Analyze MFT
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
GitHub
GitHub - rowingdude/analyzeMFT: analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results…
analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in multiple formats. - rowingdude/analyzeMFT
yarp - yet another registry parser
[https://github.com/msuhanov/yarp]
название приложения говорит само за себя), простейший парсер регистра ОС семейства Windows (от Windows NT 3.1), написанный на Python
• подробный парсинг файлов реестра Windows
• выявление значений всех полей базовых структур реестра
• поддержка усеченных файлов реестра и фрагментов реестра
• поддержка восстановления удаленных ключей и значений
• поддержка вырезания ветвей реестра.
• поддержка файлов журнала транзакций.
#registry #python #windows
[https://github.com/msuhanov/yarp]
название приложения говорит само за себя), простейший парсер регистра ОС семейства Windows (от Windows NT 3.1), написанный на Python
• подробный парсинг файлов реестра Windows
• выявление значений всех полей базовых структур реестра
• поддержка усеченных файлов реестра и фрагментов реестра
• поддержка восстановления удаленных ключей и значений
• поддержка вырезания ветвей реестра.
• поддержка файлов журнала транзакций.
#registry #python #windows
GitHub
GitHub - msuhanov/yarp: Yet another registry parser
Yet another registry parser. Contribute to msuhanov/yarp development by creating an account on GitHub.
👍1
Phant0m | Windows Event Log Killer
[https://github.com/hlldz/Phant0m]
приложение, которое обнаруживает и убивает потоки, отвечающие за службу Event Log. В итоге Event Log кажется запущенной в системе (поскольку Phant0m не убил процесс), на самом деле она не работает (поскольку Phant0m убил потоки), а система не собирает журналы.
• работает с svchost, ведь он управляет всеми службами Windows
• использует 2 методики обнаружение идентификатора процесса Event Log: первый это определение через диспетчер управления службами (SCM) с помощью API NtQueryInformationThread, а второй - через WMI (Windows Management Instrumentation), определяя имена DLL, связанные с потоками
• реализован как в качестве отдельного EXE-файла, так и в качестве DLL
#antiforensic #windows #events
[https://github.com/hlldz/Phant0m]
приложение, которое обнаруживает и убивает потоки, отвечающие за службу Event Log. В итоге Event Log кажется запущенной в системе (поскольку Phant0m не убил процесс), на самом деле она не работает (поскольку Phant0m убил потоки), а система не собирает журналы.
• работает с svchost, ведь он управляет всеми службами Windows
• использует 2 методики обнаружение идентификатора процесса Event Log: первый это определение через диспетчер управления службами (SCM) с помощью API NtQueryInformationThread, а второй - через WMI (Windows Management Instrumentation), определяя имена DLL, связанные с потоками
• реализован как в качестве отдельного EXE-файла, так и в качестве DLL
#antiforensic #windows #events
👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Arsenal
[https://github.com/Orange-Cyberdefense/arsenal]
простой и быстрый инструмент-перочинный нож, предназначенный для облегчения работы команды пентестеров. Упрощает использование многих команд, которые обычно трудно запомнить. Вы можете найти команду, выбрать ее, и она будет выполнена сразу в вашем терминале, причем вся эта функциональность не зависит от используемой оболочки.
• reverse shell: msfvenom, php, python, perl, powershell, java, ruby
• smb инструменты: enum4linux, smbmap, rpcclient, nbtscan, impacket
• атака на AD:bloodhound, rubeus
• MITM: mitm6, responder
• брутфорс: hydra, hashcat
• инструменты фаззинга: gobuster, ffuf, wfuzz
а также многое многое другое!
К изучению рекомендуем mindmap пентеста AD c репозитория разработчика!
#pentest #windows #activedirectory
[https://github.com/Orange-Cyberdefense/arsenal]
простой и быстрый инструмент-перочинный нож, предназначенный для облегчения работы команды пентестеров. Упрощает использование многих команд, которые обычно трудно запомнить. Вы можете найти команду, выбрать ее, и она будет выполнена сразу в вашем терминале, причем вся эта функциональность не зависит от используемой оболочки.
• reverse shell: msfvenom, php, python, perl, powershell, java, ruby
• smb инструменты: enum4linux, smbmap, rpcclient, nbtscan, impacket
• атака на AD:bloodhound, rubeus
• MITM: mitm6, responder
• брутфорс: hydra, hashcat
• инструменты фаззинга: gobuster, ffuf, wfuzz
а также многое многое другое!
К изучению рекомендуем mindmap пентеста AD c репозитория разработчика!
#pentest #windows #activedirectory
GOAD
[https://github.com/Orange-Cyberdefense/GOAD]
проект, представляющий лабораторию для анализа уязвимостей Active Directory. Это заранее приготовленная уязвимая среда AD, готовая к использования для отработки основных векторов атаки. Возможно пригодиться при подготовке к экзамену OSCP, у которого недавно поменялась структура.
[https://github.com/Orange-Cyberdefense/GOAD]
проект, представляющий лабораторию для анализа уязвимостей Active Directory. Это заранее приготовленная уязвимая среда AD, готовая к использования для отработки основных векторов атаки. Возможно пригодиться при подготовке к экзамену OSCP, у которого недавно поменялась структура.
GitHub
GitHub - Orange-Cyberdefense/GOAD: game of active directory
game of active directory. Contribute to Orange-Cyberdefense/GOAD development by creating an account on GitHub.
CSI-SIEM using Malcolm
[https://github.com/Information-Warfare-Center/CSI-SIEM/]
не так давно на канале был пост про виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. В списке была CSI Linux (https://csilinux.com), но помимо нее разработчик радует нас SIEM, состоящей из целого списка различных инструментов для анализа трафика.
• принимает данные сетевого трафика в виде файлов PCAP и журналов Zeek
• Kibana - плагин визуализации данных с десятками готовых панелей, обеспечивающих обзор сетевых протоколов и Moloch - инструмент для поиска и идентификации сетевых сессий, включающих предполагаемые инциденты безопасности.
• работает как кластер контейнеров Docker, изолированных песочниц, каждая из которых выполняет определенную функцию системы
• все коммуникации с Malcolm защищены протоколами шифрования
• состоит из инструментов с открытым исходным кодом
#siem #network #analys
[https://github.com/Information-Warfare-Center/CSI-SIEM/]
не так давно на канале был пост про виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. В списке была CSI Linux (https://csilinux.com), но помимо нее разработчик радует нас SIEM, состоящей из целого списка различных инструментов для анализа трафика.
• принимает данные сетевого трафика в виде файлов PCAP и журналов Zeek
• Kibana - плагин визуализации данных с десятками готовых панелей, обеспечивающих обзор сетевых протоколов и Moloch - инструмент для поиска и идентификации сетевых сессий, включающих предполагаемые инциденты безопасности.
• работает как кластер контейнеров Docker, изолированных песочниц, каждая из которых выполняет определенную функцию системы
• все коммуникации с Malcolm защищены протоколами шифрования
• состоит из инструментов с открытым исходным кодом
#siem #network #analys
👍1
malware-traffic-analysis
[https://www.malware-traffic-analysis.net/index.html]
набор файлов сетевого трафика pcap, содержащих действия образцов вредоносных программ. Отлично подойдет для изучения криминалистического анализа сетевого трафика.
• с 2013 года опубликовано уже 1800 записей
• помимо файлов pcap предоставляет массу полезного учебного материала - https://www.malware-traffic-analysis.net/tutorials/index.html
#network #forensic
[https://www.malware-traffic-analysis.net/index.html]
набор файлов сетевого трафика pcap, содержащих действия образцов вредоносных программ. Отлично подойдет для изучения криминалистического анализа сетевого трафика.
• с 2013 года опубликовано уже 1800 записей
• помимо файлов pcap предоставляет массу полезного учебного материала - https://www.malware-traffic-analysis.net/tutorials/index.html
#network #forensic
Crawpy
[https://github.com/morph3/crawpy]
Инструмент для фазинга , позволяющий найти скрытые директории веб-ресурсов для расширения векторов атак и написанный на языке python.
• написан для асинхронной работы, что позволяет сокращать время поиска скрытых директорий и страниц
• режим калибровки, самостоятельно применяет фильтры
• большое число аргументов, которые позволят вам гибко проводить сканирование
• рекурсивный режим сканирования
• генерация отчетов для проверки результатов
• сканирование нескольких url и возможность использования собственного списка слов
#pentest #python #discovery
[https://github.com/morph3/crawpy]
Инструмент для фазинга , позволяющий найти скрытые директории веб-ресурсов для расширения векторов атак и написанный на языке python.
• написан для асинхронной работы, что позволяет сокращать время поиска скрытых директорий и страниц
• режим калибровки, самостоятельно применяет фильтры
• большое число аргументов, которые позволят вам гибко проводить сканирование
• рекурсивный режим сканирования
• генерация отчетов для проверки результатов
• сканирование нескольких url и возможность использования собственного списка слов
#pentest #python #discovery
TheHive
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
Очень интересная подборка инструментов для проведения редтиминга от постоянного участника нашего чата @MarkushSaige, за что ему большое спасибо.
[ https://reconshell.com/red-teaming-resources/ ]
На выходных постараемся разобрать этот список и осветить самые интересные находки.
[ https://reconshell.com/red-teaming-resources/ ]
На выходных постараемся разобрать этот список и осветить самые интересные находки.
Совсем недавно был пост об уязвимости удаленного выполнения кода камер Hikvision. История имеет продолжение, ведь, несмотря на то, что производитель ещё в сентябре исправил недостаток и выпустил обновления прошивки, многие всё еще не обновили ПО своих систем видеонаблюдения. Ботнет "Moobot" распространяется как раз, используя, данную уязвимость. Он включает скомпрометированную камеру в рой DDoS. Подробнее - https://www.bleepingcomputer.com/news/security/moobot-botnet-spreading-via-hikvision-camera-vulnerability/
BleepingComputer
Moobot botnet spreading via Hikvision camera vulnerability
A Mirai-based botnet called 'Moobot' is spreading aggressively via exploiting a critical command injection flaw in the webserver of many Hikvision products.
Коллеги из компании 10guards выпустили шикарнейший материал по поводу клонирования отпечатков пальцев для получения доступа ко всякому электронному. И это прям отлично [ https://10guards.com/ru/articles/fingerprint-cloning-is-it-real/# ]
10Guards
Клонирование отпечатка пальца: миф или реальность? | 10Guards
ТЕЛЕФОННЫЕ И КОМПЬЮТЕРНЫЕ СКАНЕРЫ ОТПЕЧАТКОВ ПАЛЬЦЕВ МОЖНО ПОБЕДИТЬ С ПОМОЩЬЮ ТРЕХМЕРНОЙ ПЕЧАТИ Введение Пароли — это традиционные методы аутентификации для компьютеров и сетей. Но пароли можно украсть. Биометрическая аутентификация кажется идеальным решением…
Помните то состояние, когда не было интернетов, ютубов и подкастов? Когда, чтобы послушать интересную программу надо было бегать к радиоприемнику или телевизору? С одно стороны не совсем удобно, а с другой теплая ламповая романтика ожидания весьма греет. Редакция нашего маленького канала t.me/forensictools решила реконструировать то время… Без записей и только в прямом эфире!
Каждый четверг в 20.00 по московскому времени мы будем собираться в голосовом чате телеграмма, чтобы за большой кружкой горячего чая или бокалом виски со льдом (у кого что) поговорить интересными собеседниками на около технические темы в области защиты, проникновения и криминалистики и вот этого всего! Ну и конечно перетереть чисто за жизнь!
В этот четверг 16 декабря - Легенда хабра, человек олицетворяющий всем своим видом offensive направление безопасности, живое воплощение боевого дварфа- Лука Сафонов [ @lukasafonov ].
Как всегда вопросы можно задать лично голосом ну или написать в комментариях к этому посту.
Каждый четверг в 20.00 по московскому времени мы будем собираться в голосовом чате телеграмма, чтобы за большой кружкой горячего чая или бокалом виски со льдом (у кого что) поговорить интересными собеседниками на около технические темы в области защиты, проникновения и криминалистики и вот этого всего! Ну и конечно перетереть чисто за жизнь!
В этот четверг 16 декабря - Легенда хабра, человек олицетворяющий всем своим видом offensive направление безопасности, живое воплощение боевого дварфа- Лука Сафонов [ @lukasafonov ].
Как всегда вопросы можно задать лично голосом ну или написать в комментариях к этому посту.
Forwarded from Интернет-Розыск
STERRA - Инструмент SOCMINT для получения информации из аккаунта Instagram через его подписчиков / подписчиков.
♾ https://github.com/novitae/sterraxcyl
♾ https://github.com/novitae/sterraxcyl
karma_𝚟𝟸
[https://github.com/Dheerajmadhukar/karma_v2]
инструмент, который может быть использован при тестировании на проникновения при поиске большей информации, WAF/CDN, публичных утечек и многого чего ещё о цели. Для использования инструмента требуется ключ API Shodan Premium. Результаты выводятся на экран и сохраняются в файлы.
• Мощные и гибкие результаты с помощью Shodan Dorks
• Поиск по контрольной сумме/отпечатку SSL SHA1
• Позволяет ыяснить все порты, включая хорошо известные/необычные/динамические
• Захват всех целевых уязвимостей, связанных с CVEs
• Захват баннеров для каждого IP, продукта, ОС, сервисов и организаций и т.д.
• Сканирование ASN
• Интересные уязвимости, такие как индексирование, NDMP, SMB, Login, SignUp, OAuth, SSO, Status 401/403/500, VPN, Citrix, Jfrog, Dashboards, OpenFire, Control Panels, Wordpress, Laravel, Jetty, S3 Buckets, Cloudfront, Jenkins, Kubernetes, Node Exports, Grafana, RabbitMQ, GitLab, MongoDB, и многое другое.
#osint #pentest
[https://github.com/Dheerajmadhukar/karma_v2]
инструмент, который может быть использован при тестировании на проникновения при поиске большей информации, WAF/CDN, публичных утечек и многого чего ещё о цели. Для использования инструмента требуется ключ API Shodan Premium. Результаты выводятся на экран и сохраняются в файлы.
• Мощные и гибкие результаты с помощью Shodan Dorks
• Поиск по контрольной сумме/отпечатку SSL SHA1
• Позволяет ыяснить все порты, включая хорошо известные/необычные/динамические
• Захват всех целевых уязвимостей, связанных с CVEs
• Захват баннеров для каждого IP, продукта, ОС, сервисов и организаций и т.д.
• Сканирование ASN
• Интересные уязвимости, такие как индексирование, NDMP, SMB, Login, SignUp, OAuth, SSO, Status 401/403/500, VPN, Citrix, Jfrog, Dashboards, OpenFire, Control Panels, Wordpress, Laravel, Jetty, S3 Buckets, Cloudfront, Jenkins, Kubernetes, Node Exports, Grafana, RabbitMQ, GitLab, MongoDB, и многое другое.
#osint #pentest
4-ZERO-3_priview.gif
17.1 MB
4-ZERO-3
[https://github.com/Dheerajmadhukar/4-ZERO-3]
Инструмент обхода ошибок 403/401 в ответах сервера.
Для справки: 401 Unauthorized (Не авторизован) - для доступа к запрашиваемому ресурсу требуется аутентификация. 403 Forbidden — сервер понял запрос, но он отказывается его выполнять из-за ограничений в доступе для клиента к указанному ресурсу.
Скрипт выведет cURL обхода авторизации, если найдет нужный метод.
Использует следующие методы обхода: header, protocol, port, HTTP, URL encode, MySQL
[https://github.com/Dheerajmadhukar/4-ZERO-3]
Инструмент обхода ошибок 403/401 в ответах сервера.
Для справки: 401 Unauthorized (Не авторизован) - для доступа к запрашиваемому ресурсу требуется аутентификация. 403 Forbidden — сервер понял запрос, но он отказывается его выполнять из-за ограничений в доступе для клиента к указанному ресурсу.
Скрипт выведет cURL обхода авторизации, если найдет нужный метод.
Использует следующие методы обхода: header, protocol, port, HTTP, URL encode, MySQL