Поднимаем свой, приватный прокси-сервер

Сегодня мы будем поднимать анонимный и действительно шустренький proxy/socks сервер для себя-любимого. Так чтоб настроить его один раз, да и забыть — пускай пыхтит да нам на радость.

Будем считать что ты уже приобрел себе простенький vps, в качестве ОС выбрал Cent OS 7 и подцепился к нему по SSH, наблюдая девственную чистоту. Первым делом тюним SSH:

Подробнее под катом

Брутим пароли с Гидрой (hydra)

Статья носит носит строго познавательный характер, за применение кем либо описанных в статье методик автор ответственности не несет.

В тот момент, когда пинтест заходит в тупик — одним из крайних аргументов в тесте на проникновение является подбор паролей. Сервисы, к которым можно применить данный метод атаки — самые различные. А как следствие — различны и протоколы, и форматы обращений. Надо бы как то унифицировать инструменты для решения этой задачи — не хорошо под каждый новый случай писать новый брутер своими ручками.

И такой инструмент уже имеет место быть. Быстрый, сочный, достойный внимания — THC-Hydra. Версия 7.5 (из репозитория epel) поддерживает подбор по/для: asterisk cisco cisco-enable cvs firebird ftp ftps http[s]-{head|get} http[s]-{get|post}-form http-proxy http-proxy-urlenum icq imap[s] irc ldap2[s] ldap3[-{cram|digest}md5][s] mssql mysql nntp oracle-listener oracle-sid pcanywhere pcnfs pop3[s] postgres rdp rexec rlogin rsh sip smb smtp[s] smtp-enum snmp socks5 ssh sshkey svn teamspeak telnet[s] vmauthd vnc xmpp. Примеры эксплуатации мы рассмотрим чуть ниже, а пока — посмотрим как можно заполучить данный инструмент в свой арсенал.

Под катом описание всех флагов и живые примеры

Как «накрутить лайки» в Instagram, используя уязвимость приложения «GetLikes» для iOS

Данный пост является повторением действий, описанных хабраюзером jo1n в его посте на хабре

Дисклеймер: Все действия носят сугубо познавательный характер. Более того — «накручивать лайки» — дело лишенное какого-либо смысла, всё рассмотренное ниже стоит рассматривать только как познавательный материал

Для того, чтоб «накрутить лайки» мы будем использовать одну уязвимость, найденную тов. jo1n в приложении «GetLikes» для iOS, которая позволяет получать «монеты» в одноименном приложении без выполнения каких-либо действий (таких как установка «лайков» другим участникам приложения), и в последствии тратить их на то, чтоб нам к нашим фотографиям ставили массово эти самые «лайки».

Подробнее под катом