🔠 Инструмент: Hash cymru

Сервис, который позволяет проверить хэши на наличие в базах данных различных антивирусных программ и служб безопасности. Предоставляет API.

⏺ Cсылка на сервис

#malware

😛 Bugout

Это скромная попытка построить децентрализовать сеть. Он позволяет людям напрямую подключаться к вашему браузеру из-за пределов вашей сети через WebTorrent.

Применение:
💬 Легко отправляйте сообщения напрямую между
браузерами.
💬 Напишите серверы, которые запускаются во вкладке браузера.
💬 Серверные услуги хоста без сертификата VPS, домена или SSL.
💬 Простота развертывания и «самостоятельного размещения» серверов, оставив вкладку браузера открытой.
💬 Клиент-сервер по WebRTC вместо HTTPS.

Ссылка на GitHub

#Web #Torrent

🗳 Инструмент для создания вредоносных Zip-файлов, не требующих разархивации

ZipExec - это инструмент для выполнения полезной нагрузки, хранящейся в защищенных паролем zip-файлах, без их извлечения.

Инструмент передает zip-файлы на диск, используя JScript и COM-объекты, для создания zip-файла на диске и последующего их выполнения. Защита zip-файла паролем позволяет обходить EDR и механизмы сканирования антивирусов.

⏺ Ссылка на GitHub

#Redteam #Malware #AV

✈ Инструмент для проведения MITM на RDP соединения

Pyrdp создан для проведения MITM атак на RDP и позволяет просматривать RDP-соединения в режиме реального времени или постфактум. Написан на Python3 и имеет открытый исходный код.

Более подробное описание работы можно прочитать в блоге авторов проекта.

⏺ Ссылка на GitHub

#RDP #Python #MITM

🗂 Коллекция видео по эксплуатации уязвимостей веб-приложений

Представленный ниже репозиторий содержит подборку видео по тестированию веб-приложений на различные уязвимости. Для удобства, содержимое разбито на категории, в зависимости от типа атак и уязвимостей.

⏺ Ссылка на GitHub

#Web

🔠 XSSTRON - браузер на основе Chromium для поиска XSS

Просматривайте веб-страницы, и браузер автоматически проверит их на наличие уязвимостей Reflected, Stored и DOM XSS в фоновом режиме. Также поддерживает POST запросы.

При нахождении уязвимости, отобразит ее в новом окне вместе с примером эксплуатации.

⏺ Ссылка на GitHub

#Web #XSS

⚫️ PentestGPT - автоматический пентест

PentestGPT — это инструмент для тестирования на проникновение на основе ChatGPT.

Он предназначен для автоматизации процесса тестирования на проникновение и работает в интерактивном режиме, чтобы направлять тестеров на проникновение как в общем прогрессе, так и в конкретных операциях.

PentestGPT способен решать простые и средние машины HackTheBox и другие задачи CTF.

⏺ Ссылка на GitHub

#pentest #gpt

🔍 Eval Villain: расширение для поиска XSS

— Расширение для браузера Firefox, разработанное для улучшения поиска DOM XSS уязвимостей.

Перехватывает опасные функции, такие как eval, и предупреждает пользователей об их использовании.

Расширение также может быть использовано для поиска скрытых GET параметров путем перехвата URLSearchParams.get.

⏺ Ссылка на GitHub

#Web #infosec

✈️ Docleaner — чистка метаданных

Docleaner - это веб-служба и REST-подобный API, который позволяет пользователям загружать, анализировать и очищать невидимые метаданные своих документов.

Служба извлекает, преобразует и очищает метаданные документа в зависимости от его типа и делает исходные и результирующие метаданные доступными для пользователя стороны.

⏺ Ссылка на GitHub

#Anon

✔️ Websurfx - конфиденциальный поисковик

Websurfx - это поисковая система с открытым исходным кодом, альтернатива знаменитого Searx, которая делает упор на конфиденциальность, безопасность и скорость, обеспечивая при этом органические результаты поиска.

Websurfx предлагает результаты без рекламы, имеет девять цветовых схем. Проект написан на Rust.

⏺ Ссылка на GitHub

#search #web

🟦 Honeypots Awesome: подборка ресурсов

Список ресурсов по Honeypots, плюс связанные компоненты и многое другое, разделенный на такие категории, как веб-сайт, услуги и другие, с акцентом на бесплатные и открытые проекты.

⏺ Ссылка на GitHub

#honeypot

🔵 All RED-Team — инструменты для redteam

Большая подборка как наступательных так и для защиты инструментов, повышение привилегий Linux, Windows, сети, горизонтальное | боковое движение, бэкдоры, malware и т.д.

⏺ Ссылка на GitHub

#redteam

🔍 changedetection.io - детектор обнаружения

— Детектор обнаружения изменений на веб-сайтах с открытым исходным кодом.

Инструмент предназначен для умных покупателей, журналистов, инженеров-исследователей, специалистов по данным, исследователей в области безопасности, уведомления пользователей о новых вакансиях, отслеживания изменений в юридических и правительственных документах и т.д.

Сервис работает с несколькими форматами уведомлений, такими как Discord, Slack, Telegram, Rocket.Chat, Email, Matrix и NTFY. Пользователи могут выбирать определенные элементы для мониторинга.

⏺ Ссылка на GitHub
⏺ Ссылка на оф. сайт

#Recon #Web

📝 White Phoenix - инструмент восстановления данных

Этот инструмент восстанавливает содержимое из файлов, зашифрованных программами-вымогателями с использованием «прерывистого шифрования».

Прерывистое шифрование - это когда программа-вымогатель отказывается от шифрования всего файла, вместо этого шифруя только часть каждого файла, часто блоки фиксированного размера или только начало целевых файлов. Есть несколько причин, по которым злоумышленники предпочитают прерывистое шифрование полному шифрованию. Наиболее очевидным является скорость.

— White Phoenix в настоящее время поддерживает следующие типы файлов: pdf', 'docx', 'docm', 'dotx', 'dotm', 'odt', 'xlsx', 'xlsm', 'xltx', 'xltm', 'xlsb', 'xlam', 'ods''pptx', 'pptm', 'ptox', 'potm', 'ppsx', 'ppsm', 'odp', 'zip'

⏺ Ссылка на GitHub

#encryption

✔️ Bashfuscator — фреймворк обфускации

Bashfuscator - это модульный и расширяемый фреймворк обфускации Bash, написанный на Python 3.

Он предоставляет множество различных способов сделать однострочники или скрипты Bash более трудными для понимания. Это достигается путем создания запутанного рандомизированного кода Bash, который во время выполнения оценивает исходный ввод и выполняет его.

Bashfuscator упрощает создание сильно запутанных команд и сценариев Bash как из командной строки, так и в виде библиотеки Python.

⏺ Ссылка на GitHub

#Bash #Python

🏃‍♂️ TinyCheck — инструмент анализа

TinyCheck позволяет легко захватывать сетевые коммуникации со смартфона или любого устройства, которое может быть связано с точкой доступа Wi-Fi, чтобы быстро их анализировать.

Это можно использовать, чтобы проверить, исходит ли какое-либо злонамеренное сообщение со смартфона, работает ли на нем сталкерское или любое шпионское ПО.

⏺ Ссылка на GitHub

#netstalking

👨‍💻 Книга: Великий Китайский Файрвол

➖ Представьте, что вы оказались в мире без интернета. Некуда загрузить фотографию, не с кем поделиться смешной картинкой, негде быстро получить нужную информацию. Кажется, что сегодня такое практически невозможно, но иногда это результат единственного решения и нескольких нажатий на кнопку.

➖ Интернет начинался как развиваемый энтузиастами островок свободы, но с тех пор им научились управлять - как государства, так и крупные корпорации.

➖ Фраза "интернет помнит все" обрела второй смысл - контент стал подконтролен, иллюзия анонимности исчезла, а любое неосторожное сообщение может создать массу трудностей автору. Книга Джеймса Гриффитса рассказывает о том, как Китай первым в мире научился управлять интернетом и как другие страны перенимали его опыт.

#firewall #books

◼️ Поиск уязвимостей с помощью NucleiFuzzer

Простой bash скрипт, который объединяет в себе Paramspider для поиска скрытых параметров и Nuclei для поиска xss, sqli, ssrf, open-redirect и т.д. в веб-приложениях.

⏺ Ссылка на GitHub

#Web #Fuzz

🔎 EvilnoVNC

EvilnoVNC - это готовая фишинговая платформа. В отличие от других методов фишинга, EvilnoVNC позволяет обойти 2FA, используя настоящий браузер через соединение noVNC.

Кроме того, этот инструмент позволяет нам в режиме реального времени видеть все действия жертвы, доступ к их загруженным файлам и всему профилю браузера, включая файлы cookie, сохраненные пароли, историю просмотров и многое другое.

⏺ Ссылка на GitHub
⏺ Руководство по использованию

❗️ Этот проект должен использоваться только для тестирования или образовательных целей.

#Web #phishing