hint های مربوط به این CTF رو داخل پیج اینستاگرام و لینکدین میزارم براتون

instagram : https://www.instagram.com/nexovir/

linkedin : https://www.linkedin.com/in/nexovir/

سلام بچه ها اولش باگ داشت سیستم دیباگ جنگو فعال بود 😂😁

لیست کارکنان کاملا عوض شد و اندپوینت حساس تغییر پیدا و پروتکشن امنیتی لحاظ شد پس سعی نکنید صفحه ادمین رو پیدا کنید😁

سعی کنید با لاجیک درست برسید به لیست جدید افراد دسترسی پیدا کنید✌️

سلام دوستان این لول یک این ctf هست ، سعی کنید آسیب پذیری هارو chain کنید …
هر اندپوینت به یک دلیل مشخصی وجود داره باید سعی کنید همه رو به هم مربوط کنید و از زنجیر کردن آسیب پذیری ها به نحو درست استفاده کنید

hint0 (simple payload) :

<!DOCTYPE test [ <!ENTITY xxe SYSTEM “{IE}”> &xxe;]>

hint1 :
نکته اول :‌
پیلود blind xss که تست میکنید توجه داشته باشید که به هیچ وجه نمیتونید به url صفحه ادمین دسترسی پیدا کنید چون هم کوکی مربوط به صفحه ادمین Httponly هستن و آیپی خاصی محدود شده و علاوه بر اون با هربار بازدید ادمین از صفحه پنل شخصی خودش path اون پنل عوض میشه.

باید به جاش سعی کنید محتوای صفحه ادمین رو steal کنید تا لیست کارکنان رو ببینید (لیست کارکنان به صورت عادی در صفحه ادمین وجود نداره و فقط با فراخوانی یک مسیر internal که ادمین برای خودش تعبیه دیده برای فیلتر کردن لیست کارکنان و ارسال در صفحه پنل شخصیش میتونید کاری کنید که صفحه ادمین محتوای لیست کارکنان رو بگیره و سپس به steal کردن این دیتا ها با روش blindxss فکر کنید)

نکته دوم :‌
برای steal کردن محتوای صفحه پنل ادمین سعی کنید از سرور پایدار برای تکنیک های OOB استفاده کنید چون ممکنه ادمین حتی هر ۱۰ ساعت یکبار از صفحه شخصیش بازدید کنه

فلوچارت مسیری که باید طی کنید :

XXE -> SSRF -> LDAP -> BlindXSS

تا الان دو نفر موفق شدن دیتارو بگیرن


این پیام حاوی hint های زیادی هست اگر مایلید مشاهده کنید

hint2 :‌

‍قسمت آپلود xml اگر دقت کنید فقط اسکیم https رو قبول میکنه ({IE}) هر هاستی که بزنید invalid میده پس host رو باید فاز کرد و مسیر هارو هم همینطور اونارو هم فاز کنید و حتی پارامتری که مربوط به فیلتر ldap هست اونم باید شما فاز کنید ریسپانس رو فراموش نکنید مانیتور کنید

Google Dorks for Bug Bounty

Broad domain search w/ negative search

site:example.com -www -shop -share -ir -mfa

PHP extension w/ parameters

site:example.com ext:php inurl:?‍‍‍‍

API Endpoints

site:example[.]com inurl:api | site:*/rest | site:*/v1 | site:*/v2 | site:*/v3

Juicy Extensions

site:"example[.]com" ext:log | ext:txt | ext:conf | ext:cnf | ext:ini | ext:env | ext:sh | ext:bak | ext:backup | ext:swp | ext:old | ext:~ | ext:git | ext:svn | ext:htpasswd | ext:htaccess | ext:json

High % inurl keywords

inurl:conf | inurl:env | inurl:cgi | inurl:bin | inurl:etc | inurl:root | inurl:sql | inurl:backup | inurl:admin | inurl:php site:example[.]com

Server Errors

inurl:"error" | innoscript:"exception" | innoscript:"failure" | innoscript:"server at" | inurl:exception | "database error" | "SQL syntax" | "undefined index" | "unhandled exception" | "stack trace" site:example[.]com

XSS prone parameters

inurl:q= | inurl:s= | inurl:search= | inurl:query= | inurl:keyword= | inurl:lang= inurl:& site:example.com

Open Redirect prone parameters

inurl:url= | inurl:return= | inurl:next= | inurl:redirect= | inurl:redir= | inurl:ret= | inurl:r2= | inurl:page= inurl:& inurl:http site:example.com

SQLi Prone Parameters

inurl:id= | inurl:pid= | inurl:category= | inurl:cat= | inurl:action= | inurl:sid= | inurl:dir= inurl:& site:example.com

SSRF Prone Parameters

inurl:http | inurl:url= | inurl:path= | inurl:dest= | inurl:html= | inurl:data= | inurl:domain=  | inurl:page= inurl:& site:example.com

LFI Prone Parameters

inurl:include | inurl:dir | inurl:detail= | inurl:file= | inurl:folder= | inurl:inc= | inurl:locate= | inurl:doc= | inurl:conf= inurl:& site:example.com

RCE Prone Parameters

inurl:cmd | inurl:exec= | inurl:query= | inurl:code= | inurl:do= | inurl:run= | inurl:read=  | inurl:ping= inurl:& site:example.com

File upload endpoints

site:example.com intext:”choose file” | intext:"select file" | intext:"upload PDF”

API Docs

inurl:apidocs | inurl:api-docs | inurl:swagger | inurl:api-explorer | inurl:redoc | inurl:openapi | innoscript:"Swagger UI" site:"example[.]com”

Login Pages

inurl:login | inurl:signin | innoscript:login | innoscript:signin | inurl:secure site:example[.]com

Test Environments

inurl:test | inurl:env | inurl:dev | inurl:staging | inurl:sandbox | inurl:debug | inurl:temp | inurl:internal | inurl:demo site:example.com

Sensitive Documents

intext:“confidential” | intext:“Not for Public Release” | intext:”internal use only” | intext:“do not distribute”

Sensitive Parameters

inurl:email= | inurl:phone= | inurl:name= | inurl:user= inurl:& site:example[.]com

Adobe Experience Manager (AEM)

inurl:/content/usergenerated | inurl:/content/dam | inurl:/jcr:content | inurl:/libs/granite | inurl:/etc/clientlibs | inurl:/content/geometrixx | inurl:/bin/wcm | inurl:/crx/de site:example[.]com

Disclosed XSS and Open Redirects

site:openbugbounty.org inurl:reports intext:"example.com”

Google Groups

site:groups.google.com "example.com”

Code Leaks

site:jsfiddle.net "example.com"

site:codebeautify.org "example.com"

site:codepen.io "example.com”

Cloud Storage

site:blob.core.windows.net "example.com"

site:googleapis.com "example.com"

site:drive.google.com "example.com"

site:dev.azure.com "example[.]com"

site:onedrive.live.com "example[.]com"

site:digitaloceanspaces.com "example[.]com"

site:sharepoint.com "example[.]com"

site:s3-external-1.amazonaws.com "example[.]com"

site:s3.dualstack.us-east-1.amazonaws.com "example[.]com"

site:dropbox.com/s "example[.]com"

site:docs.google.com inurl:"/d/" "example[.]com”

JFrog Artifactory

site:jfrog.io "example[.]com”

Firebase

site:firebaseio.com "example[.]com”

⭐️ @RadvanSec

🧨فوری : بچه ها من یک مشکل خیلی جدی خوردم پروژه پنتست چیزی بود ( شبکه - وب - موبایل ) میتونم انجام بدم خیلی فوری ( پول لازم شدیدم این چند روز )

@soltanali0

افرادی که عضو فروم معروف "BreachForums" بودند چند روز پیش یک ایمیل دریافت کردند که فروم دوباره شروع به کار کرده.
آدرس جدید توی تصویر

⭐️ @RadvanSec

سلام دوستان کانال حسین رو دنبال کنید تجارب خوبی داره و مسائل و تجاربی که realworld بهشون برمیخوره رو میزاره

به عنوان کسی که تو ساید دیفنس چندین ساله کار میکنه کارش درسته هم حوزه افنسیو هم دیفنس میتونید از تجاربش بهرمند بشید👌
کانالش هم براتون میزارم :

@Cloudbaaz

بی پرده ترین، بی سانسور ترین
و کامل ترین حالت ممکن از یک رایتاپ اینجاست
شرح اسیب پذیری
ترکیبش با اسیب پذیری دیگر
و اینکه داپلیکیت شد ولی در نهایت با اینکه واقعا داپ بود، تبدیل به ده هزار دلار شد

دوس داشتی نشرش بده رفیق ❤️‍🔥


https://www.instagram.com/reel/DSXVKl7Doh0/?igsh=bHFtaGFqcDRhYzYz

Fantastic Rootkits

link

⭐️ @RadvanSec

اینو برای یکی از بچه هایی که در حوزه دیفنس مشغول بود نوشتم گفتم شماهم بخونید😁 (البته فقط به هرکدوم یک اشاره کوتاه کردم که هرکدوم واقعا یک دنیایی برای خودش داره و راه های دور زدن زیادی داره)

چه لاگ هایی در لینوکس وکانفیگ auditd برامون مهم باشه :‌


۱- اجرای هر دستور با root و یا effective UID = 0
به دلیل سو استفاده از دسترسی sudo به منظور افزایش دسترسی (Privillage Escalation)

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_exec

-w /usr/bin/sudo -p x -k sudo_exec

۲- تغییر فایل های هویتی
سیستم

/etc/passwd
/etc/shadow
/etc/group ,…

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/group  -p wa -k identity

به دلیل اضافه کردن یوزر مخفی تغییر hash پسورد ها و افزایش سطح دسترسی


۳- تغییر sudoers برای پرسیست و موندگاری

-w /etc/sudoers -p wa -k sudoers
-w /etc/sudoers.d/ -p wa -k sudoers

به دلیل دادن sudo بدون پسورد و پرسیست کم سروصدا


۴- تغییر SSh config و کلید های رمزنگاری

-w /etc/ssh/sshd_config -p wa -k ssh_config
-w /root/.ssh/authorized_keys -p wa -k ssh_keys
-w /home/ -p wa -k user_ssh_keys

به دلیل اینکه روی ssh پرسیست کنن و mfa رو بایپس کنن و بکدوری باشه بدون نیاز به credential معتبر

۵- اجرای shell

-w /bin/bash -p x -k shell_exec
-w /bin/sh    -p x -k shell_exec

تشخیص reverse shell و یا حرکت فعالانه هکر در سطح سیستم عامل


۷- اجرای زبان های اسکریپتی

-w /usr/bin/python3 -p x -k noscript_exec
-w /usr/bin/perl    -p x -k noscript_exec
-w /usr/bin/php     -p x -k noscript_exec

به دلیل جلوگیری از اجرای ملور های fileless , پیلود هایی که در مموری اجرا میشن و یا مبهم سازی منطق حمله با استفاده از مبهم سازی کد و یا پیلود های پیچیده که برای دور زدن پروتکشن های امنیتی استفاده میشن

۸ - دانلود و استفاده از ابزار های c2 , command and controller

-w /usr/bin/curl -p x -k download_exec
-w /usr/bin/wget -p x -k download_exec

به دلیل دریافت پیلود استخراج دیتا به بیرون یکسری ها هم اگر تکنیک های پیچیده تری استفاده میکنن stage اول که ملور اولیه هست رو بارگزاری میکنن برای ملور دوم از سرور c2 خودشون استفاده میکنن تا بارگزاری بشه یا مثلا تکنیک ها اسپلیت ملور که خط به خط از سرور های مختلف خونده بشه و کنارهم روی مموری اجرا کنن … (دیگه بیشتر از این نمیگم چون داریم ساید دفاعی رو فقط بررسی میکنیم 😁)


۹- تغییر cron job برای پرسیست دایمی

shell
-w /etc/crontab -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

به دلیل اجرای دوره ای backdoor , پرسیست بدون شل شما reboot کنی هم دسترسی اتکر دائم بمونه

۱۰ - اینجکشن های سرویس های سیستمی (my favorite ♥️technique)

-w /etc/systemd/system/ -p wa -k systemd

به دلیل موندگاری و پرسیست سطح بالا اجرا قبل از لاگین USER ,…

۱۱- دسترسی به credential ها

-w /etc/shadow -p r -k shadow_read

به دلیلcrednetial dumping , offline password cracking


۱۲ - kernel abuse (my favorite technique again♥️)

-a always,exit -S init_module -S finit_module -k kernel_module

به دلیل rootkit ها دسترسی و پرسیست در سطح کرنل و بایپس EDR

۱۳ - Proccess injection

-a always,exit -S ptrace -k ptrace

به دلیل هایجک کردن پروسس
دزدیدن credential و اینجکت کردن ملور در پروسس های جاری

⭐️ @RadvanSec

بچه ها فردا ctf به اتمام میرسه این و پنل ادمین صبح برای بار پنجم چک خواهد شد اگر فلو درستیو رفته باشید حتما باید نهایتا تا فردا به جواب برسید

BurpSuite PRO
version 2025.10.04

⭐️ @RadvanSec

🎯 Week 81 — CVE‑2025‑55184 / CVE‑2025‑67779 — React Server Components — Denial of Service

🔹 Week: 81
🔹 CVE: CVE‑2025‑55184 & CVE‑2025‑67779
🔹 Type: Denial of Service (Infinite Loop during deserialization of malicious HTTP requests)
🔹 Impact: Server hang and 100% CPU consumption via a single malicious request to any Server Function endpoint, leading to complete service denial.
🔹 Fixed in: React v19.0.3, v19.1.4, v19.2.3 (and corresponding react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack packages)
🔹 Action: Upgrade affected packages immediately. Note: Only applications using React Server Components are vulnerable.

#week_81

CVE-2025-37164 HPE OneView

https://github.com/rapid7/metasploit-framework/pull/20792

⭐️ @RadvanSec

Use the Right Tools
اگرچه قبلاً بیان شد که هیچ silver bullet tool ای وجود ندارد، tool ها نقش حیاتی در security program کلی دارند. طیفی از Open Source و commercial tool ها وجود دارد که می‌توانند بسیاری از security task های روتین را automate کنند. این tool ها می‌توانند با کمک به personnel های security در انجام task هایشان، security process را ساده‌تر و سریع ‌تر کنند. با این حال، مهم است که دقیقاً مشخص شود این tool ها چه کارهایی را می‌توانند و چه کارهایی را نمی ‌توانند انجام دهند، تا بیش‌ازحد بزرگ‌ نمایی نشده یا به ‌صورت نادرست استفاده نشوند.

Web Security Testing Guide - Elie Saad , Rick Mitchell

⭐️ @RadvanSec

حمایت کنید بچه ها

https://github.com/alirezarouhbakhsh/Team-History-Sync

A Burp Suite extension for real-time sharing of HTTP traffic between team members with user-based highlighting.

@arlrouh