Will put here some penetration testing tools that might be useful
MiTM Attacks: Man in the Middle Attack with Ettercap #mitm #ettercap #cybersecurity
src : https://twitter.com/three_cube/status/1382771831266942976
Autosploit: The Powerful Marriage of Shodan and Metasploit
src : https://twitter.com/three_cube/status/1379926071471038465
اضافه HackTools في متصفح firefox لجعل حياه مختبر الاختراق اسهل اذا كنت تلعب CTF او تحب تحل تحديات hackthebox او كنت full time pentester هذه الاداه بتعجبك. تخصر وقت كبير جداً شرحت بعض مميزاتها في هذه التدوينه
link : https://www.buhaimedi.com/penetration-testing/firefox_tool_for_pentester_hacktool/
src : https://twitter.com/buhaimedi/status/1371319670549180423
link : https://www.tqtechs.com/2020/05/kali-linux-tools.html
link : https://wikikali.blogspot.com/2019/05/kali-tools.html
src : https://twitter.com/2linuxorg/status/1360230470647169027
اداة Fawkes مبنية بلغة البايثون ، وتستخدم للبحث عن مواقع مصابة بثغرة SQL Injection بإستخدام محرك البحث Google.
رابط الاداة على موقع GitHub :
link : https://github.com/0xdutra/fawkes
src : https://twitter.com/IT2CAM/status/1347567586884657158
اداة headi تقوم بعمليات حقن واستغلال الاخطاء في عملية اعداد خوادم الويب وهي مفيدة في اصطياد الثغرات و اختبار الاختراق
link : https://github.com/mlcsec/headi
src : https://twitter.com/MAlajab/status/1346194946928345091
سويت Mind map لبعض أهم أوامر لينكس الخاصة في الشبكات و النظام و العمليات و المستخدمين والصلاحيات والملفات والمجلدات والتعامل مع الأوامر والبحث مع شرح مختصر للأوامر.
src : https://twitter.com/marm_ad/status/1320066535130566657?s=20
ماهي اداة Twint 🛠 ؟
هي اداة مكتوبة بلغة Python ، وهي لجمع البيانات من خلال تويتر ، بدون استخدام API. ويمكنك جمع البيانات عن اشخاص او منشأت او شركات وغيرها. ماهي مميزات اداة twint مقارنة بـTwitter API 🛠 ؟
1- اداة Twint تلتقط جميع التغريدات ، لكن Twitter API يلتقط كحد اقصى 3200 تغريده. 2-تثبيت سريع للاداة. 3- لا تتطلب تسجيل دخول لتويتر. 4- يمكن استخدامها بدون حدود. امثلة لجمع البيانات من خلال تويتر 💻:
- يمكن جمع البيانات عن اسم مستخدم ، او عن كلمة محدده بحساب محدد. -يمكن جمع البيانات من احداثيات موقع محدد ، يخرج لك مثلا جميع التغريدات التي تم ارسالها من حي محدد.
- يمكن جمع البيانات عن المتابعين لشخص محدد او للذين يتابعهم وغيرها.
link :
src : https://twitter.com/IT2CAM/status/1296865291784380416
بيئات ومواقع اختبار اختراق
link : click here
src : https://twitter.com/khaliidvip/status/1289220174277730304
اختراق عن طريق جوجل
link : https://threadreaderapp.com/thread/1205400779957440512.html
src : https://twitter.com/_Y000_/status/1205400779957440512
فكرة الاداة 🛠 :
زي مانعرف فيه كثير من التطبيقات والمواقع يطلبون منك صلاحيات مثل صلاحيات الكاميرا و المايك وغيرها والاغلب يوافق على هذي الصلاحيات ، وفكرة الاداة انها تسوي رابط ويرسله المُخترق للضحية ويوافق على الصلاحيات ( اللي اغلب الناس ماينتبهون لها ) وبعدها تبدا تصور من الكاميرا الامامية وهذي الصور توصل للمُخترق بسهوله وبسرعة ، و بالشرح بالمقطع بنشوف سهولة العملية واتمنى الكل ينتبه للبرامج والمواقع اللي يعطيها صلاحيات. بنستخدم بالشرح اداتين
الاداة الاولى Selfie Hack 🛠 : مثل مايتم انشاء صفحات مزورة لسحب بيانات مثل كلمة المرور وغيرها هذي الاداة تسوي لك صفحة وتطلب صلاحية الوصول للكاميرا وبعدها تبدا تاخذ اكثر من صورة من الكاميرا الامامية وترسلها للمُخترق. الاداة الثانية اداة Ngrok 🛠:
الاداة تقوم بفتح بورت داخل الشبكة والبورت هو البوابه او السيرفر الذي يساعد المُخترق بإستقبال البيانات من جهاز الشخص المستهدف.
link : https://rattibha.com/thread/1275464711421689858?lang=ar
src : https://twitter.com/IT2CAM/status/1275464711421689858
الثغرات وأنواعها
link : click here
link : https://rattibha.com/thread/1272921805364310021?lang=ar
src : https://twitter.com/_SaudSubaie/status/1272921805364310021
أداة Eagle Eye للبحث عن حسابات المستخدمين في وسائل التواصل الاجتماعي انستغرام ، فيس بوك ، تويتر عن طريق الصورة الخاصه بالشخص او عن طريق الاسم .
link : https://github.com/ThoughtfulDev/EagleEye
src : https://twitter.com/Al7lhh223/status/1260288475351441408
TBomb tool 😎 SMS or Call bombing allows a hacker to send 100s of SMS in a min to the victim When hackers do the SMS or Call bombing then the victim's phone starts getting messages or Calls continuously .
link : https://www.learntermux.tech/2020/01/unlimited-sms-bombing-call-bombing-using-termux-2020.html
src : https://twitter.com/Al7lhh223/status/1260291917843255301
أداه phoneinfoga tool للبحث وجمع معلومات عن آي شخص في العالم من خلال رقم هاتفه OSINT
src : https://twitter.com/Al7lhh223/status/1265804011187376130
أداة TIDoS : تحتوي على مجموعة أدوات #اختبار_اختراق تطبيقات الويب .
link : https://github.com/0xInfection/TIDoS-Framework
src : https://twitter.com/HAQWI_SA/status/968473961024622597
أداة BtleJuice : اختبار اختراق البلوتوث ( Bluetooth ) عبر Man-in-the-Middle مرتبط بواجة رسومية سلهة الاستخدام . حماية البلوتوث ضرورية .
link :
src : https://twitter.com/HAQWI_SA/status/972123665788784641
أداة PCUnlocker : مخصصة لاستعادة حسابك في ويندوز Windows عن طريق أداة PCUnlocker القوية عن طريق حذف الباسورد بكل سهولة .. بل تعتبر من أفضل و أسهل الطرق .. كل ما تحتاجه هو برنامج حرق iso2disc على USB أو اي برنامج أخر
link :
src : https://twitter.com/HAQWI_SA/status/973172436127625216
أداة GYOITHON : اختبار اختراق تطبيقات الويب معتمدة على قاعدة بيانات الميتاسبلويت Metasploit واستغلالها عن الميتا أيضا .. تم عرض الاداة في معرض Black Hat عام 2018
link :
src : https://twitter.com/HAQWI_SA/status/980767778872446976
أداة CLOUDKiLL3R : مخصصة لتخطي حماية وخدمة Cloudflare عن طريق ثغرة ByPasses تعتمد على TOR BROWSER و مترجم البايثون .. مفيدة في عملية اختبار الاختراق .
link :
src : https://twitter.com/HAQWI_SA/status/980772832778051584
أداة Parat : مخصصة للتحكم والاتصال عن بعد للنظام سواء Linux أو Windows وتستخدم أيضا لنقل الملفات بشكل آمن عبر تشفير IPv4 , يمكن استخدامها على سيرفرات المواقع واختبار حمايتها .
link :
src : https://twitter.com/ykuwaiti2/status/987922439807041542
أداة Fuxploider : هالأداة جداً مفيدة في #اختبار_الاختراق لفحص ثغرات الأبلود Upload عن طريق الملفات المسموحة بأكثر من طريقة مفيدة لأصحاب المواقع والسيرفرات ومختبري الاختراق والحماية .
link :
src : https://twitter.com/HAQWI_SA/status/1000019184846278656
أداة MimiPenguin : تستخدم في سحب اليوزر والباسورد من أنظمة Linux و البرامج مثل ( Debian - Ubuntu - VSFTPd - Apache2 - OpenSSH ) مفيدة في استعادة الحسابات و أيضا لمختبري الاختراق ترفع على السيرفرات لاختبار الحماية .
link :
src : https://twitter.com/HAQWI_SA/status/1000393090425901056
أداة iOSCrack : لفك وكسر قفل كلمة المرور لنسخ الاحتياطية للآيفون والآيباد < بشرط أن تكون النسخة الاحتياطية غير مشفرة >
مفيدة للمهندسين ولمختبري اختراق الحماية وأيضا قد تحتاجها في وقت لاحق .
link :
src : https://twitter.com/HAQWI_SA/status/1001516526036508674
أداة PwnedOrNot : للتحقق من البريد الالكتروني ( Email ) هل مخترق أم لا ... فكرة الأداة أنها تعتمد على موقع Pastebin للبحث فيه عن بيانات الإيميل والباسورد إن وجد . تعمل الأداة على جميع المنصات Windows - Linux وأيضا على تعمل على الجوال .
link :
src : https://twitter.com/HAQWI_SA/status/1002921543012319233
مشروع Archerysec : لمساعدة المطورين والخبراء على إجراء عمليات الفحص وإدارة الثغرات الأمنية من خلال منصات أدوات اختبار اختراق الشبكات و تطبيقات الويب .
يستخدم أدوات مثل :
OpenVas
OWASP ZAP
Nessus
Arachni
Burp Suite
link :
src : https://twitter.com/HAQWI_SA/status/1004058034115612672
أداة تمكنك من الحصول على صلاحيات الأدمن في نظام Windows 10 بدون معرفة كلمة المرور بطريقة سهلة وسريعة .. مفيدة لمختبري الاختراق وأيضا مهندسي الحاسب وقد تحتاجها مستقبلاً .
link : https://github.com/WindowsExploits/Exploits/tree/master/CVE-2017-0213/Binaries
src : https://twitter.com/HAQWI_SA/status/1038900393575673856
منصة ANDRAX : منصة #اختبار_اختراق الأخلاقي لهواتف الأندرويد مفتوحة المصدر وهي منافسة لــ NetHunter - أكثر من 200 أداة متقدمة للأمن والحماية أيضا قوة المنصة وسرعتها .. مناسبة جداً لمختبري الاختراق عن طريق الهواتف الذكية . #HAQWI
link :
src : https://twitter.com/HAQWI_SA/status/1065647251912081408
أداة DeepSearch : للبحث عن ملفات ومسارات المواقع و السيرفرات وبشكل فعال مناسبة لحماية الموقع والبحث عن الــ Shell و Backdoor على السيرفر من خلال الفحص ثم تغيير مسارها . #HAQWI
link :
src : https://twitter.com/HAQWI_SA/status/1065660633293774848
أداة RedLogin : مخصصة لاختبار اختراق بروتوكول SSH عن طريق خدمة Brute-force تتميز الأداة بالسرعة تستطيع أيضا إضافة قواميس لليوزر و الباس .
link :
src : https://twitter.com/HAQWI_SA/status/1065663284622356480
أداة XAttacker : بلغة البيرل Perl تعمل على فحص المواقع CMS والإضافات والسيرفرات من الثغرات ومسارات الملفات وأيضا قواعد البيانات المحفوظة على السيرفر Backup .. مفيد لمختبري الاختراق وأصحاب المواقع خصوصا لتقييم وحماية الموقع . #HAQWI
link :
src : https://twitter.com/HAQWI_SA/status/1068564801037787136
أداة Pydictor : من أفضل الأدوات لمختبري الاختراق وتحديد لهجمات Brute-Force تم عمل هذه الأداة لاستخدامها لأسلوب الهندسة الاجتماعية لبناء محتوى قوي .. تعتبر الأداة متقدمة والتعامل معها من محترفي اختبار الاختراق .
link :
src : https://twitter.com/HAQWI_SA/status/1070056369682870273
أداة HT-WPS BREAKER : بلغة bash script لاختبار اختراق الشبكات تمكنك من الحصول على رمز WPS الخاص بالراوتر تحتوي على مجموعة أدوات منها Aircrack - Reaver - Piexiewps مفيدة لمختبري الحماية وأيضا اختبار حماية الراوتر الخاص بك .
link :
src : https://twitter.com/HAQWI_SA/status/1072125723803074562
أداة SCI : ختصار Smali Code Injector تستخدم الأداة في أسلوب الهندسة العكسية لتطبيقات الأندرويد Android عن طريق حقن كود داخل ملفات Smali ويصعب التفريق بين التطبيقات الرسمية والمعدلة . مفيدة للباحثين ومختبر ي الاختراق والحماية .
link :
src : https://twitter.com/HAQWI_SA/status/1072358077205266432
أداة PROWL : بلغة البايثون - مخصصة للبحث عن عناوين البريد الإلكتروني بشكل منظم في ملف csv لكي يتم استخدامها في الهندسة الإجتماعية .. لذلك احذر من من الرسائل على البريد الغير معروفة المصدر .. والتحقق والفحص مهم جداً .
link :
src : https://twitter.com/HAQWI_SA/status/1075645426219528193
أداة Dr0p1t : مخصصة لإنشاء حصان طروادة " Trojan " صغير الحجم لأنظمة Windows و Linux لديه قدرة عالية على حذف أثاره مما يصعب عملية التحقيق الرقمي يكتشف مكافح الفيروسات ويعطله ثم تشغيل الملفات كمسؤول ... لذلك تعزيز حماية الجهاز عملياً .
link :
src : https://twitter.com/HAQWI_SA/status/1078984624146128897
أداة Idisagree الإحترافية للتحكم واختبار الاختراق الأنظمة " Windows - Linux “ والتحكم بها عن بعد عن طريق انشاء Token Bot .. مفيدة لمختبري اختراق الأجهزة وأيضا للمهتمين بحماية الأجهزة .
link :
src : https://twitter.com/HAQWI_SA/status/1079692255152222209
أداة Dzjecter : للمهتمين باختبار اختراق المواقع و السيرفرات توفر كل مجموعة أدوات مهمة على السيرفر مثل سحب الكونفق وتشفير وفك الهاش ورفع الشل والبحث عن لوحة التحكم وفحص البوتات والآبي وفحص ثغرات SQL على السيرفر
link :
src : https://twitter.com/Cyber_Queens10/status/1092460396223565824