-
🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»
🛡 Научитесь находить и использовать уязвимости веб-приложений.
🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.Доступ открыт прямо сейчас — Записаться бесплатно
Форум информационной безопасности - Codeby.net
Статья Rubber Ducky: Знакомство с устройством и его возможностями (Часть I)
Приветствую уважаемых участников и гостей форума!
B качестве предисловия, хочу рассказать пожалуй о самой странной фобии (с др.-греч. — «страх»), которая существует в медицинских классификаторах психических расстройств:
Анатидаефобия (anatidaephobia) — это навязчивый страх, что где-то в мире есть Утка!!!, следящая за вами)) Это звучит забавно, но по официальной статистике этой фобии подвержено 0.36% населения нашей планеты.
Сегодня мы поговорим, стоит ли действительно опасаться этой Утки, даже если она резиновая?!
Как многие уже догадались из названия темы, речь пойдет об атаке известной как, "USB Rubber Ducky" (в переводе с англ. "Резиновая уточка")
Итак, что же такое оригинальный "USB Rubber Ducky" - это HID устройcтво (Human Interface Device) для инъекций нажатия клавиш, внешне замаскированное под обычную флешку, которое притворяется клaвиатурой и при подключении к компьютеру быстренько набирает предварительно запрограммированные данные о нажатиях...
Статья Поднимаем анонимный IRC-сервер средствами TOR на VPS/Raspberry Pi
Поднимем IRC-сервер на Raspberry Pi или VPS и завернем это добро в Tor трафик.
установим скрытый сервис Tor
стартуем и сразу вырубаем
в /etc/tor/torrc добавим запись
(HiddenServicePort 80 127.0.0.1:8123 - добавим и эту строку, если хотим веб интерфейс для сервера.
Об этом можно узнать подробнее, прочитав мои статьи из цикла Tor)
сохраняем. запускаем тор
из /var/lib/tor/irc/hostname вытаскиваем адрес вашего сайта (как сделать красивый можно...
Подключение по ssh от рута
установим скрытый сервис Tor
Код:
apt-get install tor
Код:
service tor start
service tor stop
Код:
HiddenServiceDir /var/lib/tor/irc/
HiddenServicePort 6666 127.0.0.1:6666Об этом можно узнать подробнее, прочитав мои статьи из цикла Tor)
сохраняем. запускаем тор
Код:
service tor startLFISuite - Totally Automatic LFI Exploiter (+ Reverse Shell) and Scanner
Добрый день,Уважаемые Форумчане,Друзья,Коллеги и всегда ,Дорогие гости нашего форума.
Если ранее, когда-то ,не придавалось внимание,как мы знаем,уязвимостям LFI.
В настоящее время,такие уязвимости признаны одними из самых опасных.
Знакомимся и встречаем инструмент,который позволяет сразу просканировать ресурс.
Эксплуатация и различные вариации атак также входят в функционал его возможностей.
Автором его является знаменитый и скромный D35m0nd142.
Скромным считаю его,т.к. инструмент ,по праву можно причислить к Framework своего рода.
Он полностью автоматизирован и функционал его достойный :
Automatic Configuration
Automatic Update
Provides 8 different Local File Inclusion attack modalities:
> /proc/self/environ
> php://filter
> php://input
> /proc/self/fd
> access log
> phpinfo
> data://
> expect://
Кроме того,поддерживает Tor proxy ,Reverse Shell для Windows, Linux OS
Позволяет работать с...
Если ранее, когда-то ,не придавалось внимание,как мы знаем,уязвимостям LFI.
В настоящее время,такие уязвимости признаны одними из самых опасных.
Знакомимся и встречаем инструмент,который позволяет сразу просканировать ресурс.
Эксплуатация и различные вариации атак также входят в функционал его возможностей.
Автором его является знаменитый и скромный D35m0nd142.
Скромным считаю его,т.к. инструмент ,по праву можно причислить к Framework своего рода.
Он полностью автоматизирован и функционал его достойный :
Automatic Configuration
Automatic Update
Provides 8 different Local File Inclusion attack modalities:
> /proc/self/environ
> php://filter
> php://input
> /proc/self/fd
> access log
> phpinfo
> data://
> expect://
Кроме того,поддерживает Tor proxy ,Reverse Shell для Windows, Linux OS
Позволяет работать с...
Статья AngryFuzzer - Инструмент для сбора информации
Приветствую Мир Codeby,Друзей,Форумчан и Гостей.
Продолжим рассматривать инструменты ,которые позволяют собирать информацию.
AngryFuzzer пополняет этот ряд от автора inebski.
В задачи входит как обнаружение уязвимостей,так и поиск скрытых каталогов и файлов на сервере.
Специализируется он на атаках таких систем управления содержимым,как Wordpress , Drupal и Joomla.
В опции входит следующее:
В качестве примера построения атаки приводятся следующие алгоритмы:
Продолжим рассматривать инструменты ,которые позволяют собирать информацию.
AngryFuzzer пополняет этот ряд от автора inebski.
В задачи входит как обнаружение уязвимостей,так и поиск скрытых каталогов и файлов на сервере.
Специализируется он на атаках таких систем управления содержимым,как Wordpress , Drupal и Joomla.
В опции входит следующее:
Код:
-h, --help вывод справки по командам
-q, --quiet скрытый,"бесшумный" режим
-u URL, --url=URL URL - адрес цели
-c CMS, --cms=CMS более точное уточнение,что сканируем ==> wp ,dp
-w WORDLIST, --wordlist=WORDLIST - использовать словарь пользователяВ качестве примера построения атаки приводятся следующие алгоритмы:
Код:
1.) Фаззинг URL со стандартным словарём
python angryFuzzer.py -u http://домен2-го_и_верхнего уровней
2.) Фаззинг ,непосредственно с уточнением вида CMS (wordpress ,к примеру)
python angryFuzzer.py -u...Wreckuests — скрипт для DDoS-атак
Приветствую, господа.
Хочу представить Вашему вниманию интересный (может быть) скрипт для проведения DDoS атак под названием Wreckuests.
ВНИМАНИЕ:
Эта статья публикуется исключительно в ознакомительных целях. Автор не несет никакой ответственности за любые последствия, ущерб или убытки, которые могут возникнуть в результате использования.
Как работает этот инструмент? Wreckuests — это скрипт, который проводить DDoS атаки с помощью HTTP-потока (GET / POST). Скрипт использует прокси-сервера, так называемые «боты» для проведения атаки.
Установка:
Для начала установим необходимые модули для корректной работы (это ОЧЕНЬ ВАЖНО, без этого ничего не будет работать):
sudo apt-get install netaddr requests
Затем, копируем все необходимые файлы:
git clone JamesJGoodwin/wreckuests
Переходим в папку и запускаем:
python3 wreckuests.py -help...
Хочу представить Вашему вниманию интересный (может быть) скрипт для проведения DDoS атак под названием Wreckuests.
ВНИМАНИЕ:
Эта статья публикуется исключительно в ознакомительных целях. Автор не несет никакой ответственности за любые последствия, ущерб или убытки, которые могут возникнуть в результате использования.
Как работает этот инструмент? Wreckuests — это скрипт, который проводить DDoS атаки с помощью HTTP-потока (GET / POST). Скрипт использует прокси-сервера, так называемые «боты» для проведения атаки.
Установка:
Для начала установим необходимые модули для корректной работы (это ОЧЕНЬ ВАЖНО, без этого ничего не будет работать):
sudo apt-get install netaddr requests
Затем, копируем все необходимые файлы:
git clone JamesJGoodwin/wreckuests
Переходим в папку и запускаем:
python3 wreckuests.py -help...
Статья NECTOR Pentest Framework
Всем привет! В этой статье речь пойдет о фреймворке под названием NECTOR - Целью NECTOR является повышение осведомленности в области безопасности, к примеру, учреждений путем демонстрации потенциальных уязвимостей в системе.
NECTOR - это мощная и расширяемая структура, используемая для сбора, анализа и использования информации при разведке.
NECTOR - использует функциональность и стабильность структуры Django и включает в себя бэкэнд базы данных SQLite с минималистичным интерфейсом. Проект разрабатывается без использования JavaScript.
Интуитивно понятный веб-интерфейс NECTOR позволяет легко анализировать данные, настраивать параметры сканирования, отчеты об инцидентах и многое другое.
Приложения:
· Хосты (подсети)
· Обнаружение
· Osint
· События
· Отчеты
Установка и запуск (Kali Linux 2017.2):
> git clone...
NECTOR - это мощная и расширяемая структура, используемая для сбора, анализа и использования информации при разведке.
NECTOR - использует функциональность и стабильность структуры Django и включает в себя бэкэнд базы данных SQLite с минималистичным интерфейсом. Проект разрабатывается без использования JavaScript.
Интуитивно понятный веб-интерфейс NECTOR позволяет легко анализировать данные, настраивать параметры сканирования, отчеты об инцидентах и многое другое.
Приложения:
· Хосты (подсети)
· Обнаружение
· Osint
· События
· Отчеты
Установка и запуск (Kali Linux 2017.2):
> git clone...
Статья Обзор развернутого сканирования Metasploit Community
Этот раздел охватывает следующие темы:
- Обзор развернутого сканирования
- Развернутое сканирование
- Nexpose сканирование
- Импортирование сканирования и данные уязвимости
- Данные хоста
- Управление уязвимостями
- Управление хостом
- Возможность входа в хост
Перед началом фазы пентестирования вам следует добавить данные хоста к проекту. Данные хоста относятся к IP-адресам системы, которую вы хотите исследовать, а также к активным портам, службам и информации по уязвимости, связанной с этими системами. Чтобы добавить данные о хосте к проекту, вы можете или запустить развернутое сканирование, или импортировать сканированные данные из сканера...
Hacker Lab
Категории блога
Наши курсы
Наши книги
