RadvanSec
تکنیک Narrator DLL Hijack ویندوز ابزاری به نام Narrator دارد که برای دسترسی افراد دارای نیازهای ویژه (Accessibility) کاربرد دارد. Narrator.exe هنگام اجرا یک DLL به نام MSTTSLocOneCoreEnUS.dll را بارگذاری میکند که باید در مسیر %windir%\system32\speech_…
برای توضیح این تکنیک اول باید درمورد DLL Hijacking یک توضیح کوتاه داده بشه
وقتی یک برنامه مثل Narrator.ext رو بدون مشخص کردن مسیر کامل فراخوانی میکنه ویندوز طبق یک ترتیب جستجوی DLL search order دنبال فایل DLL میگرده اگر یک مهاجم بتونه یک DLL مخرب رو در یکی از مکان هایی که قبل از DLL اصلی جستجو میشه قرار بده سیستم به جای DLL معتبر DLL مخرب رو بارگذاری و اجرا میکنه که میتونه منجر به اجرای کد در Context فرایند قربانی بشه
حالا چرا Narrator هدف میگیره؟؟
Narrator یک ابزار دسترسی پذیری ویندوز است که معمولا با سطح دسترسی کاربر سیستم اجرا میشود و روی بیشتر سیستم ها نصب و قابل اجراست
هربرنامه ی سیستمی مخصوصا ابزار های کمکی که DLL هایی را بارگزاری میکنند و از مسیر قابل نوشتن یا مسیر های متغییر استفاده میکنن میتواند هدف باشد در گزارش های اخیر تعدادی مقاله به عنوان مثال نشان داده اند که Narrator میتواند مسیر های قابل استفاده برای hijack داشته باشه و این میتونه برای persist و حتی lateral movement شود
و البته باید بگم مشکل از Narrator نیست مشکل از روش بارگزاری DLL (عدم استفاده از مسیر کامل) است و چون Narrator یک executable قابل اجرا روی اکثر سیستم هاست ارزش بالایی برای مهاجم دارد
سناریو حمله :
۱- مهاجم دستگاهی رو پیدا میکند که بتواند فایل یا DLL در یکی از مسیر های جستجو قرار دهد مثلا پوشه ای که برنامه از ان اجرا میشود و یا دایرکتوری جاری
۲- یک DLL با همان نام مورد انتظار برنامه میسازد و آن را داخل همان مسیر میگذارد
۳- زمانی که برنامه فراخانی میکند به جای DLL قانونی , DLL مهاجم بارگزاری میشود مهاجم در کانتکست کاربر دسترسی خواهد داشت
⭐️ @RadvanSec
وقتی یک برنامه مثل Narrator.ext رو بدون مشخص کردن مسیر کامل فراخوانی میکنه ویندوز طبق یک ترتیب جستجوی DLL search order دنبال فایل DLL میگرده اگر یک مهاجم بتونه یک DLL مخرب رو در یکی از مکان هایی که قبل از DLL اصلی جستجو میشه قرار بده سیستم به جای DLL معتبر DLL مخرب رو بارگذاری و اجرا میکنه که میتونه منجر به اجرای کد در Context فرایند قربانی بشه
حالا چرا Narrator هدف میگیره؟؟
Narrator یک ابزار دسترسی پذیری ویندوز است که معمولا با سطح دسترسی کاربر سیستم اجرا میشود و روی بیشتر سیستم ها نصب و قابل اجراست
هربرنامه ی سیستمی مخصوصا ابزار های کمکی که DLL هایی را بارگزاری میکنند و از مسیر قابل نوشتن یا مسیر های متغییر استفاده میکنن میتواند هدف باشد در گزارش های اخیر تعدادی مقاله به عنوان مثال نشان داده اند که Narrator میتواند مسیر های قابل استفاده برای hijack داشته باشه و این میتونه برای persist و حتی lateral movement شود
و البته باید بگم مشکل از Narrator نیست مشکل از روش بارگزاری DLL (عدم استفاده از مسیر کامل) است و چون Narrator یک executable قابل اجرا روی اکثر سیستم هاست ارزش بالایی برای مهاجم دارد
سناریو حمله :
۱- مهاجم دستگاهی رو پیدا میکند که بتواند فایل یا DLL در یکی از مسیر های جستجو قرار دهد مثلا پوشه ای که برنامه از ان اجرا میشود و یا دایرکتوری جاری
۲- یک DLL با همان نام مورد انتظار برنامه میسازد و آن را داخل همان مسیر میگذارد
۳- زمانی که برنامه فراخانی میکند به جای DLL قانونی , DLL مهاجم بارگزاری میشود مهاجم در کانتکست کاربر دسترسی خواهد داشت
⭐️ @RadvanSec
❤3🔥1👏1
Forwarded from Try Hack Box
This media is not supported in your browser
VIEW IN TELEGRAM
نکته #باگ_بانتی استخراج URLهای فایل های جاوااسکریپت از هر صفحه!
فراموش کن DevTools رو باز کنی از این بوکمارکت استفاده کن تا فوری همه URLهای فایل.js رو استخراج کنی و تو یه فایل.txt دانلودشون کنی.
چرا مهمه:
سریع همه فایلهای جاوااسکریپت لینک شده رو جمع کن
ازشون برای تحلیل استاتیک(LinkFinder، SecretFinder و غیره)استفاده کن
عالی برای recon،کشف endpoint و دور زدن احراز هویت
کد بوک مارکت:
چطور استفاده کن:
یه بوکمارکت جدید تو مرورگرت بساز.
کد بالا رو تو فیلد URL بچسبون.
به سایت هدف برو و بوکمارکت رو کلیک کن.
فایل javanoscript_urls.txt با همه لینکهای.js دانلود میشه.
حالا میتونی اینو به:
LinkFinder
SecretFinder
JSParser
یا تحلیل دستی بدی!
@TryHackBox
فراموش کن DevTools رو باز کنی از این بوکمارکت استفاده کن تا فوری همه URLهای فایل.js رو استخراج کنی و تو یه فایل.txt دانلودشون کنی.
چرا مهمه:
سریع همه فایلهای جاوااسکریپت لینک شده رو جمع کن
ازشون برای تحلیل استاتیک(LinkFinder، SecretFinder و غیره)استفاده کن
عالی برای recon،کشف endpoint و دور زدن احراز هویت
کد بوک مارکت:
javanoscript:(function(){let urls=[];document.querySelectorAll('*').forEach(e=>{urls.push(e.src,e.href,e.url)});urls=[...new Set(urls)].filter(u=>u&&u.endsWith('.js')).join('\n');let blob=new Blob([urls],{type:'text/plain'});let a=document.createElement('a');a.href=URL.createObjectURL(blob);a.download='javanoscript_urls.txt';a.click();})();چطور استفاده کن:
یه بوکمارکت جدید تو مرورگرت بساز.
کد بالا رو تو فیلد URL بچسبون.
به سایت هدف برو و بوکمارکت رو کلیک کن.
فایل javanoscript_urls.txt با همه لینکهای.js دانلود میشه.
حالا میتونی اینو به:
LinkFinder
SecretFinder
JSParser
یا تحلیل دستی بدی!
@TryHackBox
❤1👍1🔥1
هوش مصنوعی ChatGpt توانست بدافزار XLoader را که از رمزنگاری چند لایه ای و مبهم سازی api call ها و process injection و سایر تکنیک های دیگر ، استفاده می کند را تحلیل نماید و رمزنگاری RC4 مربوط به این بدافزار را بشکند . محققین خروجی برنامه معروف IDA Pro را که برای تحلیل بدافزار می باشد را برای تحلیل به این هوش مصنوعی دادند🥲😭
⭐️ @RadvanSec
⭐️ @RadvanSec
❤4👍1🖕1
JSDif
A powerful JavaScript monitoring tool for bug bounty hunters. Track changes in JavaScript files across websites, detect new attack surfaces, and stay ahead of security vulnerabilities.
#GithubTools #github
#bugbounty #bug
#javanoscript #cybersecurity @RadvanSec
A powerful JavaScript monitoring tool for bug bounty hunters. Track changes in JavaScript files across websites, detect new attack surfaces, and stay ahead of security vulnerabilities.
#GithubTools #github
#bugbounty #bug
#javanoscript #cybersecurity @RadvanSec
GitHub
GitHub - mirzaaghazadeh/jsdif: A powerful JavaScript monitoring tool for bug bounty hunters. Track changes in JavaScript files…
A powerful JavaScript monitoring tool for bug bounty hunters. Track changes in JavaScript files across websites, detect new attack surfaces, and stay ahead of security vulnerabilities. - mirzaaghaz...
❤5👍1
Forwarded from GitBook - Bug Bounty
Bug Bounty Reading List: A curated collection of articles and resources for bug bounty hunters.
https://bb.vitorfalcao.com/
https://bb.vitorfalcao.com/
❤2👍2
Forwarded from sn0whacks
⚙معرفی ابزار Conquest
🟠ابزار Conquest یک Command and Control و ابزاری برای انجام فرایند Post Exploit میباشد که با زبان برنامه نویسی NIM ساخته شده است. از ویژگیهای این ابزار میتوان به برقراری ارتباط C2 از طریق درخواستهای HTTP و رمز نگاری آن، در اختیار داشتن Agent برای تارگتهای ویندوزی و بسیاری قابلیتهای دیگر اشاره کرد.
📝مقاله بررسی ابزار:
🔗https://jakobfriedl.github.io/blog/nim-c2-traffic/
🛠لینک گیتهاب ابزار:
🔗https://github.com/jakobfriedl/conquest
@sn0whacks #c2
#معرفی_ابزار
🟠ابزار Conquest یک Command and Control و ابزاری برای انجام فرایند Post Exploit میباشد که با زبان برنامه نویسی NIM ساخته شده است. از ویژگیهای این ابزار میتوان به برقراری ارتباط C2 از طریق درخواستهای HTTP و رمز نگاری آن، در اختیار داشتن Agent برای تارگتهای ویندوزی و بسیاری قابلیتهای دیگر اشاره کرد.
📝مقاله بررسی ابزار:
🔗https://jakobfriedl.github.io/blog/nim-c2-traffic/
🛠لینک گیتهاب ابزار:
🔗https://github.com/jakobfriedl/conquest
@sn0whacks #c2
#معرفی_ابزار
👍2❤1
Sin0x001
⚙معرفی ابزار Conquest 🟠ابزار Conquest یک Command and Control و ابزاری برای انجام فرایند Post Exploit میباشد که با زبان برنامه نویسی NIM ساخته شده است. از ویژگیهای این ابزار میتوان به برقراری ارتباط C2 از طریق درخواستهای HTTP و رمز نگاری آن، در اختیار…
استفاده از ابزار های پابلیک توصیه نمیشه ولی اینم زیر زیر پر شالتون داشته باشید
❤1👍1👏1
https://www.intigriti.com/researchers/blog/hacking-tools/exploiting-jwt-vulnerabilities
⭐️ @RadvanSec
⭐️ @RadvanSec
Intigriti
Exploiting JWT Vulnerabilities: Advanced Exploitation Guide
Learn how to identify and exploit JSON Web Token (JWT) vulnerabilities using several different testing methods. Read the article now!
❤4👍1
Forwarded from Dagen (security) (Dasow)
ریت لیمیت یکی از معروف ترین تارگت های داخلی رو چجوری دور زدم و وارد پنل کاربر شدم ؟
در نظر بگیرین ما یک فیلد شماره تلفن داریم , کلاینت شماره تلفن خودشو وارد میکنه و بعد از زدن دکمه "تایید" یک کد تایید (OTP) به شماره تلفن کلاینت ارسال میشه و مشتری با با ارسال و داشتن کد صحیح به پنلش هدایت میشه و استاتوس کد 200 رو برای ما بر میگردونه !
به عنوان مهاجم تست کیس هایی که برای این نوع احرازهویت ها داریم هدف نهایی اینه که بتونیم با عمل بروت فورس کد رو بدست بیاریم درسته ؟
پکت درخواست ما دقیقا چیزی شبیه به اینه :
خب از این درخواست چیزی که ما متوجه میشیم یه بدنه داره که فیلد "توکن" دقیقا همون کد تایید 5 رقمی منه و شماره تلفن خودم توش قراره داره و توی ریسپانس اگر کد تایید ما اشتباه باشه استاتوس "دسترسی نداشتن" رو بهم میده !
اهان یه جرقه ای توی مغز من زده میشه پس من میتونم تفیک کنم اگر کد اشتباه باشه استاتوس کد بالایی رو میگیرم و اگر کد درست باشه استاتوس 200 رو میگیرم و ریدارکت میشم به پنل !
پس تنها کاری که میموند این بود که کد رو پنج رقم از 00000-99999 رقمی رو توی اینترودر برپ سویت به این صورت بروت فورس کنم :
بروت فورس رو انجام دادم . ,ولی یه مشکلی داشت ده تا درخواست اول داشت رفتار مورد نظر منو ادامه میداد ولی یازدهمین درخواست به بعد این استاستوس به چشم اومد :
این استاتوس به ما میگه شما درخواست های زیادی زدی و دیگه اجازشو نداری .
برنامه نویس اومده و جلوی بروت فورس رو گرفته و اجازه نداده بیشتر از ده تا ریکوست بره و بیاد پس من چجوری تونستم بایپسش کنم ؟
دو تا فرض گرفتم وب سایت از طریق هدر user-agent منو بلاک میکنه یا بر اساس Ip ؟
وب اپ پشت cdn کلادفلیر بود یکی از راه هایی که برای بایپس اپی داریم اینه که از هدر های خود
بوم ! موفقیت اموز بود و اون ریت لیمیتی که برنامه نویس تعین کرده بود تا مادامی که اپی من داشت تغیر میکرد خطا نمیگیرفتم و بروت فورس ادامه پیدا میکرد و در نهایت بعد هزارن درخواست کد صحیح رو بهم میداد .
ایمپکت اسیپ پذیری این بود که من به عنوان مهاجم میتونستم شماره مبایل هر شخصی وارد کنم و با بروت فروس کد تایید اون شماره به اکانت قربانی دسترسی کامل بگیرم 🤌
این هم اضافه کنم که توی این کیس اسیپ پذیر من کد تایید بعد از نیم ساعت منقضی میشد ممکنه برای هر تارگتی تایمش متفاوت باشه
امیدوارم که از این سناریو دید خوبی گرفته باشید و دنبال بایپس های عجیب غریب نگردید و روی اصول تمرکز کنید 🌷
@Dagen_security
در نظر بگیرین ما یک فیلد شماره تلفن داریم , کلاینت شماره تلفن خودشو وارد میکنه و بعد از زدن دکمه "تایید" یک کد تایید (OTP) به شماره تلفن کلاینت ارسال میشه و مشتری با با ارسال و داشتن کد صحیح به پنلش هدایت میشه و استاتوس کد 200 رو برای ما بر میگردونه !
به عنوان مهاجم تست کیس هایی که برای این نوع احرازهویت ها داریم هدف نهایی اینه که بتونیم با عمل بروت فورس کد رو بدست بیاریم درسته ؟
پکت درخواست ما دقیقا چیزی شبیه به اینه :
POST /api/v2/passenger/auth
HEADERS: blab
{"type":"sms_v2","cellphone":"+9812345678","token":"11111","device":"random"}
خب از این درخواست چیزی که ما متوجه میشیم یه بدنه داره که فیلد "توکن" دقیقا همون کد تایید 5 رقمی منه و شماره تلفن خودم توش قراره داره و توی ریسپانس اگر کد تایید ما اشتباه باشه استاتوس "دسترسی نداشتن" رو بهم میده !
401 unauthorized
اهان یه جرقه ای توی مغز من زده میشه پس من میتونم تفیک کنم اگر کد اشتباه باشه استاتوس کد بالایی رو میگیرم و اگر کد درست باشه استاتوس 200 رو میگیرم و ریدارکت میشم به پنل !
پس تنها کاری که میموند این بود که کد رو پنج رقم از 00000-99999 رقمی رو توی اینترودر برپ سویت به این صورت بروت فورس کنم :
{"token":"BRUT FORCE"}
بروت فورس رو انجام دادم . ,ولی یه مشکلی داشت ده تا درخواست اول داشت رفتار مورد نظر منو ادامه میداد ولی یازدهمین درخواست به بعد این استاستوس به چشم اومد :
429 TOO MANY REQUESTS
این استاتوس به ما میگه شما درخواست های زیادی زدی و دیگه اجازشو نداری .
برنامه نویس اومده و جلوی بروت فورس رو گرفته و اجازه نداده بیشتر از ده تا ریکوست بره و بیاد پس من چجوری تونستم بایپسش کنم ؟
دو تا فرض گرفتم وب سایت از طریق هدر user-agent منو بلاک میکنه یا بر اساس Ip ؟
فرض اولم رو به کار گرفتم و در کنار بروت OTP هدر رو هم بروت کردم ولی رفتار همون بود و باز بلاک شدم .
توی فرض دوم با یک سیستم دیگه اینکارو انجام دادم و بله دقیقا گیر وب اپ روی IP من بود !
وب اپ پشت cdn کلادفلیر بود یکی از راه هایی که برای بایپس اپی داریم اینه که از هدر های خود
Cloudflare که توی درخواست های سرور میزاره استفاده کنیم و توی پکت بزاریمش و یه ادرس مجازی بهش بدیم و مقدار 1 رو توی اینترودر بروت فروس کنیم در کنار توکن :X-Forwarded-For : 127.0.0.BRUET_FORCE
{"token":"BRUT(00000-99999)"}
بوم ! موفقیت اموز بود و اون ریت لیمیتی که برنامه نویس تعین کرده بود تا مادامی که اپی من داشت تغیر میکرد خطا نمیگیرفتم و بروت فورس ادامه پیدا میکرد و در نهایت بعد هزارن درخواست کد صحیح رو بهم میداد .
ایمپکت اسیپ پذیری این بود که من به عنوان مهاجم میتونستم شماره مبایل هر شخصی وارد کنم و با بروت فروس کد تایید اون شماره به اکانت قربانی دسترسی کامل بگیرم 🤌
این هم اضافه کنم که توی این کیس اسیپ پذیر من کد تایید بعد از نیم ساعت منقضی میشد ممکنه برای هر تارگتی تایمش متفاوت باشه
امیدوارم که از این سناریو دید خوبی گرفته باشید و دنبال بایپس های عجیب غریب نگردید و روی اصول تمرکز کنید 🌷
@Dagen_security
👍5❤2🔥2👏1
Sin0x001
ریت لیمیت یکی از معروف ترین تارگت های داخلی رو چجوری دور زدم و وارد پنل کاربر شدم ؟ در نظر بگیرین ما یک فیلد شماره تلفن داریم , کلاینت شماره تلفن خودشو وارد میکنه و بعد از زدن دکمه "تایید" یک کد تایید (OTP) به شماره تلفن کلاینت ارسال میشه و مشتری با با ارسال…
کار قشنگی بود ولی خیلی طولانی بود 🤣
کوتاه ترش :
اگر موقع bruteforce کد otp عبور محدودیت روی آیپی اعمال شده بود برای بایپس کردن محدودیت از هدر
استفاده کنید و سعی کنید دورش بزنید
کوتاه ترش :
اگر موقع bruteforce کد otp عبور محدودیت روی آیپی اعمال شده بود برای بایپس کردن محدودیت از هدر
X-Forwarded-For
استفاده کنید و سعی کنید دورش بزنید
❤4🔥2🤣2
Sin0x001
کار قشنگی بود ولی خیلی طولانی بود 🤣 کوتاه ترش : اگر موقع bruteforce کد otp عبور محدودیت روی آیپی اعمال شده بود برای بایپس کردن محدودیت از هدر X-Forwarded-For استفاده کنید و سعی کنید دورش بزنید
از TOR و یا tiny vps برای دور زدن محدودیت آیپی و اگر به Race-Condition آسیب پذیر بود برای دور زدن محدودیت تعداد درخواست ها هم میتونید استفاده کنید
و یا با تغییر دادن متد درخواست GET POST PUT و.... هم گاهی میتونید به نتیجه برسید
و یا با تغییر دادن متد درخواست GET POST PUT و.... هم گاهی میتونید به نتیجه برسید
🔥5👍2❤1
Sin0x001
https://skakarh.medium.com/how-i-built-an-ai-test-agent-that-runs-playwright-tests-based-on-jira-bug-reports-02b8b259c8d3?source=rss------bug_bounty-5
تو متودولوژی هانترای خوب این playwright یا کتابخونه های دیگه زبان های مختلف بوده که یک browser headless بالا بیارن و متودولوژی و پیلوداشون رو روش پیاده سازی کنن چیز جدیدی نیست قبلا خودشون رو خروجیا تحلیل میکردن الان AI در یک کلمه یا فاتحه باگ بانتیو بخونید یا یرید سمت تست های پیچیده تر و دستی که نیاز داره حتما با خلاقیت انسانی تست بشه😪
👍4❤1
How I Found the Worst ASP.NET Vulnerability — A $10K Bug (CVE-2025-55315)
بخونید حال کنید 👍
https://www.praetorian.com/blog/how-i-found-the-worst-asp-net-vulnerability-a-10k-bug-cve-2025-55315/
⭐️ @RadvanSec
بخونید حال کنید 👍
https://www.praetorian.com/blog/how-i-found-the-worst-asp-net-vulnerability-a-10k-bug-cve-2025-55315/
⭐️ @RadvanSec
Praetorian
How I Found the Worst ASP.NET Vulnerability — A $10K Bug (CVE-2025-55315)
Introduction Earlier this year, I earned a $10,000 bounty from Microsoft after discovering a critical HTTP request smuggling vulnerability in ASP.NET Core’s Kestrel server (CVE-2025-55315). The vulnerability garnered significant media attention after Microsoft…
👍6❤1
از انجام Bug Hunting لذت میبرید یا خیر
Anonymous Poll
62%
بله لذت میبرم
26%
هیچ حسی نسبت بهش ندارم فقط بخاطر درامد انجام میدم
12%
خیر علاقه ای بهش ندارم و هیچوقت انجامش نمیدم
👍5