Life-Hack - Хакер

24 сентября 2024 10:11

Objection

#mobile #pentest #Android #iOS

Инструмент эксплуатации приложений на Android и iOS, построенный на фриде, поможет в тестировании безопасности даже без наличия рута/jailbreak.

Из достоинств инструмента:
- Выполнение различных задач, связанных с памятью.
- Взаимодействие с файловой системой.
- Обход SSL pinning.
- Обход Root Detection.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

23 сентября 2024 10:11

Simple reverse ICMP shell

#RedTeam #evasion #reverseshell #pentest

Иногда сетевые администраторы усложняют жизнь тестировщикам на проникновение(используют брандмауэры по назначению). Разрешение трафика только на известные машины, порты и сервисы (фильтрация входящего трафика) и установка строгих списков контроля доступа для исходящего трафика — это один из таких случаев. В таких сценариях не всегда тривиально получить обратную оболочку через TCP, не говоря уже о соединении через bind shell.

Однако как насчет использования ICMP в качестве канала для получения обратной оболочки? В этом инструменте основное внимание уделяется ICMP, как каналу связи между атакующим и подконтрольной системой.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

22 сентября 2024 13:14

haccking/uz_ENZdJqXl">От LFI к RCE — Bug bounty

#перевод #статья #bugbounty #lfi #rce #web

Самый простой способ получить RCE из уязвимости LFI — через отравление логов. В статье разобран именно такой пример эксплуатации уязвимости.

haccking/uz_ENZdJqXl">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

21 сентября 2024 16:01

Подарок для авторов 🎁
Если вы хотите отблагодарить нас за контент, сделайте нам подарок! Ваша поддержка помогает создавать ещё больше интересного.

Life-Hack - Хакер

21 сентября 2024 10:11

CookieKatz

#RedTeam #pentest #browser

Извлекает cookies напрямую из памяти процессов Chrome, Edge или Msedgewebview2. Браузеры на основе Chromium загружают все свои cookies из базы данных на диске при запуске.

Преимущества этого подхода:
• Поддержка извлечения cookies из процессов Chrome в режиме инкогнито и Edge в режиме In-Private
• Доступ к cookies браузеров других пользователей при запуске с повышенными правами
• Извлечение cookies из процессов webview
• Нет необходимости обращаться к файлу базы данных на диске
• Для расшифровки cookies не нужны ключи DPAPI
• Анализ cookies в режиме офлайн из файла минидампа

Это решение состоит из трех проектов:
• CookieKatz - исполняемый файл PE
• CookieKatz-BOF - версия файла объекта Beacon
• CookieKatzMinidump - анализатор минидампов.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

20 сентября 2024 14:15

Advanced Linux Detection and Forensics Cheatsheet

#K8s #Linux #soc

Полезный систематизирующий документ по моментам связанным с обнаружением и расследованием инцидентов в Linux. В документе упоминается и ряд моментов связанных с контейнерами и K8s.

Ссылка на документ.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

19 сентября 2024 14:17

Серж Хумпич: человек, взломавший национальную банковскую систему Франции

#взлом #card #статья

Попробуйте произнести вслух: «взлом национальной банковской системы». В сознании сразу же возникает образ международной хакерской группировки, тщательно планирующей и осуществляющей атаки высочайшей технической сложности. И как-то не приходит в голову, что за таким взломом может стоять один человек, который, в общем-то, никогда раньше не задумывался о карьере хакера. Именно это произошло в 1997 году, когда уже немолодой инженер-программист Серж Хумпич поставил на уши крупнейшие кредитные организации Франции, придумав оригинальный способ оплачивать покупки картами, даже не имея банковского счета.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

18 сентября 2024 18:02

Поддержите пожалуйста наш канал бустом 💪

Life-Hack - Хакер

18 сентября 2024 10:11

🕵️‍♂️ oryx

#linux #network #sniffing

Терминальный пользовательский интерфэйс для сниффинга сетевого трафика с помощью eBPF, написанный на языке Rust.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

17 сентября 2024 14:07

Нева-Автоматизация приглашает на вебинар “MULTIFACTOR: безопасный доступ к ИТ-ресурсам организации с помощью 2FA", который состоится 23 сентября в 11:00 (Мск).

В 2024 году защита данных с помощью двухфакторной аутентификации - уже не опция, а обязательная составляющая ИТ-инфраструктуры компаний среднего и крупного бизнеса. Вирусы, социальная инженерия, фишинг и другие векторы атак указывают на то, что пароли недостаточны для адекватной защиты: учетные записи пользователей нуждаются в 2FA.

MULTIFACTOR - система двухфакторной аутентификации и контроля доступа для любого удаленного подключения: RDP, VPN, VDI, SSH и других. Решение включено в реестр российского ПО под номером 7046.

Что будет на вебинаре?

• Как изменился вектор атак в 2023-2024 годах
• Какие потери несут организации вследствие несанкционированного доступа и как это влияет на бизнес
• Первое правило цифровой гигиены: 2FA от MULTIFACTOR: архитектура, функциональность и возможности
• Ответы на вопросы

Спикер:
• Александр Кузнецов, менеджер по работе с партнерами МУЛЬТИФАКТОР

Участие бесплатное. Предварительная регистрация обязательна: https://my.mts-link.ru/j/multifactor/2fa-webinar

До встречи на вебинаре 23.09 в 11:00!

Life-Hack - Хакер

16 сентября 2024 16:08

haccking/qzp_caP6R9X">Как я взломал правительство Нидерландов: эксплуатация невинного изображения для удаленного выполнения кода. Взлом правительства Нидерландов с помощью RCE.

#bugbounty #rce #перевод #статья

На конференции по безопасности я заметил человека в футболке с надписью: «Я взломал правительство Нидерландов, и всё, что я получил — эту паршивую футболку». Заинтригованный, я подошел к нему, чтобы узнать, как он это сделал. Я был полон решимости заполучить такой же классный сувенир.

haccking/qzp_caP6R9X">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

16 сентября 2024 10:11

The Practical Linux Hardening Guide

#Linux #BlueTeam #admin #Hardening

Практическое руководство по усилению безопасности систем GNU/Linux. Главная цель проекта — создать единый документ, охватывающий внутренние и внешние угрозы.

Ссылка на GitHub.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

15 сентября 2024 13:14

Продолжаем, погружаться в #Pentest с нашим новым бесплатным теоретическим курсом «Тестирование на проникновение"!

#статья #обучениеPentest

haccking/A0J1PSh9Dm9">Ограниченное делегирование.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

14 сентября 2024 14:02

Полное руководство по взлому контейнеров AWS S3

#cloud #bugbounty #pentest #aws

Гайд по тестированию AWS S3 бакетов от Intigriti.

• Поиск и идентификация AWS S3 бакетов
• Тестирование неправильно настроенных list permissions в AWS S3
• Тестирование неправильно настроенных разрешений на чтение в AWS S3
• Тестирование неправильно настроенных разрешений на загрузку в AWS S3
• Тестирование неправильно настроенных разрешений на запись в AWS S3
• Тестирование разрешений на чтение в списках контроля доступа (ACL)
• Тестирование разрешений на запись в списках контроля доступа (ACL)
• Тестирование на предмет отсутствия ограничений по типу файла
• Тестирование версий S3
• Автоматизированные инструменты

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

13 сентября 2024 15:17

GOST: швейцарский нож для туннелирования и обхода блокировок

#статья #блокировки

Сегодня я расскажу о замечательном инструменте под названием GOST. Не пугайтесь, он не имеет никакого отношения к ГОСТ-шифрованию или чему-то подобному, на самом деле это Go Simple Tunnel. Он действительно simple (простой) в использовании и настройке, но при этом невероятно мощный, поскольку поддерживает огромное количество протоколов и транспортов, из которых вы при желании сможете построить самые упоротые и бронебойные комбинации.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

23 сентября 2024 14:15

haccking/2OSUCiwOmr9">Как я взломал IBM и получил полный доступ ко многим сервисам.

#IBM #перевод #статья #bugbounty

Сегодня я расскажу о найденной уязвимости в IBM, которая позволила мне получить полный доступ ко многим сервисам.

haccking/2OSUCiwOmr9">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

22 сентября 2024 16:17

Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Практическое руководство по усилению безопасности систем GNU/Linux
3. Port knocking — отправка последовательности пакетов, которые изменяют правила межсетевого экрана (firewall)
4. Как оставаться анонимным. Все про анонимные цепочки
5. Инструмент командной строки, который находит секреты и конфиденциальную информацию в текстовых данных
6. Эти боты помогут сделать пробив гораздо дешевле
7. Извлекает cookies напрямую из памяти процессов Chrome, Edge или Msedgewebview2

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

22 сентября 2024 10:11

MFASweep

#RedTeam #MFA

Инструмент на PowerShell, который пытается войти в различные службы Microsoft, используя предоставленный набор учетных данных, и определяет, включена ли многофакторная аутентификация (MFA). В зависимости от конфигурации политик условного доступа и других настроек многофакторной аутентификации некоторые протоколы могут оставаться однофакторными. Скрипт также имеет дополнительную проверку конфигураций ADFS и может попытаться войти в локальный сервер ADFS, если он обнаружен.

На данный момент MFASweep может входить в следующие службы:
• Microsoft Graph API
• Azure Service Management API
• Веб-службы Microsoft 365 Exchange
• Веб-портал Microsoft 365 с 6 типами устройств (Windows, Linux, MacOS, Android Phone, iPhone, Windows Phone)
• Microsoft 365 Active Sync
• ADFS

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

21 сентября 2024 13:14

Как я обнаружил проблемы у ЮМани (Сбербанк) с безопасностью и не получил денег за найденную уязвимость

#статья #Сбер #ЮМани #bugbounty

Про отношение Сбера/ЮМани к bug bounty программе, которое показывает, чего стоят безопасность пользователей, их данных и денег для сервисов таких компаний. О создании условий, в которых независимые исследователи не будут проводить исследования т.к. они заведомо будут знать о том, что вознаграждения они не увидят. Зато этим займутся злоумышленники, которые в лучшем случае, продадут информацию третьим лицам, а в худшем — украдут ваши деньги и личные данные.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

20 сентября 2024 19:01

Эти боты помогут сделать пробив гораздо дешевле:

Физические лица, телефоны, почты:

Usеrbоx

Глaз Бoга

Fun-stat-bot

Unamer

Quick OSINT

GTA Search

XKeyscore

Zernerda

Leak OSINT

TgScanRobot - Показывает в каких группах состоит человек

Крипта:

Onion Market — анонимный Р2Р-обменник для людей!

Crypto Bot

Life-Hack - Хакер

20 сентября 2024 10:11

Gowall

#полезное

Инструмент для преобразования обоев в пользовательские цветовые схемы или палитры. Поддерживает как одиночные, так и преобразования целых директорий.

Пользователи могут выбрать из множества тем или создать свою собственную, отредактировав конфигурационный файл.

Инструмент также предлагает извлечение палитры цветов, подобно pywal, предварительный просмотр изображений в терминале (или в стандартном просмотрщике), а также возможность инвертировать цвета изображения. Поддерживаемые форматы изображений включают PNG, JPEG, JPG и WEBP.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

19 сентября 2024 10:11

Nosey Parker

#credentials #secret #pentest #password

Инструмент командной строки, который находит секреты и конфиденциальную информацию в текстовых данных. Он полезен как для атакующего, так и для защитников.

Ключевые особенности:
• Может сканировать файлы, каталоги и историю репозиториев Git.
• Использует сопоставление с регулярными выражениями на основе набора из 145 паттернов.
• Устраняет дублирование своих находок, группируя совпадения, которые содержат один и тот же секрет.
• Быстрый: может сканировать сотни мегабайт в секунду на одном ядре и способен просканировать 100 ГБ истории исходного кода Linux за менее чем 2 минуты на старом MacBook Pro.
• Масштабируемый: обрабатывал входные данные объемом до 20 ТиБ.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

18 сентября 2024 14:17

haccking/EIY0EVaGFhu">Как оставаться анонимным. Все про анонимные цепочки

#статья #анонимность #VPN #TOR

​Если вы когда-либо интересовались своей анонимностью и сидели на форумах, где она обсуждалась, вы наверняка слышали упоминание анонимных цепочек/связок. В этой статье мы узнаем, что это такое, какие они бывают и какие использовать и в каких случаях.

haccking/EIY0EVaGFhu">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

17 сентября 2024 15:09

Top Phishing Techniques

#Phishing #RedTeam #pentest #eng

Фишинг в рамках red teaming включает в себя моделирование реалистичных атак, которые используют человеческие уязвимости для получения несанкционированного доступа к системам или конфиденциальной информации. Такие методы могут включать направленный фишинг (spear-phishing), при котором целевые письма отправляются конкретным лицам с целью обмана, или же фишинг на уровне руководства (whaling), направленный на высокопрофильных лиц, таких как руководители. Злоумышленники также могут использовать фишинг через голосовые звонки (vishing) или SMS (smishing), чтобы выманить у жертв информацию. Красная команда создает убедительные сценарии для проверки способности организации обнаруживать и реагировать на такие атаки. Более подробно с этой стороной тестирования можно ознакомиться в данной статье.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

17 сентября 2024 10:11

knockknock

#RedTeam #admin #полезное

Port knocking — отправка последовательности пакетов, которые изменяют правила межсетевого экрана (firewall), открывая доступ к ранее заблокированным портам.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

16 сентября 2024 14:07

IT Elements, общий сбор!

Единственная конференция про базовые элементы ИТ-фундамента — инфраструктуру, сети и ИБ — пройдет 18–19 сентября.

Тапаем по программе и записываем даты в календарь!

Так, а что в программе?

▪️Главные темы инфраструктурного трека: платформы разработки, контейнеры, гибридные облака, highload-нагрузки, инфра на отечественном.

▪️В сетевом треке: Telco Cloud, RAN, DPI, балансировка, VXLAN, ECMP, NMS, White Boх, SD-WAN, ВКС, телефония и умный офис.

▪️В части ИБ: отечественные NGFW, защита ИТ-инфраструктуры и приложений, DevSecOps, мониторинг ИБ в инфраструктуре.

2 дня IT Elements — это 2000 участников, 60 спикеров, 30 демозон, 4 зала, десятки докладов и дискуссий, воркшопы, лабы и интерактивные зоны по самым обсуждаемым темам и, разумеется, нетворкинг и афтерпати 😎

Залетайте на конфу —  будет жарко!

Регистрация тут

Life-Hack - Хакер

15 сентября 2024 16:17

Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Инструмент для эксплуатации камеры, который позволяет раскрыть пароль администратора сетевой камеры
3. Рассказ о том, как я нашел свои первые три уязвимости на правительственных сайтах (.gov) менее чем за час
4. Подборка полезных материалов для OSINT #4
5. Cli утилита для генерации регулярных выражений на основе введённых данных
6. Подборка инструментов для цифровой криминалистики (Digital Forensics Tools)
7. Короткая статья про неоценимую пользу Google Dorks в процессе поиска уязвимостей
8. Сервис бесплатно дорисует любые картинки с помощью ИИ
9. Замечательный инструмент под названием GOST
10. Полезный инструмент, который позволяет анализировать изображение, чтобы узнать, где оно было сделано

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

15 сентября 2024 10:11

HellPot

#Honeypot #BlueTeam #полезное

Honeypot который отправляет неуправляемых HTTP-ботов в ад. Боты, которые проигнорируют robots.txt подключатся к HellPot, который будет отправлять бесконечный поток данных, достаточно близкий к реальному веб-сайту.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

14 сентября 2024 10:11

GeoSpy AI

#osint #AI #полезное

Полезный инструмент, который позволяет анализировать изображение, чтобы узнать, где оно было сделано.

Загрузите изображение, и ИИ даст вам сводку предполагаемого местоположения. Резюме также включает в себя краткое описание и предполагаемые координаты местоположения.

Инструмент полезен при решении задач GeoOSINT, когда в первую очередь по надписям на зданиях, вывесках, указателях пытаются определить страну, город и район.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

13 сентября 2024 11:12

Image extender

#photo #полезное #AI

Сервис бесплатно дорисует любые картинки с помощью ИИ. Загружаете фото, задаете формат и получаете идеальный результат.

Ссылка на сервис.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации