NexPhisher

NexPhisher — Это утилита для создания фишинговых страниц авторизации популярных соц.сетей, поисковиков, киноплощадок, игровых аккаунтов.

💡Основные функции:
⏺️Выбор нескольких сервисов - Утилита имеет большой выбор, до 30 сервисов.
⏺️Понятный интерфейс - Программа очень простая и справится каждый.
⏺️Большой выбор хоста - есть известные Ngrok, Serveo и новые LocalHostRun, LocalXpose.

📎Установка:

git clone https://github.com/htr-tech/nexphisher.git

cd nexphisher

./setup

📌Использование:
1️⃣Запуск утилиты

bash nexphisher

Киберпреступления оставляют цифровые следы. Научитесь их находить.

Цифровой криминалист — это тот, кто расследует атаки, восстанавливает данные и делает виртуальный мир безопаснее.

Освойте цифровую криминалистику и реагирование на инциденты в Linux-среде. Запись до 26 июня!

⌨️ Регистрация здесь

Что вас ждёт на курсе:
🟧 Реальные кейсы, основанные на APT-отчетах
🟧 Полный цикл реагирования на инциденты с помощью opensource-инструментов
🟧 Поиск и анализ артефактов хакеров и вредоносного ПО

Кому подходит курс:
🟧 Аналитикам 1, 2, 3 линии SOC
🟧 Начинающим специалистам в DFIR и Red Team
🟧 Организациям, желающим прокачать команду по реагированию на киберинциденты и Linux-форензику

Хотите научиться расследовать кибератаки и распутывать цифровые следы?
Присоединяйтесь — узнайте всё о форензике. Начать учиться сейчас

🚀 @Codeby_Academy

⚡️ Угадай уязвимость по коду:

В приложении есть следующий код:

SELECT * FROM users WHERE username = '" + userInput + "' AND password = '" + userPassword + "';

К какой уязвимости подвержен данный код?
1️⃣ SQL Injection
2️⃣ Command Injection
3️⃣ Code Injection
4️⃣ Bruteforce

Пиши свой ответ в комментарии👇

Как построить успешную карьеру в тестировании на проникновение? Всё начинается с прочного базиса — тех знаний, без которых даже самые мощные инструменты останутся бесполезными.

В статье рассмотрим:
⭐Как эффективно изучить Linux, сети и Python
⭐Где получить реальную практику
⭐Ошибки новичков и как их избежать

Среди обилия информации системный подход к обучению становится ключевым.

Отличной отправной точкой может стать курс "Профессия Пентестер", который поможет:
⭐Освоить практические навыки пентеста
⭐Подготовиться к экзамену OSCP
⭐Получить практические задания с экспертной проверкой

➡️ Читайте полный гайд

archivealchemist — инструмент для создания специально разработанных архивов для тестирования уязвимостей при извлечении данных.

❗️Характеристики
⏺️Создание ZIP- и TAR-архивов с вредоносными шаблонами;
⏺️Поддержка атак с обходом пути;
⏺️Поддержка символических и жестких ссылок;
⏺️Возможность устанавливать специальные биты разрешений (setuid, setgid, sticky bit);
⏺️Точный контроль над атрибутами файлов (режим, владелец, группа, время изменения);
⏺️Команды манипулирования: добавить, заменить, дополнить, изменить;
⏺️Вспомогательные команды: извлечение, список, чтение;
⏺️Создание файлов polyglot (дополните архив данными + настройте заголовки).

⬇️Установка
Клонируем репозиторий, переходим в папку с проектом, делаем скрипт исполняемым и опциональным шагом является создание симлинка, чтобы пользоваться инструментом без привязки к необходимой директории:

git clone https://github.com/avlidienbrunn/archivealchemist
cd archivealchemist
chmod +x archive-alchemist.py
sudo ln -s $(pwd)/archive-alchemist.py /usr/local/bin/archive-alchemist

⚡️ Использование
Архив с полезной нагрузкой для обхода путей:

archive-alchemist zipslip.zip add "../../../tmp/evil.txt" --content "I escaped the extraction directory!"

Архив с символической ссылкой, указывающей на конфиденциальный файл:

archive-alchemist symlink_attack.tar -t tar add .bashrc --symlink "/etc/passwd"

Создание исполняемого файла с правами суперпользователя:

archive-alchemist setuid_attack.tar -t tar add exploit --content "#!/bin/sh\nwhoami" --mode 0755 --setuid --uid 0

Создание файла, который является допустимым ZIP-файлом и начинается с магических байтов GIF

archive-alchemist polyglot.gif add payload.txt --content "hello there"

Поддерживает следующие команды
🌟add - добавление файлов, каталогов, символических или жестких ссылок в архив;
🌟replace - замена существующих файлов или каталогов в архиве;
🌟append - добавление дополнительного содержимого к существующим файлам в архиве;
🌟modify - изменение атрибутов файла или преобразование файлов в символические/жесткие ссылки;
🌟remove/rm - удаление файлов, каталогов, символических или жестких ссылок из архива;
🌟list/ls - отображение содержимого архива;
🌟extract - извлечение файлов из архива в файловую систему;
🌟read/cat - чтение файла из архива в стандартный вывод;
🌟polyglot - добавление содержимое в архив, сохраняя его валидным.

⚡️ Угадайте уязвимость по описанию:

Злоумышленник отправляет жертве ссылку, которая выглядит как легитимный запрос на изменение пароля. Когда жертва кликает по ссылке, ее браузер выполняет действие от ее имени без ее ведома.

👇 Выбирайте вариант ответа!