标签归档：pentesting

Social-analyzer-API、CLI和Web应用程序，用于分析和查找跨社交媒体/网站的个人资料

2021年7月24日 Python实用宝典

Social Analyzer-API、CLI和Web应用程序，用于分析和查找一个人在+800个社交媒体/网站上的个人资料。它包括不同的字符串分析和检测模块，您可以选择在调查过程中使用哪种模块组合

检测模块利用基于不同检测技术的评级机制，该机制产生从0到100(否-可能-是)的率值。本模块旨在减少误报，并在下面的文档中进行了说明Wiki链接

从该OSINT工具分析和公开提取的信息可以帮助调查与可疑或恶意活动相关的配置文件，例如cyberbullying，cybergrooming，cyberstalking，以及spreading misinformation

这个项目是“目前一些执法机构在资源有限的国家使用”

Social Analyzer is in a league of its own and is a very impressive tool that I thoroughly recommend for Digital Investigators and OSINT practitioners-由Joseph Jones, Founder of Strategy Nord, Unita Insight and OS2INT

更新

GUI版本的新更新-您可以生成类别统计信息。此外，您还可以在设置窗口中根据网站的全球排名选择网站🔥
CLI的新更新-您可以根据网站的全球排名选择网站，如-网站TOP10，-网站TOP123等。🔥
新的Social-Analyzer版本使用它自己的名为Ixora的自动图形可视化
我已经收到了很多公共和私人的请求，要求将静电网站的信息添加到检测数据库中，这一点正在实施中，+400%的检测应该有这样的要求。如果您有任何非私人模块，并且您无法查看静电网站的信息，请下载最新版本或发送电子邮件给我以了解详细信息

所以·社会我·迪·a

使用户能够创建和共享内容或参与社交网络的网站和应用程序-牛津词典

安全测试

-------------------------------------              ---------------------------------
|        Security Testing           |              |        Social-Analyzer        |
-------------------------------------              ---------------------------------
|   Passive Information Gathering   |     <-->     |   Find Social Media Profiles  |
|                                   |              |                               |
|    Active Information Gathering   |     <-->     |    Post Analysis Activities   |
-------------------------------------              ---------------------------------

应用程序

标准本地主机Web应用URL：http://0.0.0.0:9005/app.html

CLI

功能

字符串和名称分析(排列和组合)
使用多种技术(HTTPS库和WebDriver)查找配置文件
多层检测(OCR、普通、高级和特殊)
使用Ixora(元数据和模式)可视化配置文件信息
元数据和模式提取(从Qeeqbox OSINT项目添加)
元数据的强制有向图(需要ExtractPatterns)
自动调情到不必要的输出
搜索引擎查找(Google API-可选)
自定义搜索查询(Google API和DuckDuckGo API-可选)
个人资料屏幕截图、标题、信息和网站描述
按语言查找姓名来源、姓名相似度和常用词
自定义用户-代理、代理、超时和隐式等待
Python CLI&NodeJS CLI(仅限于FindUserProfilesFast选项)
用于更快检查的网格选项(仅限于对接合成)
将日志转储到文件夹或终端(美化)
调整查找\获取配置文件工作进程(默认值为15)
失败配置文件的重新检查选项
按好的、可能的和坏的过滤配置文件
将分析另存为JSON文件
简化的Web界面和客户端

特殊探测

Facebook(电话号码、姓名或个人资料名称)
Gmail(example@gmail.com)
谷歌(Google)(example@example.com)

安装和运行

Linux(作为节点WebApp)

sudo apt-get update
#Depedning on your Linux distro, you may or may not need these 2 lines
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y software-properties-common
sudo add-apt-repository ppa:mozillateam/ppa -y
sudo apt-get install -y firefox-esr tesseract-ocr git nodejs npm
git clone https://github.com/qeeqbox/social-analyzer.git
cd social-analyzer
npm install
npm start

Linux(作为python包)

sudo apt-get update
sudo apt-get install python3 python3-pip
pip3 install social-analyzer
social-analyzer --username "johndoe" --metadata
#or
python3 -m social-analyzer --username "johndoe" --metadata

Linux(作为python脚本)

sudo apt-get update
sudo apt-get install git python3 python3-pip
git clone https://github.com/qeeqbox/social-analyzer
cd social-analyzer
pip3 install –r requirements.txt
python3 app.py social-analyzer --username "johndoe" --metadata

作为对象导入(Python)

from importlib import import_module
SocialAnalyzer = import_module("social-analyzer").SocialAnalyzer(silent=True)
results = SocialAnalyzer.run_as_object(username="johndoe",silent=True)
print(results)

Linux、Windows、MacOS、Raspberry pi

检查一下这个wiki适用于所有可能的安装方法
检查一下这个wiki用于将社交分析器与您的OSINT工具、提要等集成

社交分析器–h

Required Arguments:
  --username   E.g. johndoe, john_doe or johndoe9999

Optional Arguments:
  --websites   Website or websites separated by space E.g. youtube, tiktok or tumblr
  --mode       Analysis mode E.g.fast -> FindUserProfilesFast, slow -> FindUserProfilesSlow or special -> FindUserProfilesSpecial
  --output     Show the output in the following format: json -> json output for integration or pretty -> prettify the output
  --options    Show the following when a profile is found: link, rate, title or text
  --method     find -> show detected profiles, get -> show all profiles regardless detected or not, both -> combine find & get
  --filter     Filter detected profiles by good, maybe or bad, you can do combine them with comma (good,bad) or use all
  --profiles   Filter profiles by detected, unknown or failed, you can do combine them with comma (detected,failed) or use all
  --extract    Extract profiles, urls & patterns if possible
  --metadata   Extract metadata if possible (pypi QeeqBox OSINT)
  --trim       Trim long strings

Listing websites & detections:
  --list       List all available websites

Setting:
  --headers    Headers as dict
  --logs_dir   Change logs directory
  --timeout    Change timeout between each request
  --silent     Disable output to screen

打开外壳

运行问题

请记住，现有配置文件显示status:good或rate:%100
一些网站返回blocked或invalid<-这是预期的行为
使用代理、VPN、ToR或任何类似方式定期检查可疑配置文件
请勿将FindUserProfilesFast与FindUserProfilesSlow和ShowUserProfilesSlow混合使用
将用户代理更改为最新的用户代理或增加请求之间的随机时间
使用慢速模式(CLI中不可用)以避免遇到阻塞\结果问题

目标

添加通用网站检测(这些需要一些审查，但我将在2021年尝试添加它们)

资源

DuckDuckGo API、Google API、NodeJS、bootstrap、选择化、jQuery、维基百科、font-awawed、Selenium-Webdriver&tesseract.js
如果我错过了参考资料或资源，请告诉我！

采访

Console 37

一些新闻\文章

INVESTIGATING USERNAMES WITH SOCIAL ANALYZER
5 Advance Open-Source Intelligence (OSINT) Tools
5 Open-Source Intelligence (OSINT) GitHub Repositories For Every Security Analyst (Cyber Security)
您可以在BlackArch通过安装贯入测试分发blackarch-social

免责声明\备注

请确保从GitHub下载此工具
这是一个安全项目(将其视为安全项目)
如果您希望将您的网站排除在此项目列表之外，请与我联系
此工具将在本地使用，而不是作为服务使用(它没有任何类型的访问控制)
有关以-private结尾的模块的相关问题，请直接联系我(不要在GitHub上打开问题)

其他项目

github

Ciphey-⚡在不知道密钥或密码的情况下自动解密加密、解码编码和破解散列⚡

2021年7月19日 Python实用宝典

使用自然语言处理和人工智能的全自动解密/解码/破解工具，以及一些常识

🤔这是什么？

输入加密文本，取回解密文本

“哪种类型的加密？”

这就是问题所在。你不知道，你只知道它可能是加密的。西菲会帮你想办法的

西菲可以在3秒或更短的时间内解决大部分问题。

Ciphey的目标是成为自动化大量解密和解码的工具，例如多基编码、经典密码、散列或更高级的密码术

如果您对密码学了解不多，或者您想在自己处理密文之前快速检查密文，Ciphey适合您

技术部分Ciphey使用定制的人工智能模块(自动搜索)，并带有密码检测接口用来近似加密的东西。然后是定制的、可定制的自然语言处理语言检查器界面，它可以检测给定文本何时变为明文。

这里没有神经网络或臃肿的人工智能。我们只用最快最少的东西

而这只是冰山一角。有关完整的技术说明，请查看我们的documentation

✨功能

支持50+加密/编码例如二进制、莫尔斯电码和Base64。经典密码，如凯撒密码、仿射密码和维吉内尔密码。以及现代加密，如重复密钥异或等。For the full list, click here
带有增强搜索的定制人工智能(AuSearch)，用于回答“使用了什么加密？”从而导致解密所需的时间不到3秒
定制的自然语言处理模块Ciphey可以确定某些内容是否是明文。无论明文是JSON、CTF标志还是英语，Ciphey都可以在几毫秒内得到它
多语言支持目前，只有德语和英语(带有AU、UK、CAN、USA变体)
支持加密和哈希而像CyberChef Magic这样的替代品是做不到的
C++ core惊人的速度

🔭Ciphey vs CyberChef

🔁base64编码42次

名字	⚡西菲⚡	🐢网络厨师🐢
GIF
时间	2秒	6秒
设置	对文件运行密码	将正则表达式参数设置为“{” 您需要知道要递归多少次你要知道一直到现在都是Base64 您需要加载CyberChef(它是一个臃肿的JS应用程序) 对CyberChef有足够的了解来创建这个渠道把火柴倒过来

_{注意事项gif可能会在不同的时间加载，因此一个gif的加载速度可能明显快于另一个gif。}
_{关于魔术的注解CyberChef与Ciphey最相似的功能是Magic。Magic在此输入上立即失效并崩溃。我们迫使CyberChef竞争的唯一方法是手动定义它}

我们还测试了CyberChef和Ciphey6 GB文件西菲破解了它5分54秒CyberChef还没开始就崩溃了

📊Ciphey vs Katana vs CyberChef Magic

名字	⚡西菲⚡	🗡️片名🗡️	🐢网络厨师魔术🐢
高级语言检查器	✅	❌	✅
支持加密	✅	✅	❌
以反乌托邦主题命名的发行🌃	✅	❌	❌
支持哈希	✅	✅	❌
易于设置	✅	❌	✅
我能猜出什么东西是用什么加密的	✅	❌	❌
由黑客为黑客创建	✅	✅	❌

🎬快速入门

如果您在安装Ciphey时遇到问题，read this.

‼️重要链接(文档、安装指南、不一致支持)

安装指南	文档	不和谐	Docker图像(来自REMnux)
📖Installation Guide	📚Documentation	🦜Discord	🐋Docker Documentation

🏃‍♀️运行Ciphey

有3种方法可以运行Ciphey

文件输入ciphey -f encrypted.txt
不合格的输入ciphey -- "Encrypted input"
正常方式ciphey -t "Encrypted input"

要消除进度条、概率表和所有噪音，请使用静音模式

ciphey -t "encrypted text here" -q

有关参数的完整列表，请运行ciphey --help

⚗️正在导入Ciphey

您可以导入Ciphey的Main并在您自己的程序和代码中使用它。from Ciphey.__main__ import main

🎪贡献者

Ciphey是由Bee2008年，并于2019年复兴。如果没有西菲，它就不会有今天的地位Cyclic3-UOL网络安全协会主席

西菲被复活并重新创造了Cyber Security Society用于CTF。如果你来利物浦，可以考虑做个演讲或赞助我们的活动。给我们发电子邮件到cybersecurity@society.liverpoolguild.org了解更多信息🤠

主要学分感谢George H研究出如何使用适当的算法来加快搜索过程特别感谢至varghalladesign用来设计徽标。看看他们的其他设计作品吧！

🐕‍🦺Contributing

不要害怕贡献自己的力量！我们有很多很多你可以做的事情来帮助我们。每一个都贴上标签，并用例子很容易解释。如果你想做贡献却被困住了，那么标签@bee-san✨

或者，加入不和谐组并在那里发送消息(链接到contrib file)或作为徽章出现在本自述文件的顶部

请阅读contributing file有关如何投稿的确切详细信息，请参阅✨

通过这样做，您的名字将被添加到下面的自述文件中，并成为一个不断发展的项目的一部分！

💰财政捐赠者

这笔捐款不仅将用于资助Ciphey及其作者的未来，还将用于资助利物浦大学的网络安全协会

GitHub不支持“赞助这个项目，我们会平均分配资金”，所以选择一个链接，我们会自己解决🥰

✨贡献者

感谢这些优秀的人们(emoji key)：

_cyclic3 🎨🚧💻🤔	_Brandon 🎨🚧💻🤔	_michalani 💻	_ashb07 💻	_Shardion 🐛	_Bryan 🌍📖	_{Lukas Gabriel} 💻🐛🌍🤔
_Darshan 🐛	_{SkeletalDemise} 💻	_{Christian Clauss} 💻🐛	_Machinexa2 🖋	_{Anant Verma} 💻🐛	_XVXTOR 📖	_Itamikame 💻
_MikeMerz 💻	_{Jacob Galam} 💻🐛	_{TuxTheXplorer} 🌍	_Itamai 💻🐛	_Filipe 🌍	_Malathi 💻	_Jack 🌍
_Younes 🌍	_{Marnick Vandecauter} 🌍	_{Michael V} 💻	_chuinzer 🌍	_blackcat-917 🌍📖	_{Åsmund Brekke} 💻	_{Sashreek Shankar} 💻
_cryptobadger 💻🐛	_elf 💻	_{Roger Yu} 💻	_dysleixa 💻	_{Mohammad Zulfikar} 📖

此项目遵循all-contributors规格。欢迎任何形式的投稿！

github

Sqlmap-自动SQL注入和数据库工具

2021年7月13日 Python实用宝典

sqlmap是一款开源渗透测试工具，可自动检测和利用SQL注入缺陷并接管数据库服务器。它具有强大的检测引擎、许多适用于终极渗透测试仪的利基功能，以及广泛的交换机，包括数据库指纹、通过从数据库提取数据、访问底层文件系统以及通过带外连接在操作系统上执行命令

屏幕截图

您可以访问collection of screenshots演示维基上的一些功能

安装

您可以通过单击下载最新的tarballhere或最新的Zipball，请单击here

最好，您可以通过克隆sqlmap来下载sqlmap。Git存储库：

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

sqlmap开箱即用Python版本2.6，2.7和3.x在任何平台上

用法

要获取基本选项和开关的列表，请使用：

python sqlmap.py -h

要获取所有选项和开关的列表，请使用：

python sqlmap.py -hh

您可以找到一个示例运行here要获得sqlmap功能的概述、支持的功能列表、所有选项和开关的说明以及示例，建议您参阅user’s manual

链接

主页：http://sqlmap.org
下载：.tar.gz或.zip
提交RSS源：https://github.com/sqlmapproject/sqlmap/commits/master.atom
问题跟踪器：https://github.com/sqlmapproject/sqlmap/issues
用户手册：https://github.com/sqlmapproject/sqlmap/wiki
常见问题(FAQ)：https://github.com/sqlmapproject/sqlmap/wiki/FAQ
推特：@sqlmap
演示：http://www.youtube.com/user/inquisb/videos
截图：https://github.com/sqlmapproject/sqlmap/wiki/Screenshots

Python 实用宝典