🛠 Zev — LLM-помощник для терминала

Когда помнишь что сделать, но не помнишь какой командой.

zev 'find all .py files modified in the last 24 hours'
zev 'show all running python processes'
zev 'check if google.com is reachable’

Zev переводит natural language → shell-команду и сразу отдаёт результат.

➡️ Что важно:

— Работает через OpenAI / Gemini / Azure / Ollama
— Можно полностью локально (Ollama)
— Удобен для редких флагов, сетевых и файловых one-liner’ов
— CLI, без веба и лишнего шума

⚠️ Без иллюзий
Команды генерит LLM. Опасные операции могут проскочить → всегда читайте вывод перед выполнением.

Установка

pip install zev

Zev — не автопентест, а ускоритель мышления в shell. Полезен в руках думающего. Опасен в руках ленивого.

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#tool_of_the_week

😳 Operation Sundevil: когда ФБР объявило войну хакерам

Почему это провал:

➡️ Из десятков арестованных осудили всего 3 человека
➡️ ФБР путало phone phreaking (взлом телефонии) с обычными звонками
➡️ Агенты конфисковали оборудование у невинных BBS-операторов и журналистов

Самый абсурдный случай:

Steve Jackson Games — издателя настольных игр обвинили в «обучении хакерству» из-за книги правил ролевой игры про киберпанк. Конфисковали все компьютеры, чуть не разорили компанию. Суд признал действия незаконными.

Последствия:

✅ Создана Electronic Frontier Foundation (EFF) — защита цифровых прав
✅ Общество поняло: власти не понимают технологии
✅ Хакеры объединились против государственного произвола

🅱️ Пока ФБР гонялось за phone phreakers, реальные киберпреступники спокойно работали. Operation Sundevil больше навредила обычным компьютерным энтузиастам, чем остановила преступность.

📚 Где читать: книга "The Hacker Crackdown" by Bruce Sterling — журналистское расследование всей операции

🐸 Библиотека хакера

#zero_day_legends

✏️ Задача «Накрутка бонусного баланса в системе лояльности»

В системе лояльности банка реализована функциональность вывода бонусных средств на банковский счёт клиента. Бонусы в системе хранятся в копейках minorUnits, но при округлении значений на стороне сервера происходит ошибка.

❓ Как можно это эксплуатировать, чтобы вывести больше денег, чем реально начислено:

❤️ — Многократно выводить минимальные суммы, при которых сервер округляет minorUnits в большую сторону.

🥰 — Разбить вывод на множество операций, чтобы обойти лимиты антифрода и увеличить итоговую сумму.

👾 — Запросить вывод в момент пересчёта бонусного баланса при обновлении системы.

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#ctf_challenge

🔍 Быстрый фаззинг веб-приложений

Шпаргалка содержит все основные опции — от HTTP-параметров до продвинутой фильтрации.

Must-have для пентеста и багбаунти! 🔗

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cheat_sheet

🐸 Библиотека хакера

#hack_humor

🔗 Вопрос с собеседования

Чем различаются уязвимость, эксплойт и атака? 

👇 Правильный ответ (нажми, чтобы прочитать):

Уязвимость — это гипотетическая угроза, которая может возникнуть в компании. Она есть, только пока ее не устранили. Уязвимости имеются почти во всех системах, но не факт, что злоумышленники используют их. 

Эксплойт — это программа или код, который использует существующую уязвимость. То есть до тех пор, пока разработчики или специалисты по информационной безопасности не выпустят обновление, чтобы эту уязвимость устранить. 

Атака — это использование эксплойта для вторжения в уязвимую систему. Может продолжаться довольно долго, часто — пока не станут ощутимы последствия. Например, появятся жалобы пользователей на то, что их доступы для входа в личный кабинет украдены. 

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cft_challange

📦 HTB Intentions: разбор сложной Linux-машины

Подробное прохождение Intentions htb — хард-уровень на Linux с цепочкой нетривиальных уязвимостей и эскалацией до root.

🔤 Ключевые этапы атаки:

• Веб-галерея с вторичной SQL-инъекцией, приводящей к утечке BCrypt-хэшей.

 • Обнаружение API v2, где аутентификация возможна по хэшу, а не по паролю → доступ администратора.

 • В админ-панели — редактирование изображений через Imagick, что позволяет добиться RCE.

 • После получения shell от www-data — анализ истории Git и извлечение кредов пользователя greg.

 • У пользователя доступ к бинарнику /opt/scanner/scanner с capability CAP_DAC_READ_SEARCH, что позволяет читать защищённые файлы.

 • Побайтовое извлечение SSH-ключа root → вход по SSH и полный контроль системы.

📎 Видео-разбор

🐸 Библиотека хакера

#resource_drop

☕ HTTP 418: не ошибка, а сигнал защиты

TL;DR: стабильный 418 означает, что запрос остановлен WAF / antibot-периметром. Вы уже не общаетесь с API.

♌️ Формально I’m a teapot — экспериментальный статус.

Фактически — служебный маркер защитных систем. При 418 запрос корректен на уровне сети и TLS, но классифицирован как автоматизированный и остановлен до backend-логики.

Типичные триггеры:

— неестественные headers и User-Agent
— небраузерный TLS-fingerprint
— поведение без human-паттернов

Повторяемый HTTP 418 — это не баг и не отказ сервиса. Это момент, когда защита решила, что вы — не пользователь.

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#breach_breakdown

🔐 Виды информации ограниченного доступа

Разбираемся в классификации конфиденциальной информации по российскому законодательству.

➡️ В шпаргалке — полный перечень нормативных актов и конкретные виды защищаемой информации от банковской тайны до секретов производства.

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cheat_sheet

🚨 Критическая уязвимость: MongoBleed (CVE-2025-14847)

Что произошло:

— Уязвимость в MongoDB Server, связанная с обработкой zlib-сжатых сообщений

— Позволяет неаутентифицированному удалённому атакующему читать память сервера

— Уязвимость уже эксплуатируется в дикой природе (exploit in the wild)

Почему это серьёзно:

— Под угрозой десятки тысяч MongoDB-инстансов, доступных из интернета

— Возможна утечка:

• чувствительных данных
• фрагментов запросов
• токенов / ключей
• служебной информации, полезной для дальнейших атак
— Атака происходит до аутентификации

Что делать срочно:

✅ Обновиться до исправленных версий: 8.2.3, 8.0.17, 7.0.28 (и новее)

⚠️ Если обновление невозможно — временно отключить zlib-сжатие как mitigation-меру.

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cve_bulletin

❔ Где защита чаще всего ломается на практике

🔥 — Firewall (правила есть, модель угроз — нет)
🥰 — SIEM (шум есть, алертов нет)
😁 — VPN (split tunnel, reuse паролей, no MFA)
👍 — Email Gateway (фишинг проходит → initial access)
👾 — Backup (есть, но restore никто не делал)

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ask_the_community

🦾 Nihilist — аудит Cisco IOS

Инструмент для аудита безопасности Cisco маршрутизаторов и коммутаторов, рассчитанный на ИБ-специалистов и хакеров, а не на формальные отчёты.

Работает просто и жёстко: подключается по SSH, забирает конфигурацию и анализирует её регулярками, проверяя не только включены ли защиты, а насколько они корректны и уместны.

🔤 Что анализирует:

— Cisco IOS security (ACL, control-plane, management access)
— L2: STP, port-security, trunk’и
— L3: routing, filtering, сервисы
— Management: SSH, SNMP, privilege levels, banners

Примеры типовых находок:

— ACL есть, но не защищает нужный трафик

— SSH включён, но слабо настроен

— Control-plane protection ломает маршрутизацию

— Защита есть, но не соответствует топологии

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#tool_of_the_week

📌 OSINT-шпаргалка по разведке организаций

Карта того, где и что искать при OSINT-разведке компании: домены, сабдомены, технологии, архивы, утечки и базы уязвимостей. Помогает быстро собрать внешний контур цели без шума и активных атак.

🔴 Подходит для пентеста, bug bounty и threat intelligence.

🐸 Библиотека хакера

#cheat_sheet