💻 Журнал Хакер

#pentest #books

💻 Тестирование на проникновение с Kali Linux

Всем, кто интересуется информационной безопасностью. Если ты хочешь не просто «почитать о безопасности», а понять всё на практике.

Kali Linux — легендарный дистрибутив для хакеров и пентестеров.
⚡️ Сотни встроенных инструментов для разведки, сканирования, эксплуатации и постэксплуатации.

🔍 От пассивного OSINT-а до активного вторжения.
🔐 От первой уязвимости — до полного контроля над системой.
📡 От сетей и веба — до Wi-Fi, баз данных и социальных атак.

Никакой теории ради теории. Только практический подход:
🟢Ты запускаешь Kali — и сразу в бой.
🟢Примеры, сценарии, цепочки — всё по делу, как это делают настоящие пентестеры.

🔥 Обновлённая версия 2025 года!

#books

💻 Огромная коллекция видео по поиску уязвимостей веб-приложений.

Полезные материалы по тестированию веб-приложений на различные уязвимости. Все гайды разбиты на категории, в зависимости от типа атак и уязвимостей.

⚠️ Информация предоставлена исключительно с целью ознакомления. И побуждает обратить внимание на проблемы в безопасности.

⚙️ GitHub/Инструкция

#soft #code #python #github

💻 Netcat для пентестера

Netcat — утилита в Unix, позволяющая устанавливать соединения TCP и UDP, принимать оттуда данные и передавать их.

#doc

🔥 Полезные библиотеки Python

Wapiti — один из самых мощных пентест-сканеров для веба.
Без лишней теории — просто запускаешь, и он тестирует твой сайт как хакер.

🔍 Как работает?
Ведёт себя как настоящий атакующий:
фаззит, сканирует формы, линкуется по сайту, шлёт payload’ы и ищет уязвимости.
Никакого доступа к коду — только black-box.

Что умеет:

🧨 SQL-инъекции, XSS, LFI, RCE, LDAP, XXE и десятки других атак.
🧠 Распознаёт CMS, плагины, поддомены, редиректы, SSRF, Shellshock и CVE.
🔐 Проверяет куки, заголовки, HTTP-методы и формы входа.
📁 Находит резервные копии, директории и опасные файлы (как DirBuster).
💾 Сохраняет сессии и репорты в HTML, JSON, XML.
💬 Есть цвета в терминале и куча настроек (прокси, user-agent, куки из браузера и т.п.).
💬 Работает даже с REST API и умеет подгружать свой Python-код для сложной авторизации.

Установка: pip install wapiti3
Запуск: wapiti -u https://target.com

💻 Отличный инструмент, чтобы тестировать свои сайты или тренироваться на тестовых стендах.

⚙️ GitHub/Инструкция
💻 Документация

⚠️ Информация предоставлена исключительно с целью ознакомления. И побуждает обратить внимание на проблемы в безопасности.

Сохрани — пригодится 👍

#pentest #redteam #soft #github

🔥 Linux Privilege Escalation. Огромный практический гайд по повышению привилегий в Linux системах

Если ты когда-либо пробовал пентестить Linux-системы — ты знаешь: эскалация привилегий — это момент истины. Без неё ты всего лишь гость. С ней — root.

💻 Этот материал — настоящее руководство по повышению прав доступа на Linux.
Пошагово. От простого к сложному. Для пентестеров, CTF-игроков и всех, кто хочет понять внутренности Linux не снаружи, а изнутри.

❗️ Что внутри:
– Поиск слабостей и эксплойтов.
– Эскалация через sudo, SUID, cron, нестандартные конфигурации.
– Расшифровка поведения процессов.
– Подходы к персистентности и боковому перемещению.
– Сценарии из реальных атак.

⚙️ Один из лучших практических разборов на тему.

💻 Сохраняй и учись!

#doc #pentest #linux #cheatsheet

💻 Начинаем в багбаунти: топ-10 (или нет?) инструментов для профессионального похека

👨‍💻 Главные инструменты для поиска уязвимостей, которые я использую в ежедневной работе. Это не подборка ради подборки: для каждого инструмента приведу пример из собственной практики, чтобы было понятно, где и как их применять.

⌨️ Если ты:
— изучаешь практическую безопасность,
— не знаешь, что качать из сотен сканеров и снифферов,
— или хочешь реально понять, что нужно использовать, — этот материал тебе в копилку.

🎯 Читабельно, полезно и с уклоном в реальный хак.

#doc #article #pentest #redteam

😂 Б — безопасность. В копилку последним новостям о крупных взломах...

С добрым утром! ☕️

💻 С нуля до Zero-Day: как находят уязвимости в реальном мире

Если ты когда-нибудь хотел по-настоящему вкатиться в багхантинг, а не просто читать про CVE с чашкой кофе — это твой момент.

🕵️‍♂️ Эжен «Spaceraccoon» Лим — белый хакер мирового уровня, лауреат HackerOne H1-Elite и спикер DEF CON, рассказывает, как он реально находит уязвимости. Прямо по шагам.

Внутри ты найдёшь:
💬 Ретроспективный разбор известных багов и CVE.
💬 Как анализировать open-source и embedded-цели.
💬 Построение устойчивого фреймворка для поиска багов.
💬 Реальный workflow, от сканирования до репорта.

🔥 Материал — не «почитать на ночь», а погружение в mindset багхантера: как мыслить, искать, копать и ломать.

Будь ты новичок в security или уже нюхаешь пакеты tcpdump’ом — ты точно заберёшь отсюда практику.

💻 Главное — это не теория, а практика.

Не просто «где найти уязвимость», а как её понять, воспроизвести и превратить в CVE.

#pentest #books #redteam

💻 HackTheBox Walkthrough на русском языке, огромная практическая подборка прохождения машин от RalfHacker с Хабра

➡️ Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.

➡️ Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.

➡️ Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.

➡️ Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.

#article #doc #pentest #redteam

💻 Сталкер показал как легко вскрыть защиту телефона за несколько секунд!

Пароль не перебирается подряд по цифрам — 💬 используется словарь с самыми популярными кодами.

⌨️ Дальше — дело техники: скрипт сам подтянул софт с GitHub, установил его, а злоумышленник получил полный доступ:

📱камера, SMS, фото и даже переписки.

Если отдаёте телефон в ремонт (экран, батарея и т.д.) — старайтесь присутствовать.

💻 Имба для хакеров и киберсамураев — гигантская база знаний, и она абсолютно БЕСПЛАТНА.

Даже если ты полный ноль, разберёшься — всё написано простыми словами, без занудных формул и лишней воды с множеством примеров и пояснением.

⚡️ Что внутри?
🟢Реальные кейсы атак на корпорации с разбором, как это происходило.
🟢Чёткие гайды по защите от DDoS, утечек и прочего цифрового зла.
🟢Полный набор тулз для пентеста: сканеры, эксплойты, трекеры и OSINT-инструменты.

💀 Сохраняем и пробуем ТУТ!

Это твой входной билет в мир хакинга и кибербеза 👍

#soft #pentest #redteam #cheatsheet #doc

😱 Ништяки подъехали!

Огромная шпаргалка по SQL-инъекциям — от базовых примеров до самых жёстких трюков для разных СУБД (MySQL, MSSQL, Oracle, PostgreSQL, DB2, Access и др.).

⚡️ Внутри:
💬 Уязвимости в формах авторизации и обход логина.
💬 Трюки для обхода Firewall и IDS/IPS.
💬 Перебор БД, таблиц и колонок через information_schema.
💬 Получение пользователей и паролей (SELECT user, password FROM mysql.user;).
💬 Blind, Error-based и Time-based атаки.
💬 Создание и удаление аккаунтов в базе.
💬 UNION-инъекции для слияния данных из разных таблиц.
💬 Локальный доступ к файлам через SQL-запросы (LOAD_FILE, BULK INSERT).
💬 Сброс привилегий и назначение себя админом базы.
💬 Обход хэшей и вход под админом без пароля и д.р.

🔥 Короче: от простых тестов типа OR 1=1 до продвинутых техник по DNS-эксфилтрации и time-delay атакам.

Мастхэв шпаргалка для пентестеров, багхантеров и всех, кто хочет прокачать свои навыки SQLi.

⚠️ Только для обучения и легального тестирования безопасности.

Сохраняй! 👍

#redteam #cybersec #pentest #cheatsheet

💻 Kali Linux — твой боевой набор для пентеста!

Kali — это не просто дистрибутив, а целая экосистема с сотнями инструментов для тестирования безопасности. Во втором издании разобрали всё: от базовых техник до реверса и цифровой криминалистики.

Внутри найдёшь:
🟢Основы Kali Linux и настройка рабочего окружения.
🟢Разведка и поиск уязвимостей.
🟢Автоматизированные эксплойты и работа с Metasploit.
🟢Тестирование беспроводных сетей.
🟢Взлом и аудит веб-приложений.
🟢Техники подбора и взлома паролей.
🟢Продвинутые концепции для профессионалов.
🟢Реверс-инжиниринг и анализ софта.
🟢Цифровая криминалистика: диски, память, артефакты.
🟢Как грамотно оформлять отчёты для клиентов и компаний.

💀 Это мощный гид, который превращает Kali Linux в полноценную платформу: от разведки до отчётности по результатам пентеста.

#pentest #redteam #books

😨 Удар ниже пояса...

Хакеры создали троян 💻Stealerium, который включает твою вебку и делает фото при просмотре пРоно.

Вирус мониторит работу браузеров в режиме нонстоп, и как только засекает взрослый контент делает скриншоты.

😱 Дальше — хуже: сталкеры обещают разослать кадры твоим друзьям, коллегам и даже бабушке в WhatsApp, если не заплатишь.

Плюс вирус ворует всё подряд: пароли, карты, крипту.

📸 Заклеиваем вебку немедленно!

С добрым утром! ☕️

🔒 weakpass — онлайн ресурс с огромной коллекцией словарей для брутфорса, которую ежедневно используют пентестеры со всего мира!

Доступ к ресурсу абсолютно бесплатен, без лимитов на использование и без раздражающих капч. Поиск происходит на стороне клиента, без отправки данных на сервер 😎

Сервис также предлагает API для интеграции и автоматизации работы ваших инструментов. Более того, вы можете загрузить все словари для создания внутренних решений, которые помогут регулярно проверять соответствие парольной политике вашей компании.

📂 Сохраняем

#soft #pentest