Life-Hack - Хакер

22 January 2025 13:33

Небезопасная десериализация в PHP: Как создать собственный эксплойт

#web #bugbounty #статья

Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

21 January 2025 13:18

haccking/Xgyfy7JY8Vn">От XSS уязвимости до полного административного доступа

#xss #web #bugbounty #статья #перевод

В этой статье были продемонстрированы нестандартные способы использования простой XSS атаки, даже с такими сильными защитами, как HTTPOnly.

Никогда не надо недооценивать такую простую уязвимость, как XSS, даже в современных быстро развивающихся веб-приложениях, основанных на передовых технологиях.

haccking/Xgyfy7JY8Vn">Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

20 January 2025 17:19

Рекомендуем ознакомиться с тремя бесплатными образовательными курсами от команды Life-Hack!

1. "Linux для новичков":
Изучите ключевые основы работы в операционной системе #Linux: управление файлами, пользователями, сетевыми настройками, мониторинг, безопасность, а также работу с данными, дисками и полезными инструментами для анализа безопасности системы.

2. "OSINT для новичков":
Освойте базовые принципы поиска информации в открытых источниках #OSINT и применяйте инструменты для автоматизации процесса. Вы узнаете о популярных сервисах для сбора данных и о новых технологиях, а также научитесь защищать собственные данные.

3. "Тестирование на проникновение" #Pentest:
Познакомьтесь с методикой пентеста, анализа безопасности систем, имитацией действий злоумышленников. Этот курс поможет начать свой путь в области тестирования безопасности инфраструктуры и повысить защиту вашей сети от взломов.

Воспользуйтесь уникальной возможностью обучаться бесплатно и развивайте свои навыки в IT!

#обучениеPentest@haccking
#обучениеlinux
#обучениеOSINT

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

20 January 2025 09:13

Whatsapp Mobile Tools

#Whatsapp #OSINT #полезное

Инструмент для извлечения данных профиля пользователя Whatsapp. Позволит узнать публичное имя, статус, изображение профиля, действителен ли номер WhatsApp. Проверку можно осуществлять прямо в браузере, без создания аккаунта в WhatsApp.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

19 January 2025 12:14

Бот OVERLOAD и поиск групп пользователя в Telegram

#osint #osintbot #telegramosint

Приветствуем дорогих читателей! Продолжаем тестировать ботов Telegram, которые эффективно помогут нам справиться с задачей поиска целевых данных в открытом доступе или же по-простому в OSINT. В этой статье мы разберём ещё достойных кандидатов стать инструментами поиска на постоянной основе не выходя из всеми известного мессенджера.

Ссылка на статью

LH | Новости | OSINT | Курсы

Life-Hack - Хакер

18 January 2025 16:19

Лучшие OSINT-инструменты

#OSINT #подборка

1. Maltego - это одна из лучших в мире систем визуального представления данных и автоматизации расследований. Используется даже Интерполом и Европолом. Maltego позволяет подключать собственные массивы информации и внешние онлайновые источники.

2. Crystal Explorer - младшая, зато бесплатная версия одного из самых известных инструментов для исследования транзакций криптовалюты Bitcoin, а также идентификации криптокошельков.

3. Spider Foot - Крутой и автоматизированный OSINT-сервис, специализирующийся на исследовании сайтов, доменных имен и IP-адресов.

P.S.

Лучшие телеграм инструменты тут!

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

18 January 2025 09:12

Подборка инструментов для выявления дипфейков, сгенерированных нейросетями

#подборка #OSINT #AI #DEEPFAKE

• https://www.resemble.ai/
• https://sensity.ai/
• https://zinc.cse.buffalo.edu/ubmdfl/deep-o-meter/landing_page
• https://www.aiornot.com/
• https://elevenlabs.io/
• https://www.duckduckgoose.ai/
• https://aivoicedetector.com/

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

17 January 2025 09:12

LexiCrypt

#shellcode #AV #payload #pentest #bypass

Инструмент для обфускации, который преобразует исходные байты шеллкода в "лексикон" слов, основанный на именах файлов из системной директории Windows system32. Полученный закодированный вывод затем может быть встроен в шаблон кода на различных языках программирования (например, C++, Rust, C#, Go, VBScript/WScript). Этот подход может помочь замаскировать шеллкод и обойти примитивные механизмы обнаружения.

Ссылка на инструмент

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

16 January 2025 09:12

Inflact

#OSINT

Сервис предоставляет возможность анонимно просматривать инстаграм-аккаунты. Instagram и владелец профиля не смогут идентифицировать вас в процессе просмотра.

Существует бесплатная версия, но с ограниченными функциями.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

15 January 2025 13:18

Мыслить как безопасник - канал действующего практика по корпорпативной безопасности Никиты Артемова. Реальные кейсы и практика, разбор актуальных новостей из мира инфобеза, авторские статьи, полезная литература, тулзы и видео.

Основные направления канала - OSINT, корп.без. и профайлинг

Несколько интересных постов:

🔵 Профайлинг — технология “взлома” человека

🔵 Вас прослушивают? Как обезопасить конфиденциальные переговоры

🔵 Про бизнес #OSINT и цифровой #сталкинг | Подкаст ОБИБЭ, выпуск №8

🔵 OSINT mindset podcast №10 | Никита Артемов aka Emisare: профайлинг, корп. безопасность и инсайдеры

Автор делится своим многолетним опытом работы в сфере корпоративной безопасности и рассказывает как именно сочетается сфера анализа поведения человека с аналитикой на практике.

➡️ Подписывайтесь

Реклама. Erid: 2VtzqxZbirv

Life-Hack - Хакер

14 January 2025 13:35

Опасное цифровое наследство: какие угрозы таит реинкарнация утраченного номера

#статья #SIM

Когда-нибудь видели такое, что в социальных сетях ваша бывшая одноклассница Оля стала каким-то усатым Николаем? А в чужой групповой чат попадали по ошибке? Причем не просто какой-то спам, а реальный чат друзей, собирающихся на рыбалку или на день рождения? Может, получали сообщение в Telegram о новом пользователе с номером покойной бабушки Зины?

Что-то подобное может произойти после блокировки SIM-карты спустя определенный период бездействия (обычно от 60 до 365 дней в зависимости от оператора), когда номер вновь поступает в продажу.

А что произойдет, если новый владелец вашего прежнего номера попробует авторизоваться там, где ранее регистрировались вы?

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

13 January 2025 14:18

Наш бесплатный курс "Тестирование на проникновение" подошел к концу. Вот полный список статей, которые помогут вам начать свой путь в #Pentest.

• Моделирование атаки - тестрирование на проникновение.
• Основные этапы тестирования.
• Сбор информации: 1 Часть.
• Сбор информации: 2 Часть.
• Сбор информации: 3 Часть.
• Обнаружение уязвимостей.
• Подбор паролей.

• Обратные оболочки и полезные нагрузки.
• Эксплуатация уязвимостей: 1 Часть.
• Эксплуатация уязвимостей: 2 Часть.
• Уклонение от средств защиты: 1 Часть.
• Уклонение от средств защиты: 2 Часть.
• Уклонение от средств защиты: 3 Часть.
• С2 (Command and Control) сервер.

• Основы Active Directory: 1 Часть.
• Основы Active Directory: 2 Часть.
• Kerberos, NTLM, DNS, LDAP.
• Пользовательские и машинные учетные записи.
• Права и привилегии в Active Directory.
• Небезопасные права доступа ACL.
• Active Directory Domain Enumeration

• Bloodhound
• AS-REP Roasting
• haccking/5vHKD4qgTTc">Kerberoasting
• haccking/kPhBkCrWnMU">Неограниченное делегирование.
• haccking/A0J1PSh9Dm9">Ограниченное делегирование.
• haccking/K14od5a8CJt">Ограниченное делегирование на основе ресурсов.
• haccking/aCAMhFqVJ6v">DCShadow.

• haccking/CWe07mN6l9E">Pass-the-hash
• haccking/90jo1xtOC_-">Password Spray
• haccking/uTEXiQtfsfz">Windows Server Update Services (WSUS)
• haccking/qWU3FqGUpt3">System Center Configuration Manager (SCCM)
• haccking/2gTBXnwYzKO">Взлом MSSQL
• haccking/yoQKJ0yPYwp">Responder
• haccking/C5kbp_WE_GB">Netexec

• haccking/kKJgYiiGP-C">Крадем учетные данные Windows
• haccking/wlFchsbkVYe">Zerologon
• haccking/9LLU5iY4moq">PetitPotam
• haccking/L-Pp36LInfH">Skeleton Key
• RouterSploit
• haccking/3opUyirq8Qr">Получение DA через принтер
• haccking/b9rDUCY5dwe">DCSync

• haccking/cd-Tf8fRvr1">SIDHistory
• haccking/pRZAVniiRT1">AdminSDHolder
• haccking/gQWE4ohRuo9">Silver Ticket
• haccking/mJ0PsKmba50">Golden Ticket
• haccking/dgYetfjl-_k">Diamond Ticket
• haccking/faDfZX1LMs1">Sapphire Ticket

Не забывайте делиться нашим бесплатным курсом "Тестирование на проникновение"!

#статья@haccking #обучениеPentest@haccking #AD

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

13 January 2025 09:12

Summify

#AI #полезное

ИИ омощник, который позволяет быстро обобщать длинные видео. Просто вставьте ссылку на видео YouTube, и Summify создаст резюме с ключевыми идеями, TLDR и углубленным обзором. Инструмент можно использовать бесплатно для видео продолжительностью до 180 минут.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

12 January 2025 12:14

haccking/fEjIRmwQsqx">5 способов получить RCE на практике

#RCE #статья #перевод #bugbounty

Для специалистов в области offensive security обнаружение уязвимостей удалённого выполнения кода (RCE) является настоящей жемчужиной.

В этой статье мы рассмотрим распространённые методы получения RCE, включая SQL-инъекции, командные инъекции, path traversal, Local File Inclusion (LFI) и уязвимости в загрузке файлов. Для каждого вектора атаки мы приведём примеры и реальные случаи из моей практики.

haccking/fEjIRmwQsqx">Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

11 January 2025 13:07

На седьмой неделе курса "Тестирование на проникновение" мы познакомились с различными способами закрепления в среде Active Directory.

Если вы что-то пропустили и желаете прочитать, то вот список материалов седьмой недели:

• haccking/cd-Tf8fRvr1">SIDHistory
• haccking/pRZAVniiRT1">AdminSDHolder
• haccking/gQWE4ohRuo9">Silver Ticket
• haccking/mJ0PsKmba50">Golden Ticket
• haccking/dgYetfjl-_k">Diamond Ticket
• haccking/faDfZX1LMs1">Sapphire Ticket

Не забывайте делиться нашим бесплатным курсом "Тестирование на проникновение"!

#статья@haccking #обучениеPentest@haccking #AD

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

22 January 2025 09:12

GitDorker

#GitHub #pentest #dork

Программа на Python для извлечения секретов из GitHub с использованием большого набора дорков.

Ссылка на инструмент

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

21 January 2025 09:12

Awesome-bugbounty-tools

#bugbounty #pentest #web #подборка

Подборка инструментов для багхантеров, разбитая по категориям.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

20 January 2025 13:18

haccking/7xFUhsvWBfr">Just Gopher It: Превращение слепого SSRF в RCE за 15 000 $ — Yahoo Mail

#bugbounty #web #rce #ssrf #статья #перевод #pentest

Автор рассказывает, как он раскрутил Blind SSRF до RCE и заработал $15,000. Статья подчёркивает, как внимательные исследования "незначительных" уязвимостей могут привести к серьёзным результатам.

haccking/7xFUhsvWBfr">Ссылка на статью.

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

19 January 2025 15:18

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. ИИ омощник, который позволяет быстро обобщать длинные видео
3. Наш полный курс "Тестирование на проникновение"
4. Радужные таблицы — это базы данных, в которых паролю соответствует вычисленный хеш
5. DiscordOSINT
6. Сервис предоставляет возможность анонимно просматривать инстаграм*-аккаунты
7. Подборка инструментов для выявления дипфейков, сгенерированных нейросетями
8. Бесплатная обучающая игра по SQL вдохновленная сериалом «Игра в кальмара»
9. Лучшие OSINT-инструменты

*Признана запрещённой на территории РФ
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

19 January 2025 09:12

One-Liner-Collections

#pentest #полезное #linux

Этот репозиторий содержит список полезных однострочных команд с их описанием и требованиями для установки.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

18 January 2025 12:43

SQL Squid Game

#sql #полезное #обучение

Вышла бесплатная обучающая игра по SQL вдохновленная сериалом «Игра в кальмара». Всего 9 тематических уровней, в каждом из которых спрятана задача. Ошиблись — придется начинать заново. С каждым уровнем задания становятся всё сложнее, но везде даётся по 2 подсказки.

Если навыков не хватает или хотите выучить SQL с нуля, то есть 33 бесплатных урока, чтобы подтянуть знания.

Ссылка на сайт

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

17 January 2025 13:17

VK плачет, Social Graph смеется, Telegram наблюдает

#статья #OSINT

Социальные графы предоставляют уникальные возможности для анализа социальных взаимодействий и помогает раскрыть структуру групп, идентифицировать ключевых участников и их связи. С их помощью можно сегментировать пользователей по интересам, географическому расположению или другим параметрам, что может быть полезно, например, в криминалистических расследованиях. Используя социальные графы, OSINT аналитики могут более эффективно проводить сбор и анализ данных, что позволяет принимать обоснованные решения.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

16 January 2025 13:18

Самые дерзкие фишинговые схемы 2024 года, которые сработали

#статья #phishing

Звонки с предупреждениями о подозрительных операциях по счету или последнем дне обслуживания мобильного номера — уже классика фишинга. Но если вы думаете, что фантазия и способности мошенников на этом заканчиваются, то нет. 2024 год «подарил» нам несколько потрясающих случаев, когда жертвами фишинга стали гигантские и, казалось бы, хорошо защищенные компании.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

15 January 2025 14:18

Изоляция процессов и минимизация привилегий: использование Linux namespaces и seccomp

#статья #Linux #DevOps #admin

По статистике, каждые 39 секунд в мире происходит кибератака. Задумайтесь об этом на мгновение. А теперь представьте, что процессы на сервере работают как супергерои, готовые к борьбе с внешними угрозами. Но только если они не захотят стать злодеями. Что если один из процессов решит, что ему по силам взломать систему и получить root-права? Сценарий не такой уж фантастический, как может показаться. В этой статье разберемся, как снизить подобные риски. Материал будет полезен начинающим специалистам, которые работают с контейнерами, виртуализацией и управлением ресурсами: сисадминам, разработчикам и DevOps-инженерам.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

15 January 2025 09:13

DiscordOSINT

#OSINT #Discord

Этот репозиторий содержит полезные ресурсы для проведения исследований и OSINT-расследований по аккаунтам, серверам и ботам в Discord.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

14 January 2025 09:12

Радужная таблица

#credentials #password #crack #pentest

Это предварительно рассчитанные хеши, которые используются для быстрого взлома хешей (восстановления паролей из полученного хеша). Радужные таблицы — это базы данных, в которых паролю соответствует вычисленный хеш.

Брут паролей требует много времени и вычислительных ресурсов компьютера, в частности видеокарты. Радужная таблица работает иначе, требуется меньшее время, но больше памяти. В целом, взлом хеша с помощью радужных таблиц происходит намного быстрее, чем брутфорс атака.

Ссылка на таблицы для скачивания

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

13 January 2025 13:18

Каналы про IT делятся на 2 типа:

1. Выучи Python, JavaScript и C++ за 0,0001 секунды просто читая наш канал…

2. Хочешь читать переписки бывшей? Хакер из канала "Взлом Жопы" рассказывает как скачать Tor…

Но среди копипастных статей и мусора есть реально годный проект айтишника, работавшего 9 лет в ИБ — Пакет Безопасности.

Внутри узнаете когда наступит эра без паролей, почему взломали СДЭК, как удалить упоминание о себе из интернетов и как не оказаться жертвой новой схемы интернет-скама.

Подпишитесь, злоумышленники не дремлют: @package_security

Life-Hack - Хакер

12 January 2025 15:18

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Топ статей за весь 2024 год
2. Подборка популярных механизмов, которые часто используются для закрепления в ОС Windows
3. Репозиторий с вопросами по наступательной безопасности на русском языке
4. Эта SQL-инъекция может позволить злоумышленникам повысить привилегии
5. В этой статье мы рассмотрели различные инструменты для MITM-атак и проверили актуальность некоторых на сегодняшний день
6. Shellcode-загрузчик, созданный для обхода множества механизмов обнаружения, которые обычно реализуются EDR-системами
7. Седьмая неделя нашего курса "Тестирование на проникновение"


#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

12 January 2025 09:12

BackOrder

#bugbounty #OSINT #web

Сервис, позволяющий наблюдать за истекшими доменами и перехватывать их.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

11 January 2025 09:12

DripLoader

#pentest #payload #bypass #edr
#shellcode

Загрузчик шелл-кода для обхода детектов средствами (EDR). Проект нацелен на освещение проблемы идентификации инъекций, основанной на событиях, и демонстрацию необходимости более продвинутого сканирования памяти в системах обнаружения и реагирования на конечных точках.

Ссылка на GitHub

LH | Новости | Курсы | OSINT