Offensive Security
https://news.1rj.ru/str/onhex_ir/10278
اگر وب کار میکنید؛ سعی کنید تخصصی روی رسیدن به سرور کار کنید؛
یه پنتستر وظیفهش رسیدن به سروره؛ شما نمیتونی از آقای گوزچیزاده دوره بخری و توقع داشته باشی با فهم Xss و Csrf بری سرکار؛ اینا آسیبپذیریهای هستن که بدرد هیچی نمیخورن؛ فقط یه مشت پکیج فروش اونارو بولد میکنن که بهتون پکیج بفروشن؛ درواقع همون معادله قدیمیه که توی ترید هم دیدید.
اینا هیچ ایمپکتی ندارن؛ هر اسیبپذیری که در نهایت منجر به Rce نشه به هیچ دردی نمیخوره.
بعد از اینکه یه متود قوی واسه Rce داشتید برید سمت زیرودی روی فریمورکهای اوپنسورس و همینطوری خودتونو ارتقا بدید. اگرم فقط کلاینتساید بلدید لطفا هیچوقت آگهی پنتستر رو پر نکنید.
امیدوارم یه روزی از وب بکشید بیرون وحداقل برید راجب مایتراتک بخونید تا بفهمید که این پکیجفروشا چقدر آدمای بیشرفی هستن که سوشال مدیا دارن و برای جیب خودشون سر کسانی که آگاهی ندارن روکلاه میزارن.
چون آفنسیو اون چیزی نیست که فکرشو میکنید.
یه پنتستر وظیفهش رسیدن به سروره؛ شما نمیتونی از آقای گوزچیزاده دوره بخری و توقع داشته باشی با فهم Xss و Csrf بری سرکار؛ اینا آسیبپذیریهای هستن که بدرد هیچی نمیخورن؛ فقط یه مشت پکیج فروش اونارو بولد میکنن که بهتون پکیج بفروشن؛ درواقع همون معادله قدیمیه که توی ترید هم دیدید.
اینا هیچ ایمپکتی ندارن؛ هر اسیبپذیری که در نهایت منجر به Rce نشه به هیچ دردی نمیخوره.
بعد از اینکه یه متود قوی واسه Rce داشتید برید سمت زیرودی روی فریمورکهای اوپنسورس و همینطوری خودتونو ارتقا بدید. اگرم فقط کلاینتساید بلدید لطفا هیچوقت آگهی پنتستر رو پر نکنید.
امیدوارم یه روزی از وب بکشید بیرون وحداقل برید راجب مایتراتک بخونید تا بفهمید که این پکیجفروشا چقدر آدمای بیشرفی هستن که سوشال مدیا دارن و برای جیب خودشون سر کسانی که آگاهی ندارن روکلاه میزارن.
چون آفنسیو اون چیزی نیست که فکرشو میکنید.
❤1
⭕️ CVE-2025-62429
ClipBucket v5 is an open source video sharing platform. Prior to version 5.5.2 #147, ClipBucket v5 is vulnerable to arbitrary PHP code execution.
In /upload/admin_area/actions/update_launch.php, the "type" parameter from a POST request is embedded into PHP tags and executed. Proper sanitization is not performed, and by injecting malicious code an attacker can execute arbitrary PHP code. This allows an attacker to achieve RCE. This issue has been resolved in version 5.5.2 #147.
@GoSecurity
ClipBucket v5 is an open source video sharing platform. Prior to version 5.5.2 #147, ClipBucket v5 is vulnerable to arbitrary PHP code execution.
In /upload/admin_area/actions/update_launch.php, the "type" parameter from a POST request is embedded into PHP tags and executed. Proper sanitization is not performed, and by injecting malicious code an attacker can execute arbitrary PHP code. This allows an attacker to achieve RCE. This issue has been resolved in version 5.5.2 #147.
@GoSecurity
⭕️ CVE-2025-5717
An authenticated remote code execution (RCE) vulnerability exists in multiple WSO2 products due to improper input validation in the event processor admin service. A user with administrative access to the SOAP admin services can exploit this flaw by deploying a Siddhi execution plan containing malicious Java code, resulting in arbitrary code execution on the server.
Exploitation of this vulnerability requires a valid user account with administrative privileges, limiting the attack surface to authenticated but potentially malicious users.
@GoSecurity
An authenticated remote code execution (RCE) vulnerability exists in multiple WSO2 products due to improper input validation in the event processor admin service. A user with administrative access to the SOAP admin services can exploit this flaw by deploying a Siddhi execution plan containing malicious Java code, resulting in arbitrary code execution on the server.
Exploitation of this vulnerability requires a valid user account with administrative privileges, limiting the attack surface to authenticated but potentially malicious users.
@GoSecurity
Kernel Callback Tables for Process Injection
https://github.com/0xHossam/KernelCallbackTable-Injection-PoC
@GoSecurity
#kernel #windows #exploitation #process
https://github.com/0xHossam/KernelCallbackTable-Injection-PoC
@GoSecurity
#kernel #windows #exploitation #process
GitHub
GitHub - 0xHossam/KernelCallbackTable-Injection-PoC: Proof of Concept for manipulating the Kernel Callback Table in the Process…
Proof of Concept for manipulating the Kernel Callback Table in the Process Environment Block (PEB) to perform process injection and hijack execution flow with very detailed explanation. - 0xHossam/...
Offensive Security
eset-apt-activity-report-q2-2025-q3-2025.pdf
مروری بر فعالیتهای گروههای APT منتخب که توسط تیم تحقیقاتی ESET در سهماههٔ دوم و سوم سال ۲۰۲۵ بررسی و تحلیل شدهاند.
محتوای گزارش:
در سهماههٔ دوم و سوم سال ۲۰۲۵، شرکت ESET افزایش فعالیت گروههای APT را در تقریباً تمام مناطق جهان ثبت کرده است.
روندهای اصلی مشاهدهشده عبارتاند از:
• افزایش چشمگیر حملات adversary-in-the-middle (AitM)
• افزایش حملات spear-phishing داخلی
• حملات supply-chain
• استفاده از آسیبپذیریهای روز صفر (0-day) برای تحویل بدافزار
🇨🇳 گروههای منتسب به چین
بازیگران چینی بهطور فعال از روش AitM برای رهگیری بهروزرسانیها و حرکت جانبی در شبکه استفاده میکنند.
گروههای PlushDaemon، SinisterEye، Evasive Panda، TheWizards با ربودن بهروزرسانیهای شبکه و تغییر مسیر DNS حمله میکنند.
گروه FamousSparrow کمپینهایی علیه نهادهای دولتی آمریکای لاتین اجرا کرده است؛ در این حملات از DLL sideloading از طریق فایل BugSplatRC.dll استفاده شده که توسط فایلهای قانونی (مانند mantec.exe، kasper.exe، trend.exe) اجرا میشود و ابزار atexec-pro برای حرکت جانبی استفاده میشود.
گروه Flax Typhoon از سرورهای وب عمومی سوءاستفاده کرده، وبشل مستقر میکند و زیرساخت خود را بر پایهٔ SoftEther VPN و پراکسی BUUT نگه داشته است.
گروه Speccom در آسیای مرکزی سندی با نام UzGasTrade 26.06.2025.doc پخش کرده که شامل ماکرو بوده و زنجیرهٔ آلودگی آن عبارت است از:
ماکرو → لودر CalaRat → بکدورهای BLOODALCHEMY، kidsRAT، RustVoralix.
🇮🇷 گروههای منتسب به ایران
بازیگران ایرانی در حال گسترش تکنیکهای فیشینگ خود هستند.
گروه MuddyWater به سمت spear-phishing داخلی رفته است؛ یعنی ارسال ایمیل از صندوقهای پستی داخلی که از پیش بهخطر افتادهاند؛ این کار باعث دور زدن فیلترهای ایمیل و افزایش احتمال نفوذ موفق میشود.
گروه GalaxyGato (C5) از PowerShell برای شناسایی و از یک backdoor مبهمشده (obfuscated) به نام C5 استفاده میکند.
کمپینهای این گروه از تکنیک DLL search-order hijacking در مسیر Windows Defender
(Version.dll → Offline\MMpLics.dll → LSASS → MsMpCon.dll.mui) برای سرقت اعتبارنامهها بهره میبرند.
🇰🇵 گروههای منتسب به کرهٔ شمالی
اپراتورهای کرهشمالی فعالیتهای جاسوسی و مالی را ترکیب کرده و دامنهٔ جغرافیایی خود را تا ازبکستان گسترش دادهاند.
گروه DeceptiveDevelopment با تماسهای جعلی منابع انسانی و کدهای آلودهشده حمله میکند؛ بدافزار اصلی آن AkdoorTea است.
گروههای Lazarus / ScarCruft حملات زنجیرهٔ تأمین را از طریق نصابهای ERP و نرمافزارهای CCTV آلوده اجرا کرده و بدافزارهای RokRAT، ThreatNeedleTea، SIGNBT را نصب میکنند.
گروه Konni از مجموعه ابزارهای پس از نفوذ شامل تونل معکوس TCP سفارشی، RDP Wrapper و اکسپلویت EternalBlue استفاده میکند و حتی زنجیرهای غیرمعمول برای macOS دارد (AppleScript → EggShell).
🇷🇺 گروههای منتسب به روسیه
در روسیه، APTهای روسی بر اهداف اوکراین و اروپا تمرکز دارند و از فیشینگ، آسیبپذیریهای روز صفر و ابزارهای مخرب استفاده میکنند.
گروه RomCom (UNC2596) از آسیبپذیری روز صفر WinRAR (CVE-2025-8088) سوءاستفاده کرده که با Alternate Data Streams کار میکند: فایل فشرده DLLهای مخفی را در %TEMP% استخراج کرده و یک میانبر (.lnk) در مسیر Startup میسازد. بدافزارهای بارگذاریشده شامل SnipBot، RustyClaw، Mythic هستند.
گروه Gamaredon به فیشینگ انبوه در اوکراین ادامه میدهد و از همان اکسپلویت WinRAR نیز بهره میبرد؛ دادهها را به ذخیرهسازهای S3-compatible مانند Tebi و Wasabi میفرستد و از تونلهای loca.lt، devtunnels.ms، workers.dev استفاده میکند؛ همچنین تحویل گزینشی نسخههای Turla Kazuar v2/v3 مشاهده شده است.
گروه Sandworm از پاککنندهها (wipers) با نامهای ZEROLOT و Sting استفاده میکند و آنها را از طریق Group Policy و وظایف زمانبندیشده منتشر میکند (نمونه: DavaniGulyashaSdeshka).
گروه InedibleOchotense در ایمیلها و پیامهای Signal خود را جای ESET جا زده و آرشیوی حاوی ابزار قانونی ESET AV Remover و backdoor Kalambur ارسال کرده است (دامنهها: eset-review[.]com، esetsmart[.]com، esetscanner[.]com، esetremover[.]com).
🧩 سایر فعالیتها / بدون انتساب مشخص
آسیبپذیری XSS در Roundcube (CVE-2024-42009) شامل تزریق جاوااسکریپت از طریق نقص Roundcube است؛ اجرای JS downloader و Service Worker منجر به سرقت اعتبارنامهها و پیامها شده است؛ ایمیلهای طعمه بهسبک تولیدات هوش مصنوعی (با ایموجی و بولتپوینتها) طراحی شدهاند.
محتوای گزارش:
در سهماههٔ دوم و سوم سال ۲۰۲۵، شرکت ESET افزایش فعالیت گروههای APT را در تقریباً تمام مناطق جهان ثبت کرده است.
روندهای اصلی مشاهدهشده عبارتاند از:
• افزایش چشمگیر حملات adversary-in-the-middle (AitM)
• افزایش حملات spear-phishing داخلی
• حملات supply-chain
• استفاده از آسیبپذیریهای روز صفر (0-day) برای تحویل بدافزار
🇨🇳 گروههای منتسب به چین
بازیگران چینی بهطور فعال از روش AitM برای رهگیری بهروزرسانیها و حرکت جانبی در شبکه استفاده میکنند.
گروههای PlushDaemon، SinisterEye، Evasive Panda، TheWizards با ربودن بهروزرسانیهای شبکه و تغییر مسیر DNS حمله میکنند.
گروه FamousSparrow کمپینهایی علیه نهادهای دولتی آمریکای لاتین اجرا کرده است؛ در این حملات از DLL sideloading از طریق فایل BugSplatRC.dll استفاده شده که توسط فایلهای قانونی (مانند mantec.exe، kasper.exe، trend.exe) اجرا میشود و ابزار atexec-pro برای حرکت جانبی استفاده میشود.
گروه Flax Typhoon از سرورهای وب عمومی سوءاستفاده کرده، وبشل مستقر میکند و زیرساخت خود را بر پایهٔ SoftEther VPN و پراکسی BUUT نگه داشته است.
گروه Speccom در آسیای مرکزی سندی با نام UzGasTrade 26.06.2025.doc پخش کرده که شامل ماکرو بوده و زنجیرهٔ آلودگی آن عبارت است از:
ماکرو → لودر CalaRat → بکدورهای BLOODALCHEMY، kidsRAT، RustVoralix.
🇮🇷 گروههای منتسب به ایران
بازیگران ایرانی در حال گسترش تکنیکهای فیشینگ خود هستند.
گروه MuddyWater به سمت spear-phishing داخلی رفته است؛ یعنی ارسال ایمیل از صندوقهای پستی داخلی که از پیش بهخطر افتادهاند؛ این کار باعث دور زدن فیلترهای ایمیل و افزایش احتمال نفوذ موفق میشود.
گروه GalaxyGato (C5) از PowerShell برای شناسایی و از یک backdoor مبهمشده (obfuscated) به نام C5 استفاده میکند.
کمپینهای این گروه از تکنیک DLL search-order hijacking در مسیر Windows Defender
(Version.dll → Offline\MMpLics.dll → LSASS → MsMpCon.dll.mui) برای سرقت اعتبارنامهها بهره میبرند.
🇰🇵 گروههای منتسب به کرهٔ شمالی
اپراتورهای کرهشمالی فعالیتهای جاسوسی و مالی را ترکیب کرده و دامنهٔ جغرافیایی خود را تا ازبکستان گسترش دادهاند.
گروه DeceptiveDevelopment با تماسهای جعلی منابع انسانی و کدهای آلودهشده حمله میکند؛ بدافزار اصلی آن AkdoorTea است.
گروههای Lazarus / ScarCruft حملات زنجیرهٔ تأمین را از طریق نصابهای ERP و نرمافزارهای CCTV آلوده اجرا کرده و بدافزارهای RokRAT، ThreatNeedleTea، SIGNBT را نصب میکنند.
گروه Konni از مجموعه ابزارهای پس از نفوذ شامل تونل معکوس TCP سفارشی، RDP Wrapper و اکسپلویت EternalBlue استفاده میکند و حتی زنجیرهای غیرمعمول برای macOS دارد (AppleScript → EggShell).
🇷🇺 گروههای منتسب به روسیه
در روسیه، APTهای روسی بر اهداف اوکراین و اروپا تمرکز دارند و از فیشینگ، آسیبپذیریهای روز صفر و ابزارهای مخرب استفاده میکنند.
گروه RomCom (UNC2596) از آسیبپذیری روز صفر WinRAR (CVE-2025-8088) سوءاستفاده کرده که با Alternate Data Streams کار میکند: فایل فشرده DLLهای مخفی را در %TEMP% استخراج کرده و یک میانبر (.lnk) در مسیر Startup میسازد. بدافزارهای بارگذاریشده شامل SnipBot، RustyClaw، Mythic هستند.
گروه Gamaredon به فیشینگ انبوه در اوکراین ادامه میدهد و از همان اکسپلویت WinRAR نیز بهره میبرد؛ دادهها را به ذخیرهسازهای S3-compatible مانند Tebi و Wasabi میفرستد و از تونلهای loca.lt، devtunnels.ms، workers.dev استفاده میکند؛ همچنین تحویل گزینشی نسخههای Turla Kazuar v2/v3 مشاهده شده است.
گروه Sandworm از پاککنندهها (wipers) با نامهای ZEROLOT و Sting استفاده میکند و آنها را از طریق Group Policy و وظایف زمانبندیشده منتشر میکند (نمونه: DavaniGulyashaSdeshka).
گروه InedibleOchotense در ایمیلها و پیامهای Signal خود را جای ESET جا زده و آرشیوی حاوی ابزار قانونی ESET AV Remover و backdoor Kalambur ارسال کرده است (دامنهها: eset-review[.]com، esetsmart[.]com، esetscanner[.]com، esetremover[.]com).
🧩 سایر فعالیتها / بدون انتساب مشخص
آسیبپذیری XSS در Roundcube (CVE-2024-42009) شامل تزریق جاوااسکریپت از طریق نقص Roundcube است؛ اجرای JS downloader و Service Worker منجر به سرقت اعتبارنامهها و پیامها شده است؛ ایمیلهای طعمه بهسبک تولیدات هوش مصنوعی (با ایموجی و بولتپوینتها) طراحی شدهاند.
Forwarded from Ai000 Cybernetics QLab
Media is too big
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
CVE-2025-60710 Local Privilege Escalation in Taskhost Windows Tasks
This is PoC for local privilege escalation vulnerability in \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration scheduled task.
When this scheduled task is started the taskhostw.exe process whill try to open the C:\Users\%username%\AppData\Local\CoreAIPlatform.00\UKP directory and search for directories using the following filter: {????????-????-????-????-????????????}. If that directory is found it will be deleted without checking for symbolic links.
As low privilege user by default can create directories in their own %LOCALAPPDATA% folder this leads to arbitrary folder delete in context of NT AUTHORITY\SYSTEM user.
This is PoC for local privilege escalation vulnerability in \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration scheduled task.
When this scheduled task is started the taskhostw.exe process whill try to open the C:\Users\%username%\AppData\Local\CoreAIPlatform.00\UKP directory and search for directories using the following filter: {????????-????-????-????-????????????}. If that directory is found it will be deleted without checking for symbolic links.
As low privilege user by default can create directories in their own %LOCALAPPDATA% folder this leads to arbitrary folder delete in context of NT AUTHORITY\SYSTEM user.
Forwarded from Low Level CO 🎄
#cloud_hacking #kurbenetes #cloud_security
@ZwLowLevel
https://www.rbtsec.com/blog/kubernetes-pentesting-part-five-full-etcd-secrets-dump/
Please open Telegram to view this post
VIEW IN TELEGRAM
RBT Security | Reinventing The Security
Kubernetes Pentesting – Part Five: Full etcd Secrets Dump | RBT Security
Exploit etcd to exfiltrate cluster secrets. In Part Five we escalate from master access to dumping etcd and extracting tokens and credentials.
⭕️ China's largest cybersecurity firm, Knownsec, was breached, exposing details of China's state cyber operations.
The data includes cyberweapon documentation, internal hacking tool source code, and global target lists covering over 20 countries, including Japan, Vietnam, and India.
A spreadsheet lists 80 hacked foreign organizations, plus evidence of 95 GB of stolen Indian immigration data and 3 TB of call records from South Korean mobile operator LG U Plus.
One of the documents mention a malicious power bank, disguised as a charging device.
Knownsec is key to China's cybersecurity, providing advanced defense and offensive capabilities, including espionage tools.
More:
https://x.com/intcyberdigest/status/1988355649269387488?s=46
@GoSecurity
The data includes cyberweapon documentation, internal hacking tool source code, and global target lists covering over 20 countries, including Japan, Vietnam, and India.
A spreadsheet lists 80 hacked foreign organizations, plus evidence of 95 GB of stolen Indian immigration data and 3 TB of call records from South Korean mobile operator LG U Plus.
One of the documents mention a malicious power bank, disguised as a charging device.
Knownsec is key to China's cybersecurity, providing advanced defense and offensive capabilities, including espionage tools.
More:
https://x.com/intcyberdigest/status/1988355649269387488?s=46
@GoSecurity
Audio
#پادکست
#امنیت_کلبه_سایبرنتیک
⚡️ نوع: پادکست
⚡️ عنوان: دوره امنیت استراتژیک در نبردگاه سایبر
⚡️ قسمت نهم دکترین گوفِیس، آن روی سکه فناوری سایبر
@aioooir | #podcast
#امنیت_کلبه_سایبرنتیک
⚡️ نوع: پادکست
⚡️ عنوان: دوره امنیت استراتژیک در نبردگاه سایبر
⚡️ قسمت نهم دکترین گوفِیس، آن روی سکه فناوری سایبر
@aioooir | #podcast
یه گروه فلسطینی زمانی در حال حمله بودن،یسری ترد هانتر میرن سراغ آدرس c2 سرورشون و کلا Opsec به خطر میفته و sqli میخورن و کل دیتابیس رو دامپ میکنن و از جزئیاتی که این گروه بهش رسیده بوده مطلع میشن.
@GoSecurity
https://youtu.be/StSLxFbVz0M?si=2p3yP2OES1p9T6cd
@GoSecurity
https://youtu.be/StSLxFbVz0M?si=2p3yP2OES1p9T6cd
YouTube
DEF CON 30 - Tomer Bar - OopsSec -The bad, the worst and the ugly of APT’s operations security
Advanced Persistent Threat groups invest in developing their arsenal of exploits and malware to stay below the radar and persist on the target machines for as long as possible. We were curious if the same efforts are invested in the operation security of…
CVE-2025-10230: OS Command Injection in Samba, 10.0 rating 🔥
An October vuln in the popular Samba AD package allows attackers to execute commands on a server by sending just one specially crafted packet.
@GoSecurity
An October vuln in the popular Samba AD package allows attackers to execute commands on a server by sending just one specially crafted packet.
@GoSecurity
Offensive Security
Opsec C2 iceberg @GoSecurity
ریپوی زیر یک رودمپ خوب و عملی برای یادگیری C ارائه میده؛ از پروژههای کوچک تا مفاهیم عمیق. برای رسیدن به جایگاه سنیور در ردتیمینگ، تسلط روی یه زبان سطح پایین یک الزام واقعیه. اگر از امروز شروع کنی، تا پایان سال ۴۰۴ به درک قابلقبولی از زبانهای سطحپایین میرسی و با تمرین مداوم میتونی کاملاً مسلط بشی؛
هرکی هم بهتون گفته لازم نیست برنامهنویسی بلد باشین و ..، هیچی حالیش نبوده، استارتشو بزنید و از کارهای راحت دوری کنید.
کنار این ریپو حتما از کتاب استفاده کنید؛ کتاباشو میزارم و سراغ یوتیوب نرید، دورههم نخرید؛ بزارید پنج بار با سر برید تو دیوار و با آزمون و خطا به جواب درست برسید، اینطوری یه سنیور ساخته میشه.
انتظار نداشته باشید سریع به جواب برسید، هیچ چیز خوبی سریع بدست نمیاد.
github.com/h0mbre/Learning-C
هرکی هم بهتون گفته لازم نیست برنامهنویسی بلد باشین و ..، هیچی حالیش نبوده، استارتشو بزنید و از کارهای راحت دوری کنید.
کنار این ریپو حتما از کتاب استفاده کنید؛ کتاباشو میزارم و سراغ یوتیوب نرید، دورههم نخرید؛ بزارید پنج بار با سر برید تو دیوار و با آزمون و خطا به جواب درست برسید، اینطوری یه سنیور ساخته میشه.
انتظار نداشته باشید سریع به جواب برسید، هیچ چیز خوبی سریع بدست نمیاد.
github.com/h0mbre/Learning-C
GitHub
GitHub - h0mbre/Learning-C: A series of mini-projects used to learn C for beginners
A series of mini-projects used to learn C for beginners - h0mbre/Learning-C