Search the Community

Norton Power Eraser – это полноценный и эффективный инструмент поиска вирусов — при проверке он обнаружил и безопасным способом удалил несколько потенциально нежелательных и вредоносных программ с моего компьютера. Программа имеет минимальный функционал, поэтому она очень проста в использовании. После загрузки вам будет предложено выполнить полноценное сканирование на руткиты или один из четырех продвинутых вариантов сканирования: Поиск нежелательных приложений. Сканирует все файлы программ на наличие потенциально нежелательных программ и предлагает удалить их из системы.Поиск известных угроз. Сканирует выбранную папку на наличие известных вредоносных программ, используя базу данных вредоносных программ Norton.Сканирование системы. Сканирует операционную систему на наличие уязвимостей.Сканирование нескольких ОС. Продвинутая версия сканирования системы, которая позволяет выполнять сканирование компьютеров с несколькими операционными системами.Поиск руткитов занял около 90 минут и обнаружил 100% вредоносных программ, которые я сохранил на компьютере. Поиск известных угроз за несколько секунд смог обнаружить и удалить вредоносные программы из выбранных мной папок.

mXtract — это наступательный экстрактор и анализатор памяти. mXtract — это инструмент с открытым исходным кодом для Linux, который анализирует и сохраняет содержимое процессов в оперативной памяти. Он создан как наступательный инструмент для тестирования на проникновение, его главная цель — это сканировать оперативную память в поисках приватных ключей, IP адресов и паролей используя регулярные выражения. Помните, ваши результаты настолько хороши, насколько хороши ваши регулярные выражения. Почему брать результаты напрямую из памяти? В большинстве рабочих окружений Linux пользователь могут получить доступ к памяти процессов, это позволяет атакующим собрать учётные данные, ключи или что угодно ещё, что не подразумевается как видимое, но обрабатывается программами в виде простого текста. Особенности Ввод списока регулярных выражений Ясные и читаемые результаты Проверка, является ли диапазон памяти читаемым с текущими разрешениями Вывод в XML и HTML вместе с выводом по умолчанию в терминал (имя процесса:результат) Массовый скан каждого процесса или определённого PID Выбор раздела памяти для скана Показ подробной информации о процессе Скан файлов рабочей среды процесса Дампы памяти автоматически удаляют символы Unicode, что позволяет обрабатывать их другими инструментами или вручную Домашняя страница: https://github.com/rek7/mXtract Список команд: Примеры запуска mXtract. Установка mXtract. Установка в Kali Linux. Установка в BlackArch. Программа предустановлена в BlackArch.

Привет, сегодня расскажу, как взломать роутер вашего неприятеля. Взлом роутера обычно является либо самой простой, либо самой сложной задачей - его сложность варьируется от ввода имени пользователя и пароля по умолчанию, пытаясь попасть внутрь роутера по telnet или ssh. В обоих этих случаях перебор паролей не очень полезен, но это довольно простой метод. Я собираюсь использовать роутер CBN CH6640E. Хорошенько погуглив, вы поймете, что он не новый, был выпущен в 2011 году, а также есть целый пост в exploit-db.com об этом говорит многое). Но скажу следующее: Это роутер, который используется в домашних сетях, потому что он предоставляется многими интернет-провайдерами, поэтому многие люди страдают от этих уязвимостей. Ну ладно, теперь к делу. ЭТАП I. НАЙДИ IP РОУТЕРА. Т.к данный шаг самый простой, и имеется множество способов сделать это, то просто приведу несколько различных возможностей: Проверка сетевых настроек с помощью панелей настроек ОС Использование ipconfig в Windows и ifconfig на машинах Unix из терминала Использование Fuzzer в качестве инструмента обнаружения цели. Найденный IP роутера - 192.168.0.1 ЭТАП II. СОБЕРИ ТРАФИК. Хороший способ начать, будет исследовать веб-сервер роутера для чего-то за пределами того, что видно невооружённым глазом. Используем HTTPView и анализируем трафик от первой попытки входа в систему. Чтобы облегчить задачу, применяем некоторые фильтры, избавляясь от медиа и стилей ответов с сервера. ЭТАП III. ПРОАНАЛИЗИРУЙ ТРАФИК И НАЙДИ УЯЗВИМОСТИ. Теперь, когда имеем нужное количиство данных, мы должны проанализировать его, чтобы увидеть, найдена ли интересная информация. Сразу можно игнорировать все файлы jQuery, а также языковые файлы или, не начинать поиск оттуда. Т.к работа идет в Chrome, нет возможности анализировать ответы прямо из HTTPView, поэтому нужно реплицировать запрос в Rest и выполнять там анализ. Имеется интересная штука, найденная здесь - /menu.html Присмотритесь хорошенько. Определение функции readCookie отсутствует, можно с уверенностью предположить, что она считывает файл cookie, а userData-это имя этого файла cookie. Из строки 247 можно понять, что значение данного файла cookie должно быть root. Чтобы изменить куки, используем расширение EditThisCookie и добавляем файл куки с упомянутым именем и значением. ЭТАП IV. ПРОСКАНИРУЙ РОУТЕР НА НАЛИЧИЕ ДРУГИХ ROOT'ОВ. Делая попытки перемещаться в любом месте, мы встретим экран входа в систему. Нужно что-то, необходимое для изменения настроек роутера. У нас есть доступ к гораздо большему количеству страниц, поэтому, стоит сделать сканирование на маршрутизаторе. Поэтому используем сканер с установленным файлом cookie userData=root. В addiotion, включу опцию "направленное сканирование" на вкладке второго пилота, чтобы сканер полагался на наши действия в качестве ввода. После запуска сканера перейдите к 5-10 страницам на маршрутизаторе, которые требуют входа в систему, например /basicSetup.html и / или basicDHCP.html и пусть инструмент делает свою работу. Когда траффик перестал поступать, начинаем анализировать результаты для интересных выводов. Рекомендую сортировать результаты по пути, чтобы убедиться, что не пропущено ни одного важного файла или каталога. ЭТАП V. ПОЛУЧИ ПОЛНЫЙ КОНТРОЛЬ. DocsisConfigFile.xml - файл, который содержит кучу полезной информации о конфигурации маршрутизатора, посмотрим внутренности. Это определенно работает - файл содержит много интересной информации, включая имя пользователя и пароль в обычном тексте, благодаря которым получен полный доступ. Заключение. Даже каких-либо 0day экплоитов нам не понадобилось, чтобы получить полный контроль над роутером.. Сразу предупреждаю, что написана статья лишь для ознакомления и предназначена для вашей же безопасности.

Cloudflare – это некая прокладка между посетителем и самим сайтом. Она работает в виде прокси, только в обратную сторону, тем самым давая некоторые возможности в виде кэширования страничек, защиту от ддос-атака, ботов и так далее. Также cloudflare маскирует настоящий ип-адрес сервера, на котором стоит сам сайт. Он использует собственные сервера имен, которые необходимы для отправки ответов на DNS-запросы и преобразование имя хоста в ип-адрес. Это значит, что создатель сайта использует для своего домена NS-сервера, они в ответ на DNS-запрос отсылают его в cloudflare, при этом получив страницу сервера, где находится сайт, после чего показывает данный сайт посетителю, которые сделал на это запрос. Это значит, что после этого настоящий ип-адрес неплохо скрывается. Если cloudflare будет правильно настроен, то истинный ип-адрес вычислить будет невозможно, ведь он никогда не раскрывается и никуда не записывается. Однако как мы знаем, людям свойственно ошибаться, это не стало исключением. Именно поэтому сегодня создают утилиты, которые пытаются найти уязвимости в опциях Cloudflare. Например, я могу рассказать о такой утилите, как CloudFail. Собственно именно об этой программе и пойдет речь в данной статье. Что такое CloudFail и как он работает Независимо от типа сайта он может иметь поддомен, как пример: site.org.ru. Количество таких доменов является неограниченным, а каждый такой домен может иметь собственный ип-адрес. Это значит что для site.org записывается один ип-адрес, для site.org.ru записывается уже другой ип-адрес и так по нарастающей. Бывают такие моменты, когда в DNS-записях первого домена написан адрес cloudflare, а это значит что DNS-записи для поддомена данного сайта ведут на другой ип-адрес, который не подключен к защите от cloudlfare. Это значит, что настоязий ип-адрес может быть раскрыт. Просто так мы не можем получить весь список субдоменов. А это значит все варианты нужно будет перебирать и пересматривать. Как раз таки это и реализуется в данной программе. Често говоря, выполнение данных процессов являетя 3-ей стадией. На 1 данная программа получает список все возможных субдоменов, после чего проводит их проверку. На 2 стадии этот инструмент обращается к CrimeFlrae, который имеет у себя в распоряжении огромную базу ип-адресов использующихся для сайтов и находящихся под защитой cloudflare. Если сайт знает какой-то из этих ип-адресов, то он сразу же будет показан. Теперь уже на 3 стадии будет выполнен брут субдоменов по словарю. После проделывания данных пунктов, найти ип-адрес, который не будет защищен cloudflare, становиться не проблемой. Как установить CloudFail Чтобы установит данную программу, вы должны иметь любую Unix-подобную операционную систему, после чего в ней ввести данную команду: sudo apt update sudo apt install python3-pip git tor git clone https://github.com/m0rtem/CloudFail cd CloudFail/ sudo pip3 install -r requirements.txt Чтобы проверить работоспособность программы прописываем: python3 cloudfail.py -h Также перед тем как запустит программу в первый раз, а также примерно каждый месяц, стоит проверять ее на наличие обновление, делается это с помощью данной команды: sudo python3 cloudfail.py –u После его скачивания будет произведено обновление всех ип-адресов cloudflare, а также БД для CrimeFlare. Если вы хотите использовать программу через луковую сеть, то вам будет нужно запустить службу Tor: sudo systemctl start tor Если же вы не собираетесь использовать данную сеть, то данный шаг можно смело пропускать. Строчка is part of the Cloudlflare network! Означает, что данный сайт находится под защитой cloudflare. Если бы защиты не было бы, то сканирование сразу же остановилось, ведь в случае отсутствия защиты, данный скан является абсолютно бессмысленным. Строчка Testing for misconfigured DNS using dnsdumpster… означает, что первый этап получения известных субдоменов начался. Как вы могли заметить, в данных результат среди DNS-записей мы можем заметить MX-записи, которые ведут нас на сервисы электронной почты. Посмотрите внимательнее, в данном случае эти записи ведут нас не на субдомены, а на хосты Гугла. Об этом также свидетельствуют ип-адреса. Данные хосты не находятся под защитой, однако для нахождения настоящего ип-адреса они не подходят. Единственное что мы можем вытянуть от сюда это то, что данный сайт использует электронную почту от Гугл. Строчка Scanning crimeflare databse… означает, что этап поиска сайтов в базе данных начался. Строчка Did not find anything означает, что в базе данных ничего не нашлось Строчка Scannig 2897 subdomains (subdomains.txt), please wait.. означает, что этап перебора всех возможных субдоменов по словарю был начат. Красная строка говорит нам о найденных субдоменах, однако их ип-адрес защищен, а это значит, что они нам не нужны. Зеленая же строка говорит о том, что найденные субдомены не находятся под защитой, а значит их можно использовать для обнаружения настоящего ип-адреса. Как пример из данных скринов я могу указать mail.anti-malware.ru, но к сожалению, данный ип-адрес опять принадлежит Гугл. Однако мы нашли то, что искали, это строка test.anti-malware.ru – ип-адрес VPS сервера. Следующее сканирование, сайт – searchengines.guru Вот результаты сканирования: Из них мы можем понять, что первый и третий этап не показали нам никаких результатов. Зато в базе данных мы сразу нашли настоящий ип-адрес. Теперь сканируем searchengines.ru В первом этапе мы можем увидеть только почтовые сервисы Google. В базе данных информации по сайту нет ничего. Зато на третьем этапе мы нашли много интересной информации: [09:19:32] [FOUND:SUBDOMAIN] cdn.searchengines.ru IP: 54.192.98.230 HTTP: 403 [09:20:51][FOUND:SUBDOMAIN] link.searchengines.ru IP: 90.156.201.86 HTTP: 200 [09:21:06] [FOUND:SUBDOMAIN] mail.searchengines.ru IP: 64.233.164.121 HTTP: 200 Mail.searchengines ведет на ип-адрес электронной почты Cdn.searchengines.ru – находится под защитой, значит он нам не подойдет Однако, link.searchengines.ru имеет ип-адрес сторонненго сервера. Открыв данну страницу мы увидим богом забытый онлайн-сервис. Это и может являться ип-адресом данного сайта. Однако в любом случае, данной субдомен связан с искомым сайтом. Ип-адрес сразу же был найден в базе данных, однако такой же ип имеют и субдомены, это может быть особенностью DNS. В этих случаях сервисы от Гугл не используется, однако используется другой сервис – protonmail. Данный домен имеет в себе неплохие MX-записи, как вы могли заметить. Данный ип-адрес может быть не только искомым ип-адресом сайта, но еще и быть источником полезных данных о провайдере, который предоставляет услуги интернета. А с помощью whois мы можем узнать его адрес и номер телефона. Также зеленый субдомен является очень интересным. Ведь в нем есть информации о ином возможном ип-адресе сайта. Однако не стоит сомневаться, данный ип-адрес также связан с создателем сайта.