Telegram Extractor

Telegram Extractor - Это набор скирптов которые помогут анализировать данные хранящиеся в Telegram.

💡Справка:
⏺️tgnet-extractor.py - Извлекает файл files/tgnet.dat, содержащий IP-адреса датацентра, главные секреты и т. д. Этот скрипт анализирует файл и выводит все значения на стандартный вывод
⏺️message-extractor.py - Извлекает сообщения из байтов, хранящихся в столбце SQLite messages.data Telegram.
⏺️encrypted-chat-extractor.py - Извлекает информацию из байтов, хранящихся в sqlite-столбце enc_chats.data Telegram, который содержит основной секретный ключ auth_key секретного чата и другие данные.

📎Установка:

git clone https://github.com/tsusanka/telegram-extractor.git

cd telegram-extractor

📌Использование:

python3 tgnet-extractor.py [PATH_TO_FILE]

python3 message-extractor.py [PATH_TO_FILE]

python3 encrypted-chat-extractor.py [PATH_TO_FILE]

К сожалению, получить доступ к файлу вы должны вручную. По умолчанию, этот файл храниться в /data/data/org.telegram.messenger, но для доступа, видимо, нужен root.

Traitor: Утилита для автоматизации повышения привилегий в Linux

Traitor — это инструмент с открытым исходным кодом, созданный для автоматизированного поиска и использования уязвимостей, позволяющих повысить привилегии в Linux-системах. Разработанный для пентестеров и специалистов по безопасности, Traitor автоматизирует сложные задачи, связанные с эскалацией прав, и помогает выявлять потенциальные угрозы в инфраструктуре.

⚡️ Основные возможности Traitor
➡️ Автоматизированный анализ системы:
• Сканирование на наличие потенциальных путей эскалации привилегий.
• Проверка на уязвимые бинарные файлы с правами SUID/SGID.
• Обнаружение нестандартных настроек sudo и cron.
➡️ Автоматическая эксплуатация уязвимостей:
• Использует известные эксплойты для повышения привилегий.
• Выполняет атаки на основе обнаруженных проблем конфигурации.
➡️ Информативный вывод:
• Предоставляет подробные отчёты о найденных уязвимостях.
• Предлагает рекомендации по устранению проблем.
➡️ Поддержка популярных векторных атак:
• Обнаружение уязвимостей в настройках PATH.
• Проверка на небезопасные монтирования файловых систем.
• Использование некорректно настроенных бинарных файлов.
➡️ Кроссплатформенность:
• Работает на большинстве дистрибутивов Linux.


⬇️ Установка и использование

1️⃣ Скачивание готового бинарного файла
Разработчики предоставляют готовые сборки Traitor для различных платформ. Чтобы установить последнюю версию:
➡️ Перейдите на страницу релизов.
➡️ Скачайте версию, соответствующую вашей операционной системе:
• traitor-amd64 для Linux на архитектуре x86_64.
• traitor-arm64 для ARM-устройств.
➡️ Сделайте файл исполняемым:

chmod +x traitor

2️⃣ Запуск анализа:
Для поиска путей повышения привилегий выполните:

./traitor

3️⃣ Автоматическая эксплуатация:
Чтобы сразу попытаться использовать найденные уязвимости:

./traitor -a

4️⃣ Дополнительные параметры:
Просмотрите все доступные флаги:

./traitor --help

FileFix как альтернатива ClickFix. ClickFix — это атака методом социальной инженерии, которая побуждает пользователей неосознанно выполнять вредоносный код на их устройствах, обычно через диалоговое окно «Выполнить», которое вызывается клавишами Windows + R.

Независимый исследователь изобрел более изощренный метод атаки, который позволяет пользователям выполнять команды ОС, не выходя из браузера.

👌Функциональность загрузки файлов в браузере
Для создания кнопки загрузки файлов достаточно input HTML-элемента с атрибутом type и значением file.

<input type="file" />

😨При нажатии на кнопку «Выбрать файл» открывается окно проводника и адресную строку проводника можно использовать для выполнения команд ОС. Оказалось, что это НЕ заблокировано браузером. Например, запуская команду cmd /с ping example.com и глядя на дерево процессов Chrome, видно, что cmd.exe создается одним из многочисленных процессов Chrome.

💥 FileFix атака
Теперь остается придумать предлог, чтобы заставить пользователя вставить туда вредоносную команду. Учитывая, что проводник обычно ассоциируется с доступом к файлам, фишинговая страница может утверждать, что пользователь получил доступ к файлу, и предлагать ему найти его с помощью адресной строки в проводнике.

На фишинговой странице есть кнопка «Открыть проводник», которая при нажатии запускает проводник через функцию загрузки файлов и копирует команду PowerShell в буфер обмена. Очень удобно, что адресная строка может быть автоматически выделена с помощью CTRL + L или ALT + D, поэтому обязательно нужно об этом сказать в пользовательских инструкциях:

Кроме того, вредоносная команда PowerShell объединит фиктивный путь к файлу с комментарием, чтобы скрыть команду и вместо этого отобразить путь к файлу.

Блокировка выбора файла
Пользователь также может намеренно или случайно выбрать файл для загрузки, потому что, в конце концов, это и есть основная функция использования <input type="file">. В коде страницы содержаться строчки блокирующие загрузку, перехватывая событие выбора файла и немедленно очищая поле ввода, отображая сообщение и пытаясь снова открыть окно проводника.

🤛 FileFix2
При дальнейшем тестировании исследователь обнаружил ещё одно интересное поведение, характерное для метода выполнения в проводнике. У исполняемых файлов (например, .exe) при выполнении через адресную строку проводника удаляется атрибут Mark of The Web (MOTW).

Исследователь понял, что это может быть использовано потенциальными злоумышленниками, заставив кнопку «Открыть проводник» загружать файл, копировать %USERPROFILE%\Downloads\payload.exe в буфер обмена и открывать окно проводника. Если предположить, что загруженные файлы сохраняются в %USERPROFILE%\Downloads, это должно запустить полезную нагрузку.

Однако у этого варианта есть недостаток, который следует учитывать. Microsoft Defender и Google Safebrowsing обычно предупреждают пользователей перед сохранением исполняемых файлов, поэтому пользователю может потребоваться сделать больше кликов, чтобы заставить его работать.

Демоверсию представленного варианта атаки можно увидеть здесь.

❗️Учитывая нынешний всплеск атак с использованием ClickFix, нетрудно представить, как эта техника применяется для того, чтобы обманом заставить пользователя неосознанно выполнить вредоносную команду. Стоит отслеживать в браузерах любые подозрительные дочерние процессы (например, cmd.exe, powershel.exe, mshta.exe).

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Мировая знаменитость

🌍 Категория Веб — Тссс, 9.2.2.3!
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Реверс-инжиниринг - Обычная капибара
🟠Стеганография - Письмо Деду Морозу

Приятного хакинга!

🔗 Urx

Инструмент командной строки, предназначенный для сбора URL-адресов из OSINT-архивов, таких как Wayback Machine и Common Crawl. Написан на языке Rust для повышения эффективности, использует асинхронную обработку для быстрого запроса нескольких источников данных. Упрощает процесс сбора информации о URL-адресах для заданного домена, предоставляя полный набор данных, который можно использовать для различных целей, включая различного рода тестирования безопасности.

Характеристики
🌟Параллельная выборка URL-адресов из нескольких источников (Wayback Machine, Common Crawl, OTX);
🌟Возможность фильтровать результаты по расширениям файлов, шаблонам или предустановленным параметрам;
🌟Поддержка нескольких форматов вывода: обычный текст, JSON, CSV, вывод результатов на консоль или в файл, либо возможность передачи их через стандартный ввод для интеграции в конвейерную обработку;
🌟Фильтрация и проверка URL-адреса на основе кодов состояния и HTTP-шаблонов;
🌟Возможность извлечения дополнительных ссылок из собранных URL-адресов;
🌟Хорошо работает в связке с другими инструментами для разведки.

🚘 Установка

git clone https://github.com/hahwul/urx.git
cd urx
cargo build --release
После компиляции инструмент будет доступен по пути target/release/

👩‍💻Примеры использования
Вывод в формате JSON
./urx example.com -f json -o results.json

Фильтрация на основе кода состояния HTTP
./urx example.com --include-status 200,30x,405 --exclude-status 20x

Извлечение дополнительных ссылок из собранных URL-адресов
./urx example.com --extract-links

Исключение URL-адресов из карты сайта

./urx example.com --exclude-sitemap

Использование провайдеров VirusTotal и URLScan

./urx example.com --providers=vt,urlscan --vt-api-key=*** --urlscan-api-key=***

Исключение определенных шаблонов

./urx example.com --exclude-patterns static,images

Как защитить IT-инфраструктуру компании от хакеров и утечек? 🔐

Под руководством опытных кураторов вы разберётесь в ключевых процессах мониторинга безопасности и научитесь внедрять их на практике

🔴Подробнее

Что ждёт на курсе?
✨ Threat Intelligence & Hunting — ищем угрозы
✨ Vulnerability & Patch Management — закрываем дыры быстрее хакеров
✨ Incident Response (IR) — отрабатываем атаки по шагам
✨ Администрирование СЗИ — настраиваем защиту как профи

Что получите в итоге?
🔸Готовые схемы защиты под разные бизнес-сценарии
🔸 Навыки, которые ценят в SOC, CERT и отделах безопасности
🔸Сертификат

Кому подойдёт?
✅ Начинающим специалистам по инфобезопасности
✅ Сисадминам, которые хотят перейти в ИБ
✅ IT-специалистам, уставшим от "латания дыр" без системы

🔴 Успейте записаться до 7 августа

🚀 По всем вопросам пишите @Codeby_Academy

Depix

Depix — инструмент для восстановления паролей из пикселизированных снимков экрана.

💡Описание:
⏺️Эта реализация работает на пикселизированных изображениях, созданных с помощью линейного блочного фильтра.

📎Установка:

git clone https://github.com/spipm/Depixelization_poc.git

cd Depixelization_poc

📌Использование:

python3 depix.py -p [PATH_TO_IMAGE] -s images/searchimages/[PATH_TO_IMAGE].png

Вы можете посмотреть, находит ли детектор коробок ваши пиксели с помощью tool_show_boxes.py.

python3 tool_show_boxes.py -p [PATH_TO_IMAGE] -s images/searchimages/[PATH_TO_IMAGE].png

AutoRecon: Автоматизированный инструмент для сбора информации в пентесте

AutoRecon — это инструмент для автоматизированного сбора информации при проведении тестов на проникновение. Разработанный Tib3rius, он объединяет множество популярных утилит (таких как nmap, masscan, gobuster, nikto и другие) в единый конвейер, минимизируя ручной труд и ускоряя процесс разведки.

🌟 Возможности
- Автоматическое сканирование портов (с использованием masscan и `nmap`)
- Определение сервисов и запуск соответствующих инструментов для углублённого анализа
- Структурированное сохранение результатов в отдельные директории
- Поддержка многопоточности для ускорения сканирования
- Гибкая настройка через конфигурационные файлы

⬇️ Установка
Перед использованием необходимо установить зависимости:

git clone https://github.com/Tib3rius/AutoRecon.git
cd AutoRecon
pip install -r requirements.txt

Для корректной работы также потребуются установленные в системе nmap, masscan и другие используемые утилиты.

Для полноценного сканирования лучше установить все зависимости:

sudo apt install feroxbuster oscanner tnscmd10g

➡️ Пример использования
Базовое сканирование одной цели

python3 autorecon.py 127.0.0.1

Сканирование нескольких целей

python3 autorecon.py 192.168.1.100 192.168.1.101 192.168.1.102

Сканирование подсети

python3 autorecon.py 192.168.1.0/24

Структура выходных данных
После завершения работы AutoRecon создаёт следующую структуру директорий:
results/
└── 192.168.1.100/
├── scans/
│ ├── _quick_tcp_nmap.txt
│ ├── _full_tcp_nmap.txt
│ └── _udp_nmap.txt
├── exploit/
├── loot/
└── report/

🙂Преимущества перед ручным сканированием
🔸Скорость — параллельное выполнение задач сокращает время разведки.
🔸Полнота — автоматический запуск релевантных инструментов снижает риск пропуска важных данных.
🔸Стандартизация — единый формат отчётов упрощает анализ результатов.
🔸Масштабируемость — возможность сканирования множества целей без дополнительных усилий.

❌Ограничения
- Требует предустановленных зависимостей (`nmap`, masscan и др.)
- Может оставлять заметные следы в логах из-за агрессивного сканирования
- Не заменяет ручной анализ критически важных систем

Используйте этот инструмент только в образовательных целях.

От теории к практике: топ платформ по кибербезопасности

Хотите перейти от теории к реальным навыкам в информационной безопасности, но не знаете, с чего начать?

💡Мы подготовили подробный гайд по лучшим платформам для легальной практики в ИБ.

В статье разбираем:
💫Онлайн-лаборатории — готовые тренажеры с задачами по взлому, защите и расследованию инцидентов.
💫Локальные стенды — как создать свою лабораторию для тестирования уязвимостей.
💫Кому какая платформа подойдет — для новичков, специалистов Red Team и Blue Team

📍Узнайте, где безопасно оттачивать навыки и как выбрать подходящий формат обучения.

➡️Читайте полный обзор в статье!

dnslog

dnslog — Минималистичный инструмент для ведения журнала DNS.

💡Описание:
⏺️Захватывает весь трафик DNS и сохраняет его текстовое представление (в сжатом виде) в /var/log/dnslog/[DATE].log.gz.

📎Установка:

git clone https://github.com/stamparm/dnslog.git

sudo apt-get install python3-pcapy python3-dpkt

cd dnslog

📌Использование:

sudo python3 dnslog.py

⏺️Найти все запросы DNS (A) для (вредоносного) домена на дату:

zcat /var/log/dnslog/[DATE].log.gz | grep "Q A" | grep [DNS]

FastIR

👺 FastIR Collector - инструмент для быстрого сбора криминалистических артефактов (Fast Forensics) с хостов на ОС Windows. Данная утилита предназначена для оперативного реагирования на инциденты и форензики для быстрого определения признаком компрометации системы.

👑 Особенности:
🟣 Сбор артефактов на включенной системе
FastIR работает на включенной системе, что позволяет избежать простоев и сохранения актуального состояния системы, при расследовании инцидентов данный фактор является особенно важным
🟣 Важные данные
Утилита собирает только наиболее информативные и часто используемые артефакты, связанные с активностью ВПО и/или с подозрительными действиями в системе
🟣 Быстрота
Среднее время работы утилиты - 5 минут
🟣 Гибкость
FastIR позволяет настроить под себя сбор данных и исключать не нужные для анализа информацию еще на стадии сбора

⚠️ Для запуска утилиты необходима УЗ с правами администратора

Чтобы запустить утилиту в стандартном режиме, необходимо в командной строке от имени администратора выполнить:

./fastIR_x64.exe 

Для сбора данных в конкретную папку необходимо добавить флаг —output_dir (по умолчанию создается директорию /output):

./fastIR_x64.exe --packages all --output_dir your_output_dir

Чтобы применить свой собственный профиль извлечения данных необходимо добавить флаг —profile:

./fastIR_x64.exe --profile you_file_profile

Kadimus: Утилита для тестирования веб-приложений на уязвимость к LFI

Kadimus — это специализированный инструмент с открытым исходным кодом для автоматизированного поиска и эксплуатации уязвимостей локального включения файлов (Local File Inclusion, LFI) в веб-приложениях.

⚡️ Основные возможности Kadimus
➡️ Обнаружение уязвимостей LFI:
• Поиск уязвимых конечных точек, где передача некорректных параметров позволяет атакующему получить доступ к локальным файлам сервера.
➡️ Эксплуатация LFI:
• Чтение конфиденциальных файлов (например, /etc/passwd).
• Эксплуатация уязвимостей для выполнения команд через лог-файлы, загрузки или другие методы.
➡️ Модульность:
• Интеграция различных методов эксплуатации, включая техники bypass и фильтрацию.
➡️ Интерактивность:
• Поддержка интерактивного режима для более глубокого исследования уязвимостей.
➡️ Гибкость настройки:
• Возможность ручной конфигурации запросов и полезных нагрузок.

⬇️ Установка и использование
1️⃣ Установка Kadimus
Убедитесь, что у вас установлен компилятор GCC и библиотеки для работы с libcurl. Затем выполните следующие команды:

git clone https://github.com/P0cL4bs/Kadimus.git
cd Kadimus
make

2️⃣ Запуск анализа LFI
Для базового сканирования уязвимой конечной точки:

./kadimus -u "http://example.com/page.php?file=../../../../etc/passwd"

3️⃣ Эксплуатация через лог-файлы
Если у вас есть доступ к логам:

./kadimus -u "http://example.com/page.php?file=../../../../var/log/apache2/access.log" --log

4️⃣ Байпас фильтров
Kadimus включает возможности обхода фильтров:

./kadimus -u "http://example.com/page.php?file=php://filter/convert.base64-encode/resource=index.php"