🚩 HackTheBox. Прохождение Bashed, FluxCapacitor, CrimeStoppers, Chatterbox с разными уровнями сложности | Привет, друг. На связи Эллиот.

Для начала добавим ip-адрес в файлик hosts.

Проведем начальное сканирование masscan-ом, будем сканировать все TCP и UDP порты со скоростью 500 пакетов в секунду, через интерфейс tun0 и посмотрим результат.

⏺ Ссылка на Bashed (Ультра-легкий)
⏺ Ссылка на FluxCapacitor (Средний)
⏺ Ссылка на CrimeStoppers (Сложный)
⏺ Ссылка на Chatterbox (Легкий)

#CTF #HackTheBox #Пентест #RedTeam #HTB

🤒 Лучшие инструменты для поиска уязвимостей сайтов | Привет, друг. На связи Эллиот.

Не всегда самые дорогие баги, обнаруженные в рамках баг-баунти, — это классика типа XSS/SQL или ошибки логики работы приложения.

Утечка логов, доступ к критичным файлам и сервисам без авторизации, сессионные и авторизационные токены, исходные коды и репозитории — все это может быть использовано злоумышленниками для успешных атак, поэтому и платят за такие штуки тоже неплохо.

— В данном материале рассмотрим полезные инструменты для поиска уязвимостей сайтов.

⏺ Ссылка на чтиво

#Scanning #Search #Vulnerability

👮‍♀ Crazyradio PA: мощный хакерский инструмент для беспроводных атак | Привет, друг. На связи Эллиот.

Одним из мощных инструментов для исследований и тестирования беспроводных систем безопасности является Crazyradio PA.

Crazyradio PA — это USB-радиомодуль, основанный на чипе nRF24LU1+ от Nordic Semiconductor. Этот модуль работает в диапазоне 2.4 ГГц и используется для передачи и приёма данных.

— В данном материале мы рассмотрим, что такое Crazyradio PA, как он работает и как его можно использовать в различных сценариях.

⏺ Ссылка на чтиво

#Crazyradio #Mousejack #USB #Пентест #Hack #Cybersecurity

👩‍💻 Шпаргалка по локализации узких мест в Linux: топ утилит на все случаи жизни | Привет, друг. На связи Эллиот.

Когда сервер «лежит», нет времени вспоминать синтаксис команд. Классическая схема Брендана Грегга работает лучше с добавлением eBPF-утилит.

Дебаг делится на слои:
1. Приложения: strace ловит висящие сисколлы, gethostlatency — задержки DNS.
2. Ядро: perf профилирует CPU, ftrace трассирует внутренние вызовы.
3. Накопители: fatrace мониторит I/O, slabtop выявляет раздувание кэша.

Этот арсенал покрывает всё от VFS до аппаратных прерываний.

— В данном материале автор собрал тулзы с картинками, а также добавил опенсорсных утилит, которые пригодятся для мониторинга. Протестируем диагностические команды.

⏺ Ссылка на чтиво

#Linux #Web #Hosting #VDS #Monitoring #Admin #DevOps

✔️ Цифровой суверенитет в кармане: почему пора поднять свой Matrix-сервер, пока мессенджеры лихорадит | Привет, друг. На связи Эллиот.



Собственный сервер — это не паранойя, а гигиена в современном цифровом мире. Matrix Synapse (эталонная реализация сервера) предлагает уровень безопасности, который многим коммерческим продуктам только снится. Matrix — это не просто чат, это платформа.



— В данном материале описывается простой и безопасный способ поднятия собственного Matrix Synapse сервера с компонентами web интерфейса пользователя и видеосвязи на основе opensource скрипта.

Материал состоит из 2-х частей, теоретической и практической.

⏺ Ссылка на чтиво

#Matrix #Element #Encryption #Messenger #Synapse #Security

🥸 Наконец-то: AmneziaWG в Mikrotik | Привет, друг. На связи Эллиот.

Для Mikrotik'ов на базе Arm, Arm64 и Amd64 создана рабочая реализация AmneziaWG для подключения к AmneziaWG и AmneziaVPN серверам.

— Для воспроизводимой настройки создан небольшой конфигуратор, который по входному amneziawg.confформирует набор команд для RouterOS Terminal (и скрипт очистки): https://amneziawg-mikrotik.github.io/awg-proxy/configurator.html.

Итоговый контейнер весит очень мало, почти не потребляет ЦПУ (1-2%), использует 7-10 МБ Ram на ARM64.

⏺ Ссылка на чтиво
⏺ Ссылка на GitHub

#AmneziaWG #Mikrotik #Wireguard #Network #Admin

😡 Telegram-боты в OSINT: поиск и анализ информации | Привет, друг. На связи Эллиот.

Telegram-боты давно перестали быть просто вспомогательным инструментом. В OSINT они нередко оказываются не менее эффективными, чем классические сервисы и платформы.

— В данном материале мы подробно разберем ТГ-ботов, которые используются для пробива и анализа информации о пользователях, и покажем, в каких скриптах они действительно работают.

⏺ Ссылка на чтиво

#OSINT #Telegram #Bot

👩‍💻 Учим Linux: Файловая система | Привет, друг. На связи Эллиот.

Давайте не будем вдаваться в элементарные подробности терминологии - что такое файловая система и тому подобное.

— Данный материал подготовлен для новичков и специалистов, желающих обновить свои знания. Автор постарался написать коротко и по сути.

Материал содержит:

1. Файловая система
2. Пользователи и группы
3. Права доступа
4. Процессы и система
5. Сеть
6. Логи и мониторинг
7. Hardening и безопасность
8. Пакеты и обновления
9. Скриптинг и автоматизация
10. Криптография и сертификаты
11. Контейнеры (Linux-уровень)

⏺ Ссылка на чтиво

#Linux #Terminal #CheatSheet #Commands #Admin #File

🤒 Полный контроль, захват сетей и обход паролей. Две критические уязвимости затронули оборудование Cisco по всему миру | Привет, друг. На связи Эллиот.

Атаки на сетевое оборудование Cisco оказались настолько серьёзными, что власти США задействовали особый режим.

Агентство по кибербезопасности и защите инфраструктуры США CISA выпустило экстренную директиву, обязательную для всех гражданских федеральных ведомств.

— Речь идёт о CVE-2026-20127, которая позволяет удалённо обойти аутентификацию и получить административные права, и CVE-2022-20775, с помощью которой злоумышленник может повысить привилегии до root и выполнить произвольные команды.

⏺ Ссылка на чтиво

#News #Cisco #0day #FiveEyes #CISA #Root #CVE #Vulnerability

👮‍♀ Инструменты для усиления разведки | Привет, друг. На связи Эллиот.

1. Gospider — инструмент для быстрого сканирования веб-сайтов. Этот мно­гопо­точ­ный кра­улер может вытащить пол­ную струк­туру сай­та одной коман­дой. Ана­лизи­рует sitemap.xml и robots.txt. Уме­ет зап­рашивать дан­ные из Wayback Machine, Common Crawl, VirusTotal и AlienVault OTX. Ищет ссыл­ки в JS-фай­лах. Вытас­кива­ет под­домены.

2. SecretFinder — инструмент для поиска, извлечения и анализа жёстко закодированных секретов, ключей API, токенов доступа и другой чувствительной информации в файлах JavaScript.

3. JSluice — это открытый пакет на языке Go и инструмент командной строки для извлечения информации из файлов и кода на языке JavaScript. 

4. xnLinkFinder — инструмент на Python, который позволяет находить конечные точки, потенциальные параметры и списки слов для заданной цели путём сканирования или анализа различных источников ввода. 

5. Arjun — инструмент для обнаружения скрытых HTTP-параметров в веб-приложениях. Он автоматизирует процесс перечисления параметров GET и POST, помогает исследователям безопасности выявлять потенциальные поверхности для атак. 

6. Dalfox — это открытый инструмент для сканирования XSS и анализа параметров, ориентированный на автоматизацию. Может использоваться для поиска отражённых параметров, точек инъекции, проверки заголовков и других уязвимостей, таких как SQLI, SSTI, открытые перенаправления и CRLF.

7. Caido — это лёгкий инструмент для аудита безопасности веб-приложений с открытым исходным кодом. Он позволяет выявлять потенциальные уязвимости в веб-приложениях с помощью различных тестов, включая HTTP-запросы, манипуляции с параметрами и инъекцию полезной нагрузки. 

#Tools #Recon #Network #Burp #XSS #Web #Vulnerability

🖥 Сборка Docker для микросервисов: 7 шагов к идеальному образу | Привет, друг. На связи Эллиот.

В данном материале поговорим о том, что часто остаётся за кадром хайповых докладов — о конкретной, измеримой эффективности Docker-образов. О том, как сборка образа перестаёт быть «лишь бы запустить» и превращается в инженерную дисциплину, влияющую на скорость деплоя, безопасность и даже кошелёк компании.

— Рассмотрим на реальных примерах, как оптимизация образа может сократить время развёртывания в 5–7 раз, и рассмоирим, какие практики сегодня используют команды, которым действительно важно доставлять код быстро и надёжно. Где можно научиться проектировать такие системы не на костылях, а на рельсах современных подходов.

⏺ Ссылка на чтиво

#Docker #Microservices #DevOps #Optimization #Containerization

👮‍♀ OSINT & Cybersecurity Materials: Облачная библиотека обучающих материалов и инструментов | Привет, друг. На связи Эллиот.

OSINT & Cybersecurity Materials — это публичный архив на Google Drive для предоставления доступа к структурированной коллекции знаний по разведке и кибербезопасности.

— Содержит книги, подборку руководств (PDF), чек-листов, обучающих курсов и списков специализированного ПО, охватывающих темы поиска информации по открытым источникам, анонимности и этичного хакинга.

⏺ Ссылка на материал

#OSINT #Cybersecurity #Recon #Anonymity #Пентест

🐶 Как автоматизировать обход DPI? | Привет, друг. На связи Эллиот.



B4 — инструмент обхода разноуровневых DPI на Go с удобной веб-мордой. Работает на уровне ядра Linux через NFQUEUE - перехватывает сетевые пакеты и применяет к ним техники обхода.

B4 — один бинарник, который ставится одной командой, настраивается из браузера и умеет сам подбирать рабочую стратегию. Работает на Linux - от VPS до роутера на MIPS.

— В данном материале оценим архитектуру и интерфейс решения.

⏺ Ссылка на чтиво

#Network #DPI #Go #Linux #YouTube #VPS

😎 «Разблокируй телефон» — реализация фейкового мессенджера для допроса | Привет, друг. На связи Эллиот.

Жёсткое изъятие смартфона ведёт к сливу переписки. Но если при разблокировке ввести запасной PIN-код, загрузится убедительная, но полностью сгенерированная база данных.

Никаких пустых логов — всё выглядит как рутинное общение с семьёй.

— В данном материале разберем архитектуру целиком: от криптографического разделения баз до генерации правдоподобных фейков и маскировки panic-алерта под рутинный сетевой запрос. Весь код — из реального проекта.

⏺ Ссылка на чтиво

#SQL #Android #Security #Messenger #Encryption #Cryptography #Forensics #OpenSource #Mobile

😂 OSINT и деанонимизация по никнейму: как закрыть уязвимые места | Привет, друг. На связи Эллиот.

OSINT-среда охотится за постоянными идентификаторами.

Никнейм для этого подходит: публичная строка нередко оказывается уникальной, поисковики исправно её индексируют, агрегаторы собирают упоминания. Кеши, репосты и утечки баз данных доклеивают оставшиеся кусочки.

В результате один логин превращается в карту цифровой жизни — иногда слишком подробную.

— В данном материале разберём, как именно никнейм становится связкой аккаунтов. С примерами типовых цепочек и практическим чеклистом.

⏺ Ссылка на чтиво

#OSINT

❗️ Сайт Роскомнадзора третьи сутки под DDoS-атакой, специалисты РКН продолжают её отражать | Привет, друг. На связи Эллиот.

Начались третьи сутки инцидента с доступностью сайта Роскомнадзора.

Ресурс продолжает находиться под международной DDoS-атакой, которая начала ослабевать. Специалисты РКН продолжают её отражать.

«В настоящее время атака продолжается. Ведётся работа по локализации источников атаки, мест расположения ботнетов»

— сообщили в Роскомнадзоре.

— По информации СМИ, сайты Роскомнадзора, Минобороны РФ и ГРЧЦ подверглись DDoS-атаке.

⏺ Ссылка на чтиво

#News #РКН #DDoS #Attack #Network #IT

🤠 Maltego: полный гид по мощному инструменту для OSINT | Привет, друг. На связи Эллиот.

Maltego — это многофункциональная платформа для проведения OSINT-расследований, которая позволяет собирать, анализировать и визуализировать данные из различных источников.

В мире современных технологий и информационной безопасности, оперативная и точная информация играет ключевую роль.

Одним из ведущих инструментов для Open Source Intelligence (OSINT) является Maltego.

— Данный материал предназначен для тех, кто хочет понять, что такое Maltego, как его использовать и какие преимущества он предоставляет.

⏺ Ссылка на чтиво

#OSINT #Maltego #Network #Recon #Kali #Linux #Tools

🚩 Инструменты CTF соревнований | Привет, друг. На связи Эллиот.

В данном материале автор собрал список наиболее часто используемых инструментов при участии в соревнованиях CTF.

Содержание материала:

1. Сеть
Сканирование портов
Другое
Веб-приложение
2. Хеширование и криптография
Онлайн
Офлайн
3. Стеганография и скрытые данные
Стеганография
Скрытые данные
Реверс-инжиниринг
Эксплуатация

⏺ Ссылка на чтиво

#Tools #CTF #Network #Hash #Cryptography #Steganography

📞 PhoneInfoga: продвинутая OSINT-утилита для анализа телефонных номеров | Привет, друг. На связи Эллиот.



PhoneInfoga — это открытая утилита, разработанная для сбора информации о телефонных номерах с использованием только бесплатных ресурсов. Она позволяет получить данные о стране, операторе связи, типе линии (мобильная или стационарная) и многом другом.

В условиях стремительного роста цифровой информации и киберугроз инструменты для сбора данных о телефонных номерах становятся всё более востребованными.

— В данном материале мы рассмотрим, что она может дать как старожилам OSINT и простым новичкам.

⏺ Ссылка на чтиво

#PhoneInfoga #OSINT #VoIP #Python #Mobile #Analysis

🥸 I2P vs Tor: почему невидимый интернет безопаснее, но сложнее? Подробный гайд по настройке | Привет, друг. На связи Эллиот.

Когда речь заходит о «невидимом интернете», большинство пользователей вспоминают Tor. Браузер скачал, кнопку нажал, в сеть вышел. Всё просто. Но за пределами привычных .onion-сайтов существует другая инфраструктура — I2P, Invisible Internet Project. I2P редко обсуждают в массовых гайдах, хотя архитектура проекта во многих аспектах даёт более высокий уровень скрытности.

Парадокс в том, что именно повышенная безопасность делает I2P заметно сложнее для новичков.

Tor создавался как инструмент анонимного доступа к обычному интернету. I2P проектировали иначе: как полностью изолированную сеть, где сервисы изначально живут внутри системы.

— Разница в философии приводит к серьёзным отличиям в модели угроз, настройке и повседневном использовании.

⏺ Ссылка на чтиво

#I2P #Tor #Anonymity #Darknet #Security #Browser