Postagens

Repositório especial Github

Imagem
É possível criar um repositório "especial". Seu README.md aparecerá em seu perfil público! Se você tentar criar um repositório com o mesmo nome de seu nome de usuário do GitHub, uma pequena mensagem aparecerá informando que você encontrou um "segredo". Deixe-me te mostrar!      Criando o Repositório Para começar, precisamos acessar github.com/new para criar um novo repositório, o truque aqui é fazer com que o nome do Repositório seja igual ao do Proprietário. No meu caso, meu user é MrCl0wnLab, então meu nome de repositório é MrCl0wnLab. Assim que tiver o nome correto, você receberá uma mensagem informativa dizendo que este é um repositório especial.   1 github.com/new No meu caso aparece uma mensagem em vermelho, pois já tenho o repo criado. 2 github.com/{SEU_USER}/{SEU_USER} O meu possui os detalhes criados, pois como informei já tenho editado.   3 Editar o arquivo README.md Em seu README.md vai aparece algo semelhante a isso, porem comentado . outro detalhe é

Dash Receita Federal with PyQt5

Imagem
  This is the study of an interface with PyQt5 / Python - Receita Federal - Modern Gui [Qt Designer, PyQt5]. The Federal Revenue is an agency that supervises and collects taxes that are collected by the Brazilian federal government. With the computerization of services, it is necessary to think about Experience and Interface Design to deliver the best to the taxpayer citizen. This repository had as a reference the redesign( modern ) project prepared by Gabriel Valladão.   Using Qt Designer Qt Designer is the Qt tool for designing and building graphical user interfaces (GUIs) with Qt Widgets. You can compose and customize your windows or dialogs in a what-you-see-is-what-you-get (WYSIWYG) manner, and test them using different styles and resolutions. Qt Designer: https://doc.qt.io/qt-5/qtdesigner-manual.html Required packages $ pip install -r requirements.txt Use $ python main.py Files . ├── assets │ ├── files.py │ ├── files.qrc │ ├── img │ │ ├── *.png │ ├

Simple Recon Subdomain

Imagem
This is very basic automated recon script tool. I used web tools for enumerate host and ip.   TARGET IS A MAGIC STRING curl -s "https://rapiddns.io/subdomain/TARGET?full=1#result" | awk -v RS='<[^>]+>' '/$1/' | sort -u >>TARGET-rapiddns.txt curl -s "https://riddler.io/search/exportcsv?q=pld:TARGET" | grep -Po "(([\w.-]*)\.([\w]*)\.([A-z]))\w+" | sort -u >>TARGET-riddler.txt curl -s "https://jldc.me/anubis/subdomains/TARGET" | grep -Po "((http|https):\/\/)?(([\w.-]*)\.([\w]*)\.([A-z]))\w+" | sort -u >>TARGET-jldc.txt curl -s "https://crt.sh/?q=%25.TARGET&output=json" | jq -r '.[].name_value' | sed 's/\*\.//g' | sort -u >>TARGET-crt.txt curl -s "https://dns.bufferover.run/dns?q=.TARGET" | jq -r .FDNS_A[] | sed -s 's/,/\\n/g' | sort -u >>TARGET-bufferover.txt cat TARGET-*.txt | sort -u >TARGET.txt;cat TARGET.txt -n  U

Scan IP Checker CVE-2020-5902

Imagem
Checker CVE-2020-5902: BIG-IP versions 15.0.0 through 15.1.0.3, 14.1.0 through 14.1.2.5, 13.1.0 through 13.1.3.3, 12.1.0 through 12.1.5.1, and 11.6.1 through 11.6.5.1 suffer from Traffic Management User Interface (TMUI) arbitrary file read and command execution vulnerabilities. Os dispositivos BIG-IP, fabricados pela F5 Networks, integram funções como gerenciar tráfego de rede, gerenciamento de segurança de aplicativos e load balancing. BIG-IP são hardware que tem diversas funcionalidades internas que ajudam no gerenciamento e segurança. O pesquisador da Positive Technologies Mikhail Klyuchnikov que descobriu tal vulnerabilidade RCE registrada com CVE-2020-5902. A vulnerabilidade descoberta pode ser usada para criar ou excluir arquivos, executar comandos no sistema. VERSÕES AFETADAS 15.0.0–15.1.0.3 14.1.0–14.1.2.5 13.1.0–13.1.3.3 12.1.0–12.1.5.1 11.6.1–11.6.5.1 CORREÇÃO TEMPORÁRIA ( httpd config ) include ' <LocationMatch ".\*\.\.;.\*"&g

Class SenderMailgun in PHP

Imagem
Class PHP criada para envio simples de email via API Mailgun O usuário deve cadastrar seu domínio dentro da plataforma mailgun e assim gerando os valores de DNS records que será cadastrada em sua zona DNS. Verifying Your Domain https://documentation.mailgun.com/en/latest/user_manual.html#verifying-your-domain Access Your Domains https://app.mailgun.com/app/sending/domains Access Your Private API Key https://app.mailgun.com/app/account/security/api_keys Implementation Code require_once('SenderMailgun.php'); # Open file key $key = file_get_contents('key'); # Instantiate the client. SenderMailgun::$api_key = $key; # Data params email. $params = [ 'from'=> 'Your Name ', 'to'=>'your-client@gmail.com', 'subject'=>'Your subject', 'html'=>'Black Friday!!!' ]; # Action sender. SenderMailgun::send_mail('marketing.imaginarionerd.com.br',$params); print_r(SenderMailgun:

Body Web Sextortion (webcam blackmail) / Anti-Grep

Imagem
Sextortion is back Sextorsão ( do termo em inglês sextorsion ) é o termo que designa a prática de extorsão a partir da ameaça de exposição de supostas fotos ou vídeos sexuais das vítimas na Internet. Os criminosos intimam divulgar o material a amigos e parentes caso a pessoa não cumpra o favor pedido dentro de um curto período de tempo. Algumas vezes, os golpistas não têm qualquer conteúdo comprometedor da vítima em mãos, mas utilizam mecanismos bastante convincentes para que ela realmente acredite no golpe. Técnica usada: A vitima recebe um email com seguinte padrão exemplo: "Estou bem ciente de que XXXXXXXXX é a sua senha". Com a diferença, é claro, que no lugar dos X está a sua combinação verdadeira de alguma senha vazada do usuário. E complemento informando ter um vídeo íntimo seu e que você tem 24 horas para salvar a sua pele. Sextortion tem seu sucesso por usar dados vazados de vitimas assim adquirindo um contexto maior de veracidade da ameaça contida no

Information Gathering: Coleta de email em Posts do Linkedin

Imagem
As redes sociais são um buraco sem fim quando se trata de usuários expondo dados pessoais. isso qualquer analista de segurança sabe, e tal característica  pode ser usado como uma fonte rica para ataques direcionados. Criou-se um comportamento padrão em post's LinkedIn onde o "influenciador" posta um X conteúdo e para você reles mortal ter acesso, tem que fazer um comentar com seu e-mail para o tal "coach" enviar o resto do conteúdo ou uma planilha mágica. Técnica: Basicamente encontramos uma padrão de URL nos posts do LinkedIn e com tal informação é possível criar dorks de busca e extrair os emails. Exemplo de urls: https:// www.linkedin.com/pulse/ planilha-de-controle-ordem-produção-marcos-rieper/ https:// www.linkedin.com/pulse/ planilha-para-avaliação-de-desempenho-e-competências-plano-garcia/ https:// www.linkedin.com/pulse/ planilha-teste-para-estagiárioxlsdownload-gratuito-arthur/ Identificando o padrão de string www.linkedin.com/pulse