страница на Kali Tools – линк.

// Не хакинг, а ИБ

👩‍💻 Cамые важные события в мире инфосека за апрель

В этом месяце:
⏺«Белый спи­сок» Рос­комнад­зора содер­жит 75 тысяч IP-адре­сов
⏺Павел Жов­нер рас­ска­зал о работе над Flipper One
⏺В бюд­жетных Android-смар­тфо­нах сно­ва наш­ли пре­дус­танов­ленную мал­варь
⏺Иссле­дова­тели взло­мали Nissan Leaf
⏺«Гал­люцина­ции» ИИ могут исполь­зовать­ся для атак на раз­работ­чиков, и дру­гие инте­рес­ные события про­шед­шего апре­ля

— Подробнее о всех событиях читайте в статье

🗄 Источник – линк.

// Не хакинг, а ИБ

🔎 Google Dorking или используем Гугл на максимум | Шпаргалка

Google Dorks или Google Hacking – техника, используемая для обнаружения скрытой информации и уязвимостях, которые можно обнаружить на общедоступных серверах

— Это метод, в котором обычные запросы на поиск веб-сайтов используются в полную меру для определения информации, скрытой на поверхности

🗄 Читать статью – линк.

// Не хакинг, а ИБ

❗️ Отслеживаем перемещение iOS устройств

iSniff-GPS – инструмент пассивного сниффинга (прослушивания) для захвата и визуализации данных о местонахождении WiFi, раскрытых устройствами iOS

— Он пассивно сниффит SSID зонды, широковещательные пакеты ARP и MDNS (Bonjour) близлежащих iPhone, iPad и других беспроводных устройств

Главная цель – собрать данные, которые можно использовать для идентификации каждого устройства и определения географического расположения

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🎃 Как повысить привилегии при пентесте Active Directory

Пентест Active Directory (AD) – это моделирование атак на доменную инфраструктуру компании с целью выявления уязвимостей, связанных с управлением учётными записями, политиками доступа, настройками служб и доверительных отношений

— В статье автор расскажет о своем опыте применения различных техник и инструментов для выявления уязвимостей, позволяющих повысить уровень привилегий

Мы рассмотрим три инструмента: PowerUp.ps1, WinPEAS и PrivescCheck

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🤖 Один из лучших инструментов реверс-инжинирига

Binwalk – это быстрый и простой в использовании инструмент для анализа, обратной инженерии и извлечения образов прошивки

— Кроме прошивок, Binwalk может сканировать файлы и образы файловых систем для поиска множества различных встроенных типов файлов и файловых систем

Он широко используется в области реверс-инжиниринга, исследования встроенных систем (embedded systems) и анализа уязвимостей

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

😈 Методы обхода AMSI 

AMSI (Anti-Malware Scan Interface) – это интерфейс, который использует сервисы для сканирования содержимого скриптов на наличие вредоносного ПО

— Он позволяет антивирусным программам и другим инструментам безопасности сканировать данные и код в реальном времени и определять злонамеренные действия на ранней стадии

⚠️ Amsi Bypass Powershell – содержит методы обхода интерфейса AMSI для скриптов PowerShell

Обход AMSI  является одним из самых популярных среди злоумышленников

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

❗️ BypassAV, бесфайловая атака и AMSI (теория)

Разработчики вредоносных программ постоянно ищут способ избежать обнаружения своих действий средствами защиты

Один из способов – обойти сканеры, используя обфускацию, шифрование, стеганографию и другие методы, чтобы антивирусному программному обеспечению было сложнее определить назначение полезной нагрузки или его загрузчика

— В этой статье рассмотрены типовые механизмы современных антивирусных средств, виды нагрузок, используемые злоумышленниками и специалистами в области информационной безопасности, а также методы обхода защиты

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🤨 Чтобы получить root-доступ, достаточно быть админом или просто зайти через SSL-VPN

— SonicWall устранила сразу три критические уязвимости в устройствах безопасного удалённого доступа SMA 100, позволяющие злоумышленникам выполнить произвольный код от имени root:

⏺ CVE-2025-32819 с оценкой 8.8 балла по шкале CVSS: позволяет пользователю с правами SSL-VPN обойти проверку пути и удалить произвольный файл, что может привести к сбросу устройства к заводским настройкам;
⏺ CVE-2025-32820 с оценкой 8.3: позволяет при помощи path traversal сделать любую директорию на устройстве доступной для записи;
⏺ CVE-2025-32821 с оценкой 6.7: даёт возможность администратору SSL-VPN внедрить аргументы командной строки и загрузить файл на устройство.

🗄 Источник – линк.

// Не хакинг, а ИБ

📄 Шпаргалка по SQLmap

SQLmap – это инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатации уязвимостей SQL-инъекций и захват серверов баз данных

Некоторые основные функции Sqlmap:
⏺Поиск SQL-инъекций в параметрах URL, формах ввода, заголовках HTTP-запросов и cookie-файлах;
⏺Определение типа базы данных (MySQL, PostgreSQL, MSSQL, Oracle и др.) и версий СУБД;
⏺Извлечение данных из уязвимой базы: список таблиц, содержимое колонок, учётные записи пользователей;
⏺Повышение привилегий для доступа к системным командам базы данных;
⏺Обход систем защиты, например, WAF, с помощью специальных техник маскировки запросов;
⏺Автоматизированный перебор параметров для поиска уязвимых мест в веб-приложении.

🗄 Инструмент на GitHub – линк.

// Не хакинг, а ИБ

🤖 Утилита для поиска секретов

TruffleHog – инструмент безопасности, который сканирует репозитории кода на наличие git паролей, ключей и других чувствительных данных

— Этот инструмент эффективен для поиска случайно сохранённых в исходном коде паролей и ключей, даже если впоследствии они были убраны

Поддерживает поиск секретов в таких системах, как Git, GitHub, GitLab, Docker, Amazon S3, syslog, circleci

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🐈‍⬛️ Семейство программ Hashcat: как научиться взламывать пароли, создавать и оптимизировать словари

Получение хеша, как правило, связано с преодолением одного из уровней защиты:
⏺получение доступа к базам данных
⏺перехват (сниффинг) незашифрованных данных
⏺перехват зашифрованных файлов
⏺перехват пакетов аутентификации (для беспроводных сетей)

— Получению хеша может предшествовать длительная работа по проникновению, уже эту компрометацию можно считать большим успехом

Но для того, чтобы захваченные хеши принесли реальную пользу, их нужно расшифровать

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🤬 В даркнете продают 89 млн записей пользователей Steam с кодами 2ФА

⚠️ Хакер под ником Machine1337 выставил на продажу массив данных, содержащий 89 млн записей пользователей Steam

— В дампе нашли SMS-сообщения с одноразовыми кодами для Steam, а также номера телефонов их получателей

Machine1337 (он же EnergyWeaponsUser) продает дамп за 5000 долларов, но в качестве образца данных он выложил в открытый доступ 3000 записей

Исследователи предполагают, что это может быть связано с компрометацией компании Twilio

🗄 Источник – линк.

// Не хакинг, а ИБ

👩‍💻 Всем программистам посвящается!

Вот 17 авторских обучающих IT каналов по самым востребованным областям программирования:

Выбирай своё направление:

👩‍💻 Python — t.me/python_ready
🤔 Хакинг & ИБ — t.me/hacking_ready
👩‍💻 Linux — t.me/linux_ready
👩‍💻 Bash & Shell — t.me/bash_ready
🖥 Базы Данных & SQL — t.me/sql_ready
👩‍💻 Java — t.me/java_ready
👩‍💻 C/C++ — https://t.me/cpp_ready
👩‍💻 C# & Unity — t.me/csharp_ready
👩‍💻 Всё IT — t.me/it_ready
📱 GitHub — t.me/github_ready
🖼️ DevOps — t.me/devops_ready
👩‍💻 Нейросети — t.me/neuro_ready
📱 JavaScript — t.me/javascript_ready
👩‍💻 Frontend — t.me/frontend_ready
👩‍💻 Backend — t.me/backend_ready
📖 IT Книги — t.me/books_ready
🖥 Design — t.me/design_ready

📌 Гайды, шпаргалки, задачи, ресурсы и фишки для каждого языка программирования!

📄 Шпаргалка по Cloud Security Framework

Cloud Security Framework – это набор инструментов и лучших практик, предназначенных для защиты облачных сред от рисков безопасности и обеспечения соответствия нормам

— Такие рамки обеспечивают структурированный подход к охране данных, приложений и инфраструктуры в облаке

// Не хакинг, а ИБ

👁‍🗨 Набор инструментов для разведки

OSRFramework – это набор библиотек для выполнения задач по разведке на основе открытых источников

В него включены различные приложения, связанные с:
⏺проверкой имён пользователей;
⏺DNS-запросами;
исследованиями утечек информации;
⏺глубоким поиском в Интернете;
⏺извлечение по регулярным выражениями и многие другие. 

— OSRFramework предоставляет возможность визуализировать запросы, а также несколько интерфейсов для взаимодействия (OSRFConsole и веб-интерфейс)

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

☝️ Шпаргалка по криптографии: что делать, если попал в проект с криптографами

Авторы статьи помогут быстро освоить или вспомнить базовые понятия криптографии

— В этой статье по опыту сотрудников и их кураторов мы расскажем, с какими сложностями столкнулись при изучении, что помогало систематизировать информацию, а что путало

🗄 Смотреть шпаргалку – линк.

// Не хакинг, а ИБ