Life-Hack - Жизнь-Взлом
59.3K subscribers
1.13K photos
76 videos
18 files
7.64K links
Сообщество по информационной безопасности.
Статьи, гайды, обучения, рекомендации, обзоры, новости, подборки полезного софта!
#хакер #хакинг #Linux #OSINT
Наши каналы - @LifeHackmedia

По любым вопросам сюда - @Adm1nGmz

Услуги взлома НЕ ОКАЗЫВАЕМ!
Download Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM
Email Hunter

#email #OSINT

Плагин который легко извлекает адреса электронной почты с посещаемых страниц и автоматически их сохраняет. Найдет адреса электронной почты независимо от того, что вы видите на странице.

Ссылка на расширение.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Меняй крипту тут
Яндекс Браузер лучше других защищает от фишинга — Softline

Тестирование проводилось на платформах Windows, Android и iOS. В общей сложности эксперты проанализировали шесть браузеров: Safari, Firefox, Edge, Opera, Yandex Browser и Google Chrome. Лучше всего на сайты злоумышленников реагировал Яндекс Браузер — он обнаружил в семь раз больше фишинговых сайтов, чем Chrome, который занял второе место в рейтинге. Далее расположились Firefox и Edge, а пятое и шестое места достались Opera и Safari соответственно.

При проведении исследования аналитики Softline использовали методику, при которой браузеры анализировали 100 новых фишинговых сайтов, после проверки они блокировались.

#рекомендация

LH | Новости | Курсы | Мемы
Evading Detection: A Beginner's Guide to Obfuscation

Защитники постоянно адаптируют свою систему безопасности для противодействия новым угрозам. Задача атакующих состоит в том, чтобы определить, как они планируют защищать свои системы, и избежать идентификации как угрозы. Это практическое занятие для изучения методологии, лежащей в основе доставки вредоносных программ и предотвращения обнаружения. На этом семинаре исследуется внутренняя работа Microsoft's Antimalware Scan Interface (AMSI), Windows Defender и Event Tracing для Windows (ETW). Мы узнаем, как использовать вредоносное ПО обфусцированное с помощью Visual Basic (VB), PowerShell и C#, чтобы обойти защиту Microsoft. Студенты научатся создавать методы обхода AMSI, обфусцировать полезную нагрузку, а также об альтернативных методах уклонения.

Ссылка на репозиторий.

Видео на YouTube:
Beginner's Guide to Obfuscation - 2022
Beginner's Guide to Obfuscation - 2021

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
На второй неделе курса "OSINT для новичков" мы познакомились с полезными OSINT сервисами и утилитами, хакерскими поисковиками, разобрали способы получения OSINT информации на различных платформах, научились искать информацию по фото и отслеживать любой вид транспорта.

Если вы что-то пропустили и желаете прочитать, то вот список материалов второй недели:

Вторая серия материалов - "OSINT инструменты":
Хакерские поисковые системы.
OSINT на платформе Telegram.
OSINT: theHarvester и HaveIbeenPwned.
OSINT: Snoop, GHunt, ReconSpider.
OSINT: Поиск по фото.
Инструменты для OSINT в VKontakte и YouTube.
OSINT: Отслеживание транспорта

Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!

Первая неделя курса.

Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.

#OSINT #обучениеOSINT #статья

LH | Новости | Курсы | Мемы
PowerView.py

#ad #RedTeam

Это альтернатива потрясающему оригинальному инструменту PowerView. Большинство модулей, используемых в PowerView, доступны в этом проекте.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре

#статья #XSS #BugBounty

Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.

Материал будет интересен специалистам, которые уже сталкивались с DOM XSS и Prototype Pollution. Если вы еще не знакомы с этими уязвимостями, стоит обратить внимание на лабораторные PortSwigger и теорию и только потом приступать к изучению DOM Invader. А если знакомы, то быстро вспомним основные понятия и объясним, а в чем же, собственно, состоит опасность.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Инструменты для анализа и тестирования безопасности баз данных

1. NoSQLMap: Это инструмент на Python, предназначенный для аудита и автоматизации атак на инъекции, а также эксплуатации слабостей в конфигурации NoSQL.

2. jSQL Injection: Это легкое приложение, используемое для поиска информации о базе данных с сервера. Он бесплатный, с открытым исходным кодом и кросс-платформенный .

3. SQLiv: Массивный сканер уязвимостей SQL-инъекций.

4. BBQSQL: Это инструмент для эксплуатации SQL-инъекций, который построен так, чтобы быть чрезвычайно универсальным и тестировать любые виды баз данных.

5. ODAT: это инструмент с открытым исходным кодом для тестирования безопасности баз данных Oracle.

6. Enumdb: это инструмент для перебора и постэксплуатации реляционных баз данных, таких как MySQL и MSSQL.

7. PowerUpSQL: Набор инструментов PowerShell, предназначенный для проведения атак на SQL Server, включает в себя функции для аудита слабых конфигураций и эскалации привилегий.

8. Mongoaudit: Инструмент для аудита серверов MongoDB, обнаружения слабых настроек безопасности и проведения автоматизированного тестирования на проникновение.

9. SQLmap: Инструмент для тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и эксплуатации уязвимостей SQL-инъекции и захвата базы данных.

10. SQLi Hunter: Программа на Python, которая проверяет уязвимость URL'ов на SQL (слепую) инъекцию. Программа разработана таким образом, чтобы быть простой в использовании, практичной и полезной.

LH | Новости | Курсы | Мемы
Брутфорс хэшей в Active Directory

#AD #RedTeam #hashcat

Слабые пароли пользователей — очень распространенная проблема, которая может позволить злоумышленнику повысить свои привилегии и закрепиться в сети компании.

В этой статье мы расскажем о том, как можно легко получить хэши паролей пользователей и провести эффективный перебор паролей, используя различные методы.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Bandit

Это инструмент, предназначенный для поиска распространенных проблем безопасности в коде Python. Для этого Bandit обрабатывает каждый файл, строит из него AST и запускает соответствующие плагины на узлах AST. После того, как Bandit закончит сканирование всех файлов, он сгенерирует отчет.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Подведем итоги нашего бесплатного курса "OSINT для новичков". В рамках курса были изучены фундаментальные основы поиска по открытым источникам (Open-Source Intelligence) и инструменты для автоматизации этого процесса. Также были рассмотрены специальные сервисы для сбора данных, часть из которых уже достаточно известна в кругах специалистов, а часть знакома лишь единицам и стремительно набирает популярность. Этот курс поможет вам понять важность защиты данных и конфиденциальности.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки)

Если вы что-то пропустили и желаете прочитать, то вот список пройденых материалов:

Первая серия материалов - "Введение в OSINT":
Введение в OSINT
Стороны, заинтересованные в OSINT информации
Типы сбора информации
Преимущества и проблемы OSINT
Правовые и этические ограничения
Цифровой след
Google Dorking

Вторая серия материалов - "OSINT инструменты":
Хакерские поисковые системы.
OSINT на платформе Telegram.
OSINT: theHarvester и HaveIbeenPwned.
OSINT: Snoop, GHunt, ReconSpider.
OSINT: Поиск по фото.
Инструменты для OSINT в VKontakte и YouTube.
OSINT: Отслеживание транспорта

Не забывайте делиться нашим бесплатным курсом "OSINT для новичков"!

P.S.: Подборки полезных материалов, которые мы любезно собрали специально для вас:
• OSINT подборка №1
• OSINT подборка №2
• OSINT подборка №3

P.P.S.: Ещё немного полезного по теме OSINT:
OSINT collection.
Remini: Инструмент размытия/повышения резкости изображения может помочь получить лучший результат обратного поиска изображений и распознавания лиц.
Cleanup.Pictures: Один из лучших онлайн-инструментов для удаления фотообъектов, которые я когда-либо видел.
Как «пробить» человека в Интернете: используем операторы Google и логику
Red Team Trickery.
История одного наследства: как я с помощью OSINT и социальной инженерии заскамил скамера.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки)

#OSINT #обучениеOSINT #статья

LH | Новости | Курсы | Мемы
WMEye

#RedTeam #lateralmovement

Инструмент разработан для бокового перемещения с использованием WMI и удаленного выполнения MSBuild. Он загружает закодированный/зашифрованный шеллкод в WMI Class Property удаленной цели, создает фильтр событий, который при срабатывании записывает полезную нагрузку на основе MSBuild, используя специальный WMI Class под названием LogFileEventConsumer, и, наконец, выполняет полезную нагрузку.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
«Я стал тимлидом и боюсь». Что почитать и зачем

#статья

Стресс, связанный с переходом на менеджерскую роль, способен пошатнуть любые, даже самые крепкие нервы. А если ваше решение стать руководителем желанное и осознанное, то вы легко можете загнать себя в ловушку из двух стен: тревожности и перфекционизма.

В этой статье поделюсь своим личным топом книг, которые оказались в свое время полезны мне и, я уверен, будут полезны и вам как будущим или начинающим техническим менеджерам.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
WELA

#Log #Windows #BlueTeam

WELA (Windows Event Log Analyzer) призван стать незаменимым помощником при анализе журналов событий Windows. Самым большим плюсом WELA является создание простой для анализа временной шкалы входа в систему, чтобы помочь с быстрым реагированием на инциденты и расследованием. Генератор временной шкалы входа в систему использует только полезную информацию из журнала (4624, 4634, 4647, 4672, 4776), игнорируя около 90% шума, и преобразует любые трудночитаемые данные (например, шестнадцатеричные коды состояния) в удобочитаемый формат.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Встраиваем JS- скрипты в PDF для социальной инженерии — пошаговое руководство

#RedTeam #phishing #статья

Согласно статистике, большинство всех атак совершается с использованием вредоносного программного обеспечения, а половина от всех атак проводится с использованием методов социальной инженерии.

В статье представлена пошаговая инструкция, как сделать фишинговый документ (детали и примеры кода). Кроме того, кратко рассмотрена структура PDF-файла, описано как и куда в него внедрять JavaScript, а также способы маскировки факта внедрения скрипта.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Please open Telegram to view this post
VIEW IN TELEGRAM