😎 به نظر شما کد داده شده چه باگ هایی دارد و چگونه می توان از آنها سوء استفاده(exploit) کرد؟
#questions برای خود ازمایی
@TryHackBox
#questions برای خود ازمایی
@TryHackBox
👍2
دوستان این کانال هدفش آموزش تست نفوذ بوده از پایه تا پیشرفته ولی به دلیل عدم وقت کافی نشد آموزش هایی در اختیارتون قرار بدم .
ولی به زودی اگر مشکلی واسم پیش نیاد شروع به آموزش میکنم که بهره کافی ببرید ممنون از صبر و بردباری شما .
ولی به زودی اگر مشکلی واسم پیش نیاد شروع به آموزش میکنم که بهره کافی ببرید ممنون از صبر و بردباری شما .
👍7🔥2
APT
و حملات مالی به سازمان های صنعتی در نیمه دوم سال 2023.
• بررسی گزارشات مربوط به APT و حملات مالی به شرکت های صنعتی و فعالیت گروه های مشاهده شده در حملات به سازمان های صنعتی و تاسیسات زیرساختی حیاتی:
- فعالیت گروه های کره ای زبان؛
- فعالیت های مرتبط با خاورمیانه؛
- فعالیت گروه های چینی زبان.
- فعالیت گروه های روسی زبان؛
- دیگر؛
- هشدارهای CISA
#APT
@TryHackBox
و حملات مالی به سازمان های صنعتی در نیمه دوم سال 2023.
• بررسی گزارشات مربوط به APT و حملات مالی به شرکت های صنعتی و فعالیت گروه های مشاهده شده در حملات به سازمان های صنعتی و تاسیسات زیرساختی حیاتی:
- فعالیت گروه های کره ای زبان؛
- فعالیت های مرتبط با خاورمیانه؛
- فعالیت گروه های چینی زبان.
- فعالیت گروه های روسی زبان؛
- دیگر؛
- هشدارهای CISA
#APT
@TryHackBox
🔥1
Try Hack Box pinned «دوستان این کانال هدفش آموزش تست نفوذ بوده از پایه تا پیشرفته ولی به دلیل عدم وقت کافی نشد آموزش هایی در اختیارتون قرار بدم . ولی به زودی اگر مشکلی واسم پیش نیاد شروع به آموزش میکنم که بهره کافی ببرید ممنون از صبر و بردباری شما .»
⭕ تست نفوذ SSH - قسمت اول
مقدمه ای بر SSH
پروتکل SSH که با نام Secure Shell نیز شناخته می شود، تکنیکی برای ورود امن و مطمئن از راه دور از یک رایانه به رایانه دیگر است. چندین گزینه برای احراز هویت قوی ارائه می دهد، زیرا از اتصالات و امنیت و یکپارچگی ارتباطات با رمزگذاری قوی محافظت می کند. این یک جایگزین امن برای پروتکلهای ورود محافظت نشده (مانند telnet، rlogin) و روشهای انتقال فایل ناامن (مانند FTP) است.
نصب SSH
نصب و پیکربندی سرویس SSH بسیار آسان است. ما می توانیم مستقیماً سرویس SSH را با استفاده از بسته openssh-server از مخزن اوبونتو نصب کنیم. برای نصب هر سرویس، باید یک حساب کاربری root داشته باشید و سپس دستور زیر را دنبال کنید.
apt install openssh-server
هنگامی که دستور بالا را اجرا می کنید، بسته را استخراج می کند و پیکربندی پیش فرض را روی دستگاه میزبان نصب می کند. شما می توانید پورت باز را با کمک دستور netstat در دستگاه میزبان بررسی کنید.
#SSH
@TryHackBox
مقدمه ای بر SSH
پروتکل SSH که با نام Secure Shell نیز شناخته می شود، تکنیکی برای ورود امن و مطمئن از راه دور از یک رایانه به رایانه دیگر است. چندین گزینه برای احراز هویت قوی ارائه می دهد، زیرا از اتصالات و امنیت و یکپارچگی ارتباطات با رمزگذاری قوی محافظت می کند. این یک جایگزین امن برای پروتکلهای ورود محافظت نشده (مانند telnet، rlogin) و روشهای انتقال فایل ناامن (مانند FTP) است.
نصب SSH
نصب و پیکربندی سرویس SSH بسیار آسان است. ما می توانیم مستقیماً سرویس SSH را با استفاده از بسته openssh-server از مخزن اوبونتو نصب کنیم. برای نصب هر سرویس، باید یک حساب کاربری root داشته باشید و سپس دستور زیر را دنبال کنید.
apt install openssh-server
هنگامی که دستور بالا را اجرا می کنید، بسته را استخراج می کند و پیکربندی پیش فرض را روی دستگاه میزبان نصب می کند. شما می توانید پورت باز را با کمک دستور netstat در دستگاه میزبان بررسی کنید.
#SSH
@TryHackBox
Media is too big
VIEW IN TELEGRAM
مصاحبه اختصاصی با مالک KILLNET و بنیانگذار Deanon Club
لینک ویدئو در یوتیوب با زیرنویس ببینید :
https://www.youtube.com/watch?v=Neq4ncA5LhY
@TryHackBox
لینک ویدئو در یوتیوب با زیرنویس ببینید :
https://www.youtube.com/watch?v=Neq4ncA5LhY
@TryHackBox
Try Hack Box
⭕ تست نفوذ SSH - قسمت اول مقدمه ای بر SSH پروتکل SSH که با نام Secure Shell نیز شناخته می شود، تکنیکی برای ورود امن و مطمئن از راه دور از یک رایانه به رایانه دیگر است. چندین گزینه برای احراز هویت قوی ارائه می دهد، زیرا از اتصالات و امنیت و یکپارچگی ارتباطات…
⭕ تست نفوذ SSH - قسمت اول
SSH Port Scanning
اگر دسترسی مستقیم به دستگاه میزبان ندارید، از nmap برای شناسایی از راه دور وضعیت پورت که به عنوان مرحله اولیه آزمایش نفوذ در نظر گرفته می شود، استفاده کنید. در اینجا قصد داریم از Kali Linux برای انجام تست نفوذ استفاده کنیم. بنابراین، برای یافتن یک پورت باز در یک شبکه راه دور، از اسکن نسخه nmap استفاده می کنیم که نه تنها یک پورت باز را پیدا می کند، بلکه یک بنر را نیز انجام می دهد که نسخه نصب شده سرویس را نمایش می دهد.
#SSH
@TryHackBox
SSH Port Scanning
اگر دسترسی مستقیم به دستگاه میزبان ندارید، از nmap برای شناسایی از راه دور وضعیت پورت که به عنوان مرحله اولیه آزمایش نفوذ در نظر گرفته می شود، استفاده کنید. در اینجا قصد داریم از Kali Linux برای انجام تست نفوذ استفاده کنیم. بنابراین، برای یافتن یک پورت باز در یک شبکه راه دور، از اسکن نسخه nmap استفاده می کنیم که نه تنها یک پورت باز را پیدا می کند، بلکه یک بنر را نیز انجام می دهد که نسخه نصب شده سرویس را نمایش می دهد.
#SSH
@TryHackBox
👍2
👩💻 یافتن آسیب پذیری های XSS با یک دستور
برای انجام این کار، ابتدا باید چندین برنامه کاربردی را به زبان GO نصب کنیم (و بر این اساس، خود GO نیز باید نصب شود).
به عنوان یک خزنده، این ابزار gospider است، که یک خزنده وب برای جمع آوری سریع URL های مرتبط با یک سایت است.
دومی qsreplace است. URL ها را به عنوان ورودی می گیرد و تمام مقادیر رشته کوئری را با مقدار مشخص شده توسط کاربر جایگزین می کند.
آخرین و مهمترین ابزار جستجوی XSS دالفوکس است. این یک ابزار قدرتمند و سریع برای تجزیه و تحلیل پارامترهای درخواست و شناسایی انواع مختلف XSS و سایر آسیب پذیری های اساسی است.
پس از نصب، باید آدرس سایتی را که در حال تست هستید جایگزین خط https://example.com کنید و دستور را اجرا کنید:
@TryHackBox
برای انجام این کار، ابتدا باید چندین برنامه کاربردی را به زبان GO نصب کنیم (و بر این اساس، خود GO نیز باید نصب شود).
به عنوان یک خزنده، این ابزار gospider است، که یک خزنده وب برای جمع آوری سریع URL های مرتبط با یک سایت است.
دومی qsreplace است. URL ها را به عنوان ورودی می گیرد و تمام مقادیر رشته کوئری را با مقدار مشخص شده توسط کاربر جایگزین می کند.
آخرین و مهمترین ابزار جستجوی XSS دالفوکس است. این یک ابزار قدرتمند و سریع برای تجزیه و تحلیل پارامترهای درخواست و شناسایی انواع مختلف XSS و سایر آسیب پذیری های اساسی است.
پس از نصب، باید آدرس سایتی را که در حال تست هستید جایگزین خط https://example.com کنید و دستور را اجرا کنید:
gospider -s https://example.com -c 10 -d 5 --blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|pdf|noscript|txt)" --other-source | grep -e "code-200" | awk '{print $5}' | grep "=" | qsreplace -a | dalfox pipe -o result.txt
@TryHackBox
GitHub
GitHub - jaeles-project/gospider: Gospider - Fast web spider written in Go
Gospider - Fast web spider written in Go. Contribute to jaeles-project/gospider development by creating an account on GitHub.
👍2
Try Hack Box
⭕ تست نفوذ SSH - قسمت اول SSH Port Scanning اگر دسترسی مستقیم به دستگاه میزبان ندارید، از nmap برای شناسایی از راه دور وضعیت پورت که به عنوان مرحله اولیه آزمایش نفوذ در نظر گرفته می شود، استفاده کنید. در اینجا قصد داریم از Kali Linux برای انجام تست نفوذ…
⭕ تست نفوذ SSH - قسمت اول
روش های اتصال SSH
فرمان ترمینال (لینوکس)
اکنون دستور زیر را برای دسترسی به شل ssh دستگاه راه دور به عنوان یک کاربر مجاز اجرا کنید.
نام کاربری: ignite رمز عبور: 123
#SSH
@TryHackBox
روش های اتصال SSH
فرمان ترمینال (لینوکس)
اکنون دستور زیر را برای دسترسی به شل ssh دستگاه راه دور به عنوان یک کاربر مجاز اجرا کنید.
نام کاربری: ignite رمز عبور: 123
ssh ignite@192.168.1.103#SSH
@TryHackBox
⭕ تست نفوذ SSH - قسمت اول
Putty (ویندوز)
مرحله 1: putty.exe را نصب کرده و اجرا کنید، سپس آدرس IP HOST < 192.168.1.103 > و پورت <22> را نیز وارد کنید.
نوع اتصال را به عنوان SSH انتخاب کنید
مرحله 2: برای برقراری ارتباط بین کلاینت و سرور، یک سشن putty ایجاد می شود
به یک اعتبار ورود نیاز دارد.
نام کاربری: ignite
رمز عبور: 123
#SSH
@TryHackBox
Putty (ویندوز)
مرحله 1: putty.exe را نصب کرده و اجرا کنید، سپس آدرس IP HOST < 192.168.1.103 > و پورت <22> را نیز وارد کنید.
نوع اتصال را به عنوان SSH انتخاب کنید
مرحله 2: برای برقراری ارتباط بین کلاینت و سرور، یک سشن putty ایجاد می شود
به یک اعتبار ورود نیاز دارد.
نام کاربری: ignite
رمز عبور: 123
#SSH
@TryHackBox
⭕ تست نفوذ SSH - قسمت اول
Port Redirection
بهطور پیشفرض، ssh در پورت 22 گوش میدهد، به این معنی که اگر مهاجم پورت 22 را باز تشخیص دهد، میتواند حملاتی را در پورت 22 امتحان کند تا به ماشین میزبان متصل شود. بنابراین، یک ادمین سیستم برای دریافت درخواست اتصال از شبکه مجاز، تغییر مسیر یا نقشه پورت را با تغییر درگاه پیشفرض خود به پورت دیگری انتخاب میکند.
مراحل زیر را برای تغییر مسیر پورت دنبال کنید:
مرحله 1: sshd_config را از داخل /etc/sshd با استفاده از ویرایشگر ویرایش کنید
مرحله 2: پورت 22 را به 2222 تغییر دهید و فایل را ذخیره کنید.
مرحله 3: سپس ssh را مجددا راه اندازی کنید
#SSH
@TryHackBox
Port Redirection
بهطور پیشفرض، ssh در پورت 22 گوش میدهد، به این معنی که اگر مهاجم پورت 22 را باز تشخیص دهد، میتواند حملاتی را در پورت 22 امتحان کند تا به ماشین میزبان متصل شود. بنابراین، یک ادمین سیستم برای دریافت درخواست اتصال از شبکه مجاز، تغییر مسیر یا نقشه پورت را با تغییر درگاه پیشفرض خود به پورت دیگری انتخاب میکند.
مراحل زیر را برای تغییر مسیر پورت دنبال کنید:
مرحله 1: sshd_config را از داخل /etc/sshd با استفاده از ویرایشگر ویرایش کنید
nano /etc/ssh/sshd_configمرحله 2: پورت 22 را به 2222 تغییر دهید و فایل را ذخیره کنید.
مرحله 3: سپس ssh را مجددا راه اندازی کنید
#SSH
@TryHackBox
Picosnitch
⚙️ نظارت بر ترافیک شبکه به ازای هر فایل اجرایی، به زیبایی تجسم شده است.
• یک ابزار مفید برای نظارت بر ترافیک در لینوکس: به شما امکان می دهد اطلاعاتی در مورد برنامه، دامنه، هش، فایل اجرایی دریافت کنید. و نمودارها را در یک رابط وب جداگانه نمایش می دهد. توضیحات دقیق این ابزار در لینک زیر موجود است:
https://github.com/elesiuta/picosnitch
@TryHackBox
⚙️ نظارت بر ترافیک شبکه به ازای هر فایل اجرایی، به زیبایی تجسم شده است.
• یک ابزار مفید برای نظارت بر ترافیک در لینوکس: به شما امکان می دهد اطلاعاتی در مورد برنامه، دامنه، هش، فایل اجرایی دریافت کنید. و نمودارها را در یک رابط وب جداگانه نمایش می دهد. توضیحات دقیق این ابزار در لینک زیر موجود است:
https://github.com/elesiuta/picosnitch
@TryHackBox
GitHub
GitHub - elesiuta/picosnitch: Monitor Network Traffic Per Executable, Beautifully Visualized
Monitor Network Traffic Per Executable, Beautifully Visualized - elesiuta/picosnitch
WEB APPLICATION PENTESTING CHECKLIST tryhackbox .pdf
1.1 MB
🔥 نمونهای از چکلیست برای یک buughunter و pentester با 500 مورد تست، بر اساس OWASP.
#bugbounty
@TryHackBox
#bugbounty
@TryHackBox
👍3🔥1
Uncle Spufus
آدرس مک و میزبان را جعل می کند
ابزاری که جعل آدرس MAC و نام میزبان را خودکار می کند.
از macchanger استفاده می کند، اما بررسی می کند که آیا آدرس MAC پس از اتصال به شبکه با موفقیت جعل شده است یا خیر. این مهم است زیرا MAC ممکن است پس از اتصال به شبکه به حالت اولیه خود بازگردد.
https://github.com/blackgeneration/uncle-spufus
#MAC #host
@TryHackBox
آدرس مک و میزبان را جعل می کند
ابزاری که جعل آدرس MAC و نام میزبان را خودکار می کند.
از macchanger استفاده می کند، اما بررسی می کند که آیا آدرس MAC پس از اتصال به شبکه با موفقیت جعل شده است یا خیر. این مهم است زیرا MAC ممکن است پس از اتصال به شبکه به حالت اولیه خود بازگردد.
https://github.com/blackgeneration/uncle-spufus
#MAC #host
@TryHackBox
GitHub
GitHub - phoscoder/uncle-spufus: A tool that automates MAC address and hostname spoofing
A tool that automates MAC address and hostname spoofing - phoscoder/uncle-spufus
👍1
Media is too big
VIEW IN TELEGRAM
🥷 آیا می خواهید یاد بگیرید که چگونه برنامه ها را با مدیریت سشن پیچیده شکست دهید؟ نمونه ای از یک برنامه آسیب پذیر و ویدیو بالا را با تجزیه و تحلیل آن مشاهده کنید.
هدف اولیه این پروژه این است که یاد بگیرید چگونه Burp Suite را به درستی پیکربندی کنید، اما با خیال راحت آزمایش کنید و کارها را چالش برانگیزتر کنید.
#bugbounty
@TryHackBox
هدف اولیه این پروژه این است که یاد بگیرید چگونه Burp Suite را به درستی پیکربندی کنید، اما با خیال راحت آزمایش کنید و کارها را چالش برانگیزتر کنید.
#bugbounty
@TryHackBox
👍1🔥1