🔑 اعتبارات پیش فرض.
• رمزهای عبور پیش فرض در دستگاه های شبکه رایج تر از آن چیزی است که در نگاه اول به نظر می رسد. در اینترنت، صدها روتر نه تنها برای کاربران خصوصی، بلکه برای شبکه های شرکتی با پورت های باز وجود دارد.
• در اینجا لینکی به مخزن وجود دارد که حاوی تعداد زیادی ترکیب استاندارد ورود/گذرواژه است که در بسیاری از دستگاه ها و سرویس ها استفاده می شود:
➡️
• اطلاعات هم برای تیم قرمز و هم برای تیم آبی مفید خواهد بود.
#hack
@TryHackBox
@TryHackBoxOfficial Roadmap
• رمزهای عبور پیش فرض در دستگاه های شبکه رایج تر از آن چیزی است که در نگاه اول به نظر می رسد. در اینترنت، صدها روتر نه تنها برای کاربران خصوصی، بلکه برای شبکه های شرکتی با پورت های باز وجود دارد.
• در اینجا لینکی به مخزن وجود دارد که حاوی تعداد زیادی ترکیب استاندارد ورود/گذرواژه است که در بسیاری از دستگاه ها و سرویس ها استفاده می شود:
➡️
https://github.com/ihebski/DefaultCreds-cheat-sheet
• اطلاعات هم برای تیم قرمز و هم برای تیم آبی مفید خواهد بود.
#hack
@TryHackBox
@TryHackBoxOfficial Roadmap
⚙ همه در یک. ابزارهای هک
• Hackingtool
یک ابزار هک جامع است که شامل تمامی ابزارهای اصلی برای نفوذگران و هکرها می باشد.
• مخزن دارای 29.6 هزار ستاره است و دائماً به روز می شود. شامل ابزارهایی از دسته های زیر است:
- Anonymously Hiding Tools;
- Information gathering tools;
- Wordlist Generator;
- Wireless attack tools;
- SQL Injection Tools;
- Phishing attack tools;
- Web Attack tools;
- Post exploitation tools;
- Forensic tools;
- Payload creation tools;
- Exploit framework;
- Reverse engineering tools;
- DDOS Attack Tools;
- Remote Administrator Tools (RAT);
- XSS Attack Tools;
- Steganograhy tools;
- SocialMedia Bruteforce;
- Android Hacking tools;
- IDN Homograph Attack;
- Email Verify tools;
- Hash cracking tools;
- Wifi Deauthenticate;
- SocialMedia Finder;
- Payload Injector;
- Web crawling;
- Mix tools.
#Hack #tools
@TryHackBox
@TryHackBoxOfficial
• Hackingtool
یک ابزار هک جامع است که شامل تمامی ابزارهای اصلی برای نفوذگران و هکرها می باشد.
• مخزن دارای 29.6 هزار ستاره است و دائماً به روز می شود. شامل ابزارهایی از دسته های زیر است:
- Anonymously Hiding Tools;
- Information gathering tools;
- Wordlist Generator;
- Wireless attack tools;
- SQL Injection Tools;
- Phishing attack tools;
- Web Attack tools;
- Post exploitation tools;
- Forensic tools;
- Payload creation tools;
- Exploit framework;
- Reverse engineering tools;
- DDOS Attack Tools;
- Remote Administrator Tools (RAT);
- XSS Attack Tools;
- Steganograhy tools;
- SocialMedia Bruteforce;
- Android Hacking tools;
- IDN Homograph Attack;
- Email Verify tools;
- Hash cracking tools;
- Wifi Deauthenticate;
- SocialMedia Finder;
- Payload Injector;
- Web crawling;
- Mix tools.
➡️ https://github.com/Z4nzu/hackingtool
#Hack #tools
@TryHackBox
@TryHackBoxOfficial
👍3🔥1
🛡 آسیب پذیری های امنیتی روتر
یک منبع مفید است که شامل لیستی از آسیب پذیری های یافت شده در روترهای مختلف است. بچه ها قبلاً بیش از 1000 مدل را تجزیه و تحلیل کرده اند و اطلاعات لازم را در مورد از بین بردن خطاهای امنیتی ارائه کرده اند.
#router
@TryHackBox
@TryHackBoxOfficial
➡️ https://modemly.com/m1/pulse
یک منبع مفید است که شامل لیستی از آسیب پذیری های یافت شده در روترهای مختلف است. بچه ها قبلاً بیش از 1000 مدل را تجزیه و تحلیل کرده اند و اطلاعات لازم را در مورد از بین بردن خطاهای امنیتی ارائه کرده اند.
#router
@TryHackBox
@TryHackBoxOfficial
Modemly
Router Bugs and Security Vulnerabilities
Router Bugs, Hacks, Security Vulnerabilities and remediation checklists
👍2
👩💻 Honeypot:
مجموعه ای از ابزارهای منبع باز
در این پست من مجموعه ای از هانی پات های منبع باز را به اشتراک خواهم گذاشت که می توانید از آنها برای محافظت از سرورها و شبکه های محلی خود در برابر حملات سایبری استفاده کنید.
- ممکن است یک یا دو هانی پات کافی نباشد، به خصوص وقتی صحبت از محافظت از شبکه های بزرگ شرکتی می شود، بنابراین سیستم های فریب ظاهر شده اند - برنامه هایی برای استقرار انبوه و مدیریت هانی پات ها:
1. Chameleon
- 19 هانی پات قابل تنظیم برای نظارت بر ترافیک شبکه، اقدامات ربات و اعتبارنامه ( DNS، HTTP Proxy، HTTP، HTTPS، SSH، POP3، IMAP، SMTP، RDP، VNC، SMB، SOCKS5، Redis، TELNET، Postgres، MySQ MSSQL ). یک رابط گرافیکی مبتنی بر Grafana برای نظارت بر نتایج کار آنها ارائه می دهد.
2. OWASP Honeypot
یکی دیگر از سیستم های جامع مدیریت هانی پات است که بر پایه کانتینرهای Docker است. این سیستم یک پروسس پیکربندی خودکار ارائه می دهد و حملات وب و شبکه را شناسایی می کند.
3. Honeytrap
یک سیستم عامل-سرور برای راه اندازی، نظارت و مدیریت هانی پات است. شبکه های حسگر را از هانی پات های کم تعامل مستقر می کند و در صورت لزوم به سرعت آنها را به هانی پات های سطح بالا ارتقا می دهد. با cowrie و glutton ادغام می شود، با Elasticsearch، Splunk، Raven Server، Slack، Kafka تعامل می کند.
#Honeypot
@TryHackBox
@TryHackBoxOfficial
مجموعه ای از ابزارهای منبع باز
در این پست من مجموعه ای از هانی پات های منبع باز را به اشتراک خواهم گذاشت که می توانید از آنها برای محافظت از سرورها و شبکه های محلی خود در برابر حملات سایبری استفاده کنید.
- ممکن است یک یا دو هانی پات کافی نباشد، به خصوص وقتی صحبت از محافظت از شبکه های بزرگ شرکتی می شود، بنابراین سیستم های فریب ظاهر شده اند - برنامه هایی برای استقرار انبوه و مدیریت هانی پات ها:
1. Chameleon
- 19 هانی پات قابل تنظیم برای نظارت بر ترافیک شبکه، اقدامات ربات و اعتبارنامه ( DNS، HTTP Proxy، HTTP، HTTPS، SSH، POP3، IMAP، SMTP، RDP، VNC، SMB، SOCKS5، Redis، TELNET، Postgres، MySQ MSSQL ). یک رابط گرافیکی مبتنی بر Grafana برای نظارت بر نتایج کار آنها ارائه می دهد.
2. OWASP Honeypot
یکی دیگر از سیستم های جامع مدیریت هانی پات است که بر پایه کانتینرهای Docker است. این سیستم یک پروسس پیکربندی خودکار ارائه می دهد و حملات وب و شبکه را شناسایی می کند.
3. Honeytrap
یک سیستم عامل-سرور برای راه اندازی، نظارت و مدیریت هانی پات است. شبکه های حسگر را از هانی پات های کم تعامل مستقر می کند و در صورت لزوم به سرعت آنها را به هانی پات های سطح بالا ارتقا می دهد. با cowrie و glutton ادغام می شود، با Elasticsearch، Splunk، Raven Server، Slack، Kafka تعامل می کند.
#Honeypot
@TryHackBox
@TryHackBoxOfficial
GitHub
GitHub - honeytrap/honeytrap: Advanced Honeypot framework.
Advanced Honeypot framework. Contribute to honeytrap/honeytrap development by creating an account on GitHub.
🔥2👍1
💳 اگر در برنامه های باگ بانتی بازارها و دیگر پلتفرم های معاملاتی شرکت می کنید، یک نکته ساده را رعایت کنید که می تواند سود خوبی به همراه داشته باشد.
برخی از سرویس ها به شما این امکان را می دهند که هنگام تحویل پرداخت کنید یا به شما امکان می دهند یک سفارش ارزان داشته باشید و سپس آن را برای بازپرداخت لغو کنید.
🤔 فرض کنید برنامه هدف اجازه رزرو مهمان را بدون ایجاد حساب جدید می دهد یا برای ایجاد حساب جدید نیازی به تأیید ایمیل ندارد (شاید راهی برای دور زدن تأیید ایمیل در حین ثبت نام پیدا کرده باشید).
📌 اگر با یکی از موارد مواجه شدید، پس:
1️⃣ به عنوان مهمان سفارش دهید و هنگام ثبت سفارش از آدرس ایمیل قربانی استفاده کنید، به عنوان مثال، victim@example.com .
2️⃣ قربانی یک ایمیل با رسید دریافت می کند.
3️⃣ ما با استفاده از آدرس ایمیل victim@example.com به عنوان مهاجم ثبت نام می کنیم، مشروط بر اینکه تایید ایمیل انجام نشود.
4️⃣ به صفحه تاریخچه سفارش حساب می رویم -> سفارش های قبلاً ثبت شده را می بینیم -> سابقه سفارش و اطلاعات شخصی را به بیرون درز می کنیم -> گزارش ارسال می کنیم.
💡 نتیجه گیری: گردش کار پرداخت را نباید نادیده گرفت.
#tips #bugbounty
@TryHackBox
@TryHackBoxOfficial
برخی از سرویس ها به شما این امکان را می دهند که هنگام تحویل پرداخت کنید یا به شما امکان می دهند یک سفارش ارزان داشته باشید و سپس آن را برای بازپرداخت لغو کنید.
🤔 فرض کنید برنامه هدف اجازه رزرو مهمان را بدون ایجاد حساب جدید می دهد یا برای ایجاد حساب جدید نیازی به تأیید ایمیل ندارد (شاید راهی برای دور زدن تأیید ایمیل در حین ثبت نام پیدا کرده باشید).
📌 اگر با یکی از موارد مواجه شدید، پس:
1️⃣ به عنوان مهمان سفارش دهید و هنگام ثبت سفارش از آدرس ایمیل قربانی استفاده کنید، به عنوان مثال، victim@example.com .
2️⃣ قربانی یک ایمیل با رسید دریافت می کند.
3️⃣ ما با استفاده از آدرس ایمیل victim@example.com به عنوان مهاجم ثبت نام می کنیم، مشروط بر اینکه تایید ایمیل انجام نشود.
4️⃣ به صفحه تاریخچه سفارش حساب می رویم -> سفارش های قبلاً ثبت شده را می بینیم -> سابقه سفارش و اطلاعات شخصی را به بیرون درز می کنیم -> گزارش ارسال می کنیم.
💡 نتیجه گیری: گردش کار پرداخت را نباید نادیده گرفت.
#tips #bugbounty
@TryHackBox
@TryHackBoxOfficial
👍1
👩💻 هانی پات: مجموعه ای از هانی پات های وب
در این پست، هانی تاپهای چند پروتکلی را لیست میکنم که از پروتکلهایی مانند HTTP، HTTPS، FTP، SSH و غیره پشتیبانی میکنند.
- برخی دارای تجزیه و تحلیل داخلی برای ردیابی و تجزیه و تحلیل فعالیت ها در هانی پات هستند، اما از نظر پیچیدگی با سیستم های فریب که چند روز قبل بررسی شدند مقایسه نمی شوند.
1. Dionaea
یک هانی پات چند پروتکلی است که همه چیز را از FTP تا SIP (حملات VoIP) پوشش می دهد. Dionaea دارای معماری ماژولار است و از Python برای شبیه سازی پروتکل استفاده می کند. میتواند اجرای یک بار بدافزار را با استفاده از LibEmu شبیهسازی کند.
2. HoneyHTTPD
- ابزاری برای ایجاد هانی پات های وب بر اساس پایتون. این امکان را به شما می دهد تا به راحتی وب سرورها و سرویس های وب جعلی را راه اندازی کنید، در سطح پروتکل HTTP با داده های لازم پاسخ دهید و درخواست های ارسال شده به سرور را ثبت کنید.
3. DDoSPot
یک Honeypot مبتنی بر UDP برای ردیابی و نظارت بر حملات DDoS توزیع شده است . سرورهای DNS، NTP، SSDP، CHARGEN، تصادفی UDP را شبیه سازی می کند.
4. medusa
یک هانی پات چند پروتکلی سریع و امن است که می تواند ssh، telnet، http، https یا هر tcp دیگر و همچنین سرورهای udp را تقلید کند.
5. Masscanned
طعمه ای با تعامل کم است که خزنده ها و ربات های شبکه را هدف قرار می دهد. با استفاده از پروتکل های مختلف به درخواست های آنها پاسخ می دهد. با IVRE ادغام می شود و به شما امکان می دهد لیست سیاه IP را جمع آوری کنید، مشابه کاری که GreyNoise انجام می دهد.
#Honeypot #ThreatHunting
@TryHackBox
@TryHackBoxOfficial
در این پست، هانی تاپهای چند پروتکلی را لیست میکنم که از پروتکلهایی مانند HTTP، HTTPS، FTP، SSH و غیره پشتیبانی میکنند.
- برخی دارای تجزیه و تحلیل داخلی برای ردیابی و تجزیه و تحلیل فعالیت ها در هانی پات هستند، اما از نظر پیچیدگی با سیستم های فریب که چند روز قبل بررسی شدند مقایسه نمی شوند.
1. Dionaea
یک هانی پات چند پروتکلی است که همه چیز را از FTP تا SIP (حملات VoIP) پوشش می دهد. Dionaea دارای معماری ماژولار است و از Python برای شبیه سازی پروتکل استفاده می کند. میتواند اجرای یک بار بدافزار را با استفاده از LibEmu شبیهسازی کند.
2. HoneyHTTPD
- ابزاری برای ایجاد هانی پات های وب بر اساس پایتون. این امکان را به شما می دهد تا به راحتی وب سرورها و سرویس های وب جعلی را راه اندازی کنید، در سطح پروتکل HTTP با داده های لازم پاسخ دهید و درخواست های ارسال شده به سرور را ثبت کنید.
3. DDoSPot
یک Honeypot مبتنی بر UDP برای ردیابی و نظارت بر حملات DDoS توزیع شده است . سرورهای DNS، NTP، SSDP، CHARGEN، تصادفی UDP را شبیه سازی می کند.
4. medusa
یک هانی پات چند پروتکلی سریع و امن است که می تواند ssh، telnet، http، https یا هر tcp دیگر و همچنین سرورهای udp را تقلید کند.
5. Masscanned
طعمه ای با تعامل کم است که خزنده ها و ربات های شبکه را هدف قرار می دهد. با استفاده از پروتکل های مختلف به درخواست های آنها پاسخ می دهد. با IVRE ادغام می شود و به شما امکان می دهد لیست سیاه IP را جمع آوری کنید، مشابه کاری که GreyNoise انجام می دهد.
#Honeypot #ThreatHunting
@TryHackBox
@TryHackBoxOfficial
www.greynoise.io
GreyNoise Intelligence | Real-Time Intelligence For Modern Threats
Empower your security team to work on the most urgent and critical threats without being overwhelmed by noisy, low-priority alerts. Learn more about GreyNoise>>
🔥3
#WalletsIdentification Google Dorks...
wallet -block
wallet | wallet -block
site:bitcointalk.org wallet
site:https://docs.google.com/spreadsheets Bounty intext:"@gmail.com"
❗️ استفاده كردن جستجوی پیشرفته اپراتورها ساده ترین راه برای جمع آوری اطلاعات است در مورد آدرس کیف پول کریپتو
@TryHackBox
wallet -block
wallet | wallet -block
site:bitcointalk.org wallet
site:https://docs.google.com/spreadsheets Bounty intext:"@gmail.com"
❗️ استفاده كردن جستجوی پیشرفته اپراتورها ساده ترین راه برای جمع آوری اطلاعات است در مورد آدرس کیف پول کریپتو
@TryHackBox
Google Workspace
Google Sheets: Online Spreadsheets & Templates | Google Workspace
Create online spreadsheets with Google Sheets. Collaborate in real-time from any device and leverage AI to generate formatting, analysis, and more.
نمونههایی از مؤلفههای برنامه وب که میتوانید محتویات XSS payload خود را پیادهسازی کنید:
☑️ Login forms
☑️ Contact forms
☑️ Feedback forms
☑️ User profile
☑️ Request information
☑️ Feedback form
☑️ Request headers (and intentional error generation)
)
#tips #bugbounty
@TryHackBox
☑️ Login forms
☑️ Contact forms
☑️ Feedback forms
☑️ User profile
☑️ Request information
☑️ Feedback form
☑️ Request headers (and intentional error generation)
)
#tips #bugbounty
@TryHackBox
bypass XSS Cloudflare WAF
Encoded Payload
Clean Payload
#CF #bypass
@TryHackBox
Encoded Payload
"><track/onerror='confirm\%601\%60'>Clean Payload
"><track/onerror='confirm1'>#CF #bypass
@TryHackBox
💢 شماره پورتهای TCP/UDP و عملکرد و کاربرد هریک
🔸از اون دسته پستهایی که باید ذخیره کنید؛ یه جایی به کارتون میاد
#TCP
#UDP
@TryHackBox
🔸از اون دسته پستهایی که باید ذخیره کنید؛ یه جایی به کارتون میاد
#TCP
#UDP
@TryHackBox
👍3