RadvanSec – Telegram
RadvanSec
@RadvanSec
989 subscribers
181 photos
27 videos
142 files
595 links
"Security is Just an Illusion"
" امنیت فقط یک توهم است "

RadvanSec.com

Youtube , Instagram : @RadvanSec
Download Telegram
About
Blog
Apps
Platform
Join
RadvanSec
989 subscribers
RadvanSec
Reza Mohamadzade
🔥 ZeroTrace – چالش Red Team (مرحله ۱) 🔥 🎯 هدف: نفوذ، شناسایی، استخراج 📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیم‌های وب‌ سایت هدف را استخراج کنید. مهلت: ۷ روز 🌐 لینک چالش: https://nexovir.ir…
hint-0 :

XSS -> Email-Admin -> Phishing -> Exploite


this hint is for those who want to exploit a web vulnerability
4
279 viewsReza Mohamadzade, edited  
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 1 new item
🔹 HACKERONE: 13 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
🔥4
285 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
DOMino.pdf
9.6 MB
#tools
#WebApp_Security
#Offensive_security
DEF CON 33:
"The DOMino Effect:
Automated Detection and Exploitation of DOM Clobbering Vulnerability at Scale".

]-> dynamic analysis tool to detect/exploit DOMC vulns
]-> Dataset: DOMC Gadgets Collection
]-> Research (.pdf)

// .. first dynamic analysis framework to automatically detect and exploit DOM Clobbering gadgets. Key insight is to model attacker-controlled HTML markups as Symbolic DOM - a formalized representation to define and solve DOM-related constraints with in the gadgets - so that it can be used to generate exploit HTML markups

⭐️ @Zerosec_team
👍6
333 views‌ ‌reza
RadvanSec
Reza Mohamadzade
🔥 ZeroTrace – چالش Red Team (مرحله ۱) 🔥 🎯 هدف: نفوذ، شناسایی، استخراج 📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیم‌های وب‌ سایت هدف را استخراج کنید. مهلت: ۷ روز 🌐 لینک چالش: https://nexovir.ir…
سلام بچه ها یکی از دوستاتون موفق به حل چالش شد فقط دقت کردم که تو vmware لینکشو باز کردم😂 چون انتظار داشتم از exploit web برسه به دسترسی
کلا از نگرش و رویکردش خیلی خوشم اومد 👌
واقعا چالش سختی نیست این بیسیک ترین راه برای گرفتن initial access هست

⭐️ @Zerosec_team
5
296 viewsReza Mohamadzade, edited  
RadvanSec
Forwarded from PentesterLand Academy - Public
نفوذ، با یه کپی پیست! یکی از جذاب ترین روش ها برای نفوذ🔥

اول توضیحات اینستاگرام رو برا شروع قشنگ ببین که اماده بشی برا اتفاقی که قراره ببینی:

https://www.instagram.com/reel/DNTeOb2iKIO/?igsh=bm1wb253dzUwNDl5

در این ویدئو، به این موضوع پرداختیم که چجور مهاجمین در سایت های مختلف، تنها با کپی کردن یک متن از سمت شما میتونن از شما دسترسی بگیرن و بدافزار و کد مخرب خودشون رو تذریق کنن!


لینک مستقیم ویدئو: https://youtu.be/zBFAjBbLs2Y

چنل یوتیوب: @PentesterLand



#ردتیم #باگ_بانتی #امنیت #تست_نفوذ #شبکه
6
282 viewsSinax
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 9 new items
🔹 HACKERONE: 13 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
3
301 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
🚀 JavaScript Snippet for Extracting JS File URLs from Any Webpage

Ever wanted to quickly extract all JS file URLs loaded on a page? Here's a neat bookmarklet you can use:

🔹 Paste it in your browser's address bar as a bookmark.
🔹 It scans the page and prints all JS file URLs.
🔹 Super handy for web research, bug bounty, or pentesting.


🚀 Snippet جاوااسکریپت برای استخراج آدرس تمام فایل‌های JS یک صفحه

تا حالا خواستی سریع همه لینک ‌های فایل‌ های جاوااسکریپت لود شده روی یک صفحه رو پیدا کنی؟ این کارت رو راه می ‌اندازه:

🔹 کافیه به ‌عنوان بوکمارک تو مرورگرت ذخیره کنی و اجراش کنی.
🔹 صفحه رو اسکن می‌کنه و همه آدرس‌ های فایل‌ های JS رو چاپ می‌کنه.
🔹 عالی برای باگ بانتی یا پنتست.

jjavanoscript:(function(){var noscripts=document.getElementsByTagName("noscript"),regex=/(?<=["'`])\/[a-zA-Z0-9?_=&\/\-#\.]*(?=["'`])/g;const results=new Set;for(var i=0;i<noscripts.length;i++){var t=noscripts[i].src;""!==t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred: ",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})();


⭐️ @ZeroSec_team
👍51👌1
1.08K viewsSinax, edited  
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 9 new items
🔹 HACKERONE: 57 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
4
328 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 58 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
2
339 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 58 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
2
375 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
https://www.vaadata.com/blog/graphql-api-vulnerabilities-common-attacks-and-security-tips/

⭐️ @Zerosec_team
VAADATA - Ethical Hacking Services
GraphQL API Vulnerabilities, Common Attacks & Security Tips
What Is GraphQL API and how does it work? This article explains the common vulnerabilities and attacks on this type of system and security tips to secure APIs.
5🔥1
393 views‌ ‌reza
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 59 new items
🔹 INTIGRITI: 11 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
👍2
411 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 60 new items
🔹 INTIGRITI: 11 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
1
412 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 60 new items
🔹 INTIGRITI: 11 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team
386 viewsNEXOBOT
⭐️ Visit Details on ZeroSec ⭐️
RadvanSec
بدون شرح ...
⭐️ @Zerosec_team
🤣4🔥1😁1
480 views‌ ‌reza
RadvanSec
Reza Mohamadzade
🔥 ZeroTrace – چالش Red Team (مرحله ۱) 🔥 🎯 هدف: نفوذ، شناسایی، استخراج 📌 ماموریت: این یک عملیات initial access برای دسترسی به پنل ادمین است. برای ارائه POC، باید لیست کامل یوزرنیم‌های وب‌ سایت هدف را استخراج کنید. مهلت: ۷ روز 🌐 لینک چالش: https://nexovir.ir…
 
go to https://nexovir.ir -> read js files -> login-endpoint (with manipulate path) -> XSS from login page -> find admin email -> use webapp to send email to admin email (Becaus Admin just open Trusted Email) -> use HTML injection (Basic) for create phishing -> steal Cookie -> login admin panel to access /admin path (403 -> 200) -> FUZZ path -> FUZZ parameter -> RCE -> exfiltration  /etc/passwd (POC)


The challenge isn’t over yet go ahead, do this, and solve it.

⭐️ @Zerosec_team
🔥2😨2😍1
579 viewsReza Mohamadzade, edited  
RadvanSec
Reza Mohamadzade
go to https://nexovir.ir -> read js files -> login-endpoint (with manipulate path) -> XSS from login page -> find admin email -> use webapp to send email to admin email (Becaus Admin just open Trusted Email) -> use HTML injection (Basic) for create phishing…
Some tips I wanted to share for this challenge:

1 - Always read the JS files carefully and don’t skip, even if the JS files are obfuscated

2 - Always use your hacker mindset and don’t look for low-hanging fruit

3 - Recon is always your best Friend

4 - Don’t FUZZ blindly

5 - Most of the time, the answer is right in front of you, but you ignore it

6 - “Don’t overlook chaining vulnerabilities for maximum exploitation🥇

7 - Pay attention to 500,403,… status codes too most hunters miss them

#BugBounty #RedTeam #XSS #RCE #Tip

⭐️ @Zerosec_team
4🔥2😎1
603 viewsReza Mohamadzade, edited  
RadvanSec
حملهههههه

#Shodan #FreePlan

⭐️ @Zerosec_team
5🔥2👎1
566 viewsSinax, edited  
RadvanSec
Challenge Time
سلام دوستان یه چالش اکانت تیک اور قشنگ آوردیم
هدف چالش اینه که یه لینک بفرستید به ادمین کلیک کنه و کوکی هاش فرستاده بشه به سایت اتکر
فاز نکنید کل چالش تو همین صفحه هستش

راه حل هاتونو پی وی بفرستید
@arlrouh

https://rouhbakhsh.xyz/index2.php

سطح چالش: سخت
3👍1🔥1
1.84K views| | Sharo K h | |, edited  
RadvanSec
طبق گزارش هایی که بهمون رسیده Bugcrowd شدیدا داره اسکم میکنه
به چالش تحریم Bugcrowd بپیوندید

#تحریم_باگکراد #باگ_بانتی #هکروان #هک #تحریم_باگکراد_مطالبه_ملی

⭐️ @ZeroSec_team
🕊62👍1🤬1
1.21K viewsSinax, edited  
RadvanSec
تهدید عجیب مدیرعامل ایرانسل: اگر اینترنت ۷۰ درصد گران نشود، روزی ۳ ساعت قطعی اینترنت خواهیم داشت.

همینطوری برق میره روزی سه ساعت بی اینترنتیم شما ها دیگه از کجا اومدید😡😡

⭐️ @ZeroSec_team
🤬15💊1
605 viewsSinaX, edited