WEB APPLICATION PENTESTING CHECKLIST tryhackbox .pdf
1.1 MB
🔥 نمونهای از چکلیست برای یک buughunter و pentester با 500 مورد تست، بر اساس OWASP.
#bugbounty
@TryHackBox
#bugbounty
@TryHackBox
👍3🔥1
Uncle Spufus
آدرس مک و میزبان را جعل می کند
ابزاری که جعل آدرس MAC و نام میزبان را خودکار می کند.
از macchanger استفاده می کند، اما بررسی می کند که آیا آدرس MAC پس از اتصال به شبکه با موفقیت جعل شده است یا خیر. این مهم است زیرا MAC ممکن است پس از اتصال به شبکه به حالت اولیه خود بازگردد.
https://github.com/blackgeneration/uncle-spufus
#MAC #host
@TryHackBox
آدرس مک و میزبان را جعل می کند
ابزاری که جعل آدرس MAC و نام میزبان را خودکار می کند.
از macchanger استفاده می کند، اما بررسی می کند که آیا آدرس MAC پس از اتصال به شبکه با موفقیت جعل شده است یا خیر. این مهم است زیرا MAC ممکن است پس از اتصال به شبکه به حالت اولیه خود بازگردد.
https://github.com/blackgeneration/uncle-spufus
#MAC #host
@TryHackBox
GitHub
GitHub - phoscoder/uncle-spufus: A tool that automates MAC address and hostname spoofing
A tool that automates MAC address and hostname spoofing - phoscoder/uncle-spufus
👍1
Media is too big
VIEW IN TELEGRAM
🥷 آیا می خواهید یاد بگیرید که چگونه برنامه ها را با مدیریت سشن پیچیده شکست دهید؟ نمونه ای از یک برنامه آسیب پذیر و ویدیو بالا را با تجزیه و تحلیل آن مشاهده کنید.
هدف اولیه این پروژه این است که یاد بگیرید چگونه Burp Suite را به درستی پیکربندی کنید، اما با خیال راحت آزمایش کنید و کارها را چالش برانگیزتر کنید.
#bugbounty
@TryHackBox
هدف اولیه این پروژه این است که یاد بگیرید چگونه Burp Suite را به درستی پیکربندی کنید، اما با خیال راحت آزمایش کنید و کارها را چالش برانگیزتر کنید.
#bugbounty
@TryHackBox
👍1🔥1
ابزار OWASP OFFAT به طور مستقل API شما را از نظر آسیب پذیری های رایج ارزیابی می کند، اگرچه سازگاری کامل با OAS v3 در انتظار است. این پروژه همچنان یک کار در حال پیشرفت است و به طور مداوم به سمت تکمیل در حال پیشرفت است
https://github.com/OWASP/OFFAT
#pentest #redteam
@TryHackBox
https://github.com/OWASP/OFFAT
#pentest #redteam
@TryHackBox
@LibrarySecOfficial
دانلود کتابهای مربوط به Cyber Security
@TryHackBoxOfficial
رودمپ های مختلف
@PfkCtf
رایت اپ ها و هرچه مربوط به Ctf هست
دانلود کتابهای مربوط به Cyber Security
@TryHackBoxOfficial
رودمپ های مختلف
@PfkCtf
رایت اپ ها و هرچه مربوط به Ctf هست
🔥1
از اینجا شروع به خواندن پست ها بکنید و نظرتون رو درباره کانال بگید ، حتی شمایی که میخوای لفت بدی
@Unique_exploitbot
@Unique_exploitbot
Telegram
Try Hack Box
چگونه و از کجا هک را شروع کنیم ؟قبلاً فیلم هکرهایی را تماشا کرده اید؟
اگر بله ، شرط می بندم که شما قربانی آن صحنه های هکرها شدید.
صحنه ای که هکر به سرعت در مقابل رایانه و یک ترمینال سیاه و متن های فونت سبز ظاهر می شود.
سپس پس از تایپ سریع در صفحه کلید…
اگر بله ، شرط می بندم که شما قربانی آن صحنه های هکرها شدید.
صحنه ای که هکر به سرعت در مقابل رایانه و یک ترمینال سیاه و متن های فونت سبز ظاهر می شود.
سپس پس از تایپ سریع در صفحه کلید…
توسعه دهندگان باج افزار HelloKitty رمزهای عبور بایگانی را با کد منبع بازی های The Witcher 3 (شامل نسخه نسل بعدی)، Gwent و Thronebreaker: The Witcher Tales منتشر کرده اند.
Magnet:
w3:
gwent:
w3rtx:
thronebreaker:
#Ransomware
@TryHackBox
Magnet:
magnet:?xt=urn:btih:44134e7ade0f85e0ee940c33a7bfed5204587b93&dn=funnytorrent&tr=udp://tracker.openbittorrent.com:80&tr=udp://tracker.opentrackr.org:1337/announcew3:
oJX&S5678536Y8as%23gwent:
GyrS^&4A89x,w3rtx:
NIh\\*AS^8x0Xppwthronebreaker:
AN87*-2047UIOSh78^X#Ransomware
@TryHackBox
👍1
آیا می توانید دولت خود را هک کنید؟
https://github.com/cablej/hack-your-government
وزارت دفاع ایالات متحده یکی از اولین سازمان های دولتی بود که برنامه Bug Bounty خود را منتشر کرد .
https://hackerone.com/deptofdefense
امروز بیش از 27 هزار گزارش در صفحه H1 او وجود دارد، و دولت های دیگر نیز به آرامی شروع به پذیرش رسمی آسیب پذیری ها می کنند.
لیست کاملی از آنها در مخزن وجود دارد.
@TryHackBox
https://github.com/cablej/hack-your-government
وزارت دفاع ایالات متحده یکی از اولین سازمان های دولتی بود که برنامه Bug Bounty خود را منتشر کرد .
https://hackerone.com/deptofdefense
امروز بیش از 27 هزار گزارش در صفحه H1 او وجود دارد، و دولت های دیگر نیز به آرامی شروع به پذیرش رسمی آسیب پذیری ها می کنند.
لیست کاملی از آنها در مخزن وجود دارد.
@TryHackBox
👍3🔥2
Bypass-AV.png
2 MB
BypassAV.
• Mind Map
که متد ها و ابزارهای اصلی بایپس کردن آنتی ویروس ها و EDR را فهرست می کند.
https://github.com/CMEPW/BypassAV
• لینک های لازم: https://github.com/matro7sh/BypassAV/blob/main/Bypass-AV.md
#AV
@TryHackBox
• Mind Map
که متد ها و ابزارهای اصلی بایپس کردن آنتی ویروس ها و EDR را فهرست می کند.
https://github.com/CMEPW/BypassAV
• لینک های لازم: https://github.com/matro7sh/BypassAV/blob/main/Bypass-AV.md
#AV
@TryHackBox
⚙ اولین کی لاگر تاریخ
• یکی از اولین کیلاگرهای جهان در طول جنگ سرد ظاهر شد، افسران اطلاعاتی شوروی با استفاده از یک باگ پنهان در ماشینهای تایپ IBM Selectric از دیپلماتهای آمریکایی جاسوسی کردند. این دستگاه ها در داخل 16 ماشین تحریر قرار داشتند که از سال 1976 تا 1984 در سفارت ایالات متحده در مسکو و Leningrad استفاده می شد.
• اصل عملکرد باگ حرکت بود سر نوشتن: برای تایپ متن، باید در جهت خاصی چرخانده شود که برای هر کاراکتر روی صفحه کلید منحصر به فرد است. این مکانیسم انرژی میدان مغناطیسی را از حرکت کالسکه گرفته و آن را به سیگنال دیجیتال تبدیل می کند. هر سیگنال دریافتی به عنوان یک کاراکتر چهار بیتی روی باگ ذخیره می شد . این دستگاه حداکثر هشت نماد را ذخیره می کرد و پس از آن آنها را به جاسوسان شوروی منتقل می کرد (انتقال از طریق فرکانس های رادیویی به ایستگاه شنود مجاور انجام می شد).
• کشف این باگ حتی برای سازمان های اطلاعاتی آمریکا نیز یک کار بی اهمیت بود. میتوان آن را با تابش اشعه ایکس دید، اما پسزمینه رادیویی برجستهای نداشت، زیرا اغلب در فرکانسهایی که تلویزیون آمریکایی استفاده میکرد پخش میشد. علاوه بر این، ردیابی برخی از نسخه های پیشرفته باگ از طریق سیگنال رادیویی تنها در صورتی امکان پذیر بود که خود دستگاه روشن باشد، کی لاگر فعال شده باشد، و تحلیلگر دستگاه جاسوسی با فرکانس صحیح پیکربندی شده باشد. یک تکنسین آموزش دیده شوروی می تواند چنین باگی را در نیم ساعت در IBM Selectric نصب کند.
• به گزارش Ars Technica، هشت سال این باگ ها قابل شناسایی نبودند و آمریکایی ها تنها به لطف پیام یکی از متحدان آمریکا که سرویس های اطلاعاتی او همان شنود یکی از سفارتخانه های آنها را کشف کردند، از آنها مطلع شدند.
• در 12 اکتبر 2015 ، این داستان توسط بروس اشنایر، یکی از اعضای هیئت مدیره انجمن بین المللی تحقیقات رمز شناسی بیان شد.
https://arstechnica.com/
@TryHackBox
• یکی از اولین کیلاگرهای جهان در طول جنگ سرد ظاهر شد، افسران اطلاعاتی شوروی با استفاده از یک باگ پنهان در ماشینهای تایپ IBM Selectric از دیپلماتهای آمریکایی جاسوسی کردند. این دستگاه ها در داخل 16 ماشین تحریر قرار داشتند که از سال 1976 تا 1984 در سفارت ایالات متحده در مسکو و Leningrad استفاده می شد.
• اصل عملکرد باگ حرکت بود سر نوشتن: برای تایپ متن، باید در جهت خاصی چرخانده شود که برای هر کاراکتر روی صفحه کلید منحصر به فرد است. این مکانیسم انرژی میدان مغناطیسی را از حرکت کالسکه گرفته و آن را به سیگنال دیجیتال تبدیل می کند. هر سیگنال دریافتی به عنوان یک کاراکتر چهار بیتی روی باگ ذخیره می شد . این دستگاه حداکثر هشت نماد را ذخیره می کرد و پس از آن آنها را به جاسوسان شوروی منتقل می کرد (انتقال از طریق فرکانس های رادیویی به ایستگاه شنود مجاور انجام می شد).
• کشف این باگ حتی برای سازمان های اطلاعاتی آمریکا نیز یک کار بی اهمیت بود. میتوان آن را با تابش اشعه ایکس دید، اما پسزمینه رادیویی برجستهای نداشت، زیرا اغلب در فرکانسهایی که تلویزیون آمریکایی استفاده میکرد پخش میشد. علاوه بر این، ردیابی برخی از نسخه های پیشرفته باگ از طریق سیگنال رادیویی تنها در صورتی امکان پذیر بود که خود دستگاه روشن باشد، کی لاگر فعال شده باشد، و تحلیلگر دستگاه جاسوسی با فرکانس صحیح پیکربندی شده باشد. یک تکنسین آموزش دیده شوروی می تواند چنین باگی را در نیم ساعت در IBM Selectric نصب کند.
• به گزارش Ars Technica، هشت سال این باگ ها قابل شناسایی نبودند و آمریکایی ها تنها به لطف پیام یکی از متحدان آمریکا که سرویس های اطلاعاتی او همان شنود یکی از سفارتخانه های آنها را کشف کردند، از آنها مطلع شدند.
• در 12 اکتبر 2015 ، این داستان توسط بروس اشنایر، یکی از اعضای هیئت مدیره انجمن بین المللی تحقیقات رمز شناسی بیان شد.
https://arstechnica.com/
@TryHackBox
👍7
CVE-2023-20198 RCE CISCO IOS XE
افزودن/حذف کاربران و اجرای دستورات cisco cli سیسکو.
لیست اهداف اینجاست
اکسپلویت
#cisco #rce
@TryHackBox
افزودن/حذف کاربران و اجرای دستورات cisco cli سیسکو.
لیست اهداف اینجاست
اکسپلویت
#cisco #rce
@TryHackBox
👍1
ایجاد_پارتیشن_های_مخفی_روی_@TryHackBoxدیسک.pdf
1.4 MB
🔐 ایجاد پارتیشن های مخفی روی دیسک
• Shufflecake:
plausible deniability برای چندین سیستم فایل مخفی در لینوکس
- ابزاری برای ایجاد پارتیشن های مخفی و رمزگذاری شده دیسک که حتی با بررسی مناسب نامرئی می مانند.
https://shufflecake.net/
#Linux #Security
@TryHackBox
• Shufflecake:
plausible deniability برای چندین سیستم فایل مخفی در لینوکس
- ابزاری برای ایجاد پارتیشن های مخفی و رمزگذاری شده دیسک که حتی با بررسی مناسب نامرئی می مانند.
https://shufflecake.net/
#Linux #Security
@TryHackBox
این مخزن حاوی سورس کد اصلی و باینری های کامپایل شده برای MS-DOS v1.25 و MS-DOS v2.0، به علاوه سورس کد برای MS-DOS v4.00 که به طور مشترک توسط IBM و مایکروسافت توسعه داده شده است.
#SourceCode
@TryHackBox
https://github.com/microsoft/MS-DOS
#SourceCode
@TryHackBox
GitHub
GitHub - microsoft/MS-DOS: The original sources of MS-DOS 1.25, 2.0, and 4.0 for reference purposes
The original sources of MS-DOS 1.25, 2.0, and 4.0 for reference purposes - microsoft/MS-DOS
Media is too big
VIEW IN TELEGRAM
Piggybacking or Tailgating
مهندسی اجتماعی.
• نفوذ به تاسیسات یک سازمان یا پنست فیزیکی موضوع بسیار حساسی است. به ندرت در مورد آن صحبت می شود و حتی کمتر توصیه ها و توصیه هایی به اشتراک گذاشته می شود. بیایید در مورد این موضوع صحبت کنیم و مرحله شناسایی را لمس کنیم که از دو قسمت آنلاین و آفلاین تشکیل شده است که تفاوت آنها از نام مشخص است.
• چیزی به نام tailgating یا piggybacking (به انگلیسی: not keeping a distance/carrying on your back) وجود دارد - تلاش برای نشستن پشت سر و لغزش از طریق گردان پشت کسی که پاس دارد. این روش کلاسیک است و از زمان ایجاد سیستم های کنترل دسترسی شناخته شده است، اما هنوز هم مرتبط است.
• در بالا ویدیوی جالب است که پنج نمونه از اجرای این روش را نشان می دهد.
#SE
@TryHackBox
مهندسی اجتماعی.
• نفوذ به تاسیسات یک سازمان یا پنست فیزیکی موضوع بسیار حساسی است. به ندرت در مورد آن صحبت می شود و حتی کمتر توصیه ها و توصیه هایی به اشتراک گذاشته می شود. بیایید در مورد این موضوع صحبت کنیم و مرحله شناسایی را لمس کنیم که از دو قسمت آنلاین و آفلاین تشکیل شده است که تفاوت آنها از نام مشخص است.
• چیزی به نام tailgating یا piggybacking (به انگلیسی: not keeping a distance/carrying on your back) وجود دارد - تلاش برای نشستن پشت سر و لغزش از طریق گردان پشت کسی که پاس دارد. این روش کلاسیک است و از زمان ایجاد سیستم های کنترل دسترسی شناخته شده است، اما هنوز هم مرتبط است.
• در بالا ویدیوی جالب است که پنج نمونه از اجرای این روش را نشان می دهد.
#SE
@TryHackBox
This media is not supported in your browser
VIEW IN TELEGRAM
Google Captcha Bypass
ما ربات ها را دوست داریم، اما گوگل این کار را نمی کند. بنابراین، در اینجا راه حلی برای دور زدن Google reCAPTCHA وجود دارد.
Google reCAPTCHA را کمتر از 5 ثانیه حل کنید!
این یک اسکریپت پایتون برای حل Google reCAPTCHA با استفاده از کتابخانه DrissionPage است.
https://github.com/sarperavci/GoogleRecaptchaBypass
#google #captcha
@TryHackBox
ما ربات ها را دوست داریم، اما گوگل این کار را نمی کند. بنابراین، در اینجا راه حلی برای دور زدن Google reCAPTCHA وجود دارد.
Google reCAPTCHA را کمتر از 5 ثانیه حل کنید!
این یک اسکریپت پایتون برای حل Google reCAPTCHA با استفاده از کتابخانه DrissionPage است.
https://github.com/sarperavci/GoogleRecaptchaBypass
#google #captcha
@TryHackBox
🔥1
CVE-2024-2448
RCE
در متعادل کننده LoadMaster ، که به طور گسترده توسط Amazon ، Disney ، ASOS و سایر شرکت ها استفاده می شود.
تحقیق : https://rhinosecuritylabs.com/research/cve-2024-2448-kemp-loadmaster/
#CVE
@TryHackBox
RCE
در متعادل کننده LoadMaster ، که به طور گسترده توسط Amazon ، Disney ، ASOS و سایر شرکت ها استفاده می شود.
تحقیق : https://rhinosecuritylabs.com/research/cve-2024-2448-kemp-loadmaster/
#CVE
@TryHackBox
Forwarded from Open Source Intelligence ( OsintGit )
How to read Telegram channels in foreign languages and not have to click on "Translate" for each post?
Open the Tgstat channel page:
https://tgstat.ru/
https://tgstat.com/uz/channel/@OsintGit
Scroll down the posts you want to see (this can be automated using the Wildfire ext)
Translate the page with any translation extension
چگونه کانال های تلگرام را به زبان های خارجی بخوانیم و مجبور نباشیم برای هر پست روی «ترجمه» کلیک کنیم؟
صفحه کانال Tgstat را باز کنید:
https://tgstat.ru/
https://tgstat.com/uz/channel/@OsintGit
پستهایی را که میخواهید ببینید به پایین بروید (این را میتوان با استفاده از Wildfire ext خودکار کرد)
صفحه را با هر پسوند ترجمه ترجمه کنید
@OsintGit
Open the Tgstat channel page:
https://tgstat.ru/
https://tgstat.com/uz/channel/@OsintGit
Scroll down the posts you want to see (this can be automated using the Wildfire ext)
Translate the page with any translation extension
چگونه کانال های تلگرام را به زبان های خارجی بخوانیم و مجبور نباشیم برای هر پست روی «ترجمه» کلیک کنیم؟
صفحه کانال Tgstat را باز کنید:
https://tgstat.ru/
https://tgstat.com/uz/channel/@OsintGit
پستهایی را که میخواهید ببینید به پایین بروید (این را میتوان با استفاده از Wildfire ext خودکار کرد)
صفحه را با هر پسوند ترجمه ترجمه کنید
@OsintGit
TGStat.ru
Каталог Telegram-каналов и чатов / Россия — TGStat
Крупнейший каталог Telegram-каналов и чатов TGStat — Россия. Более 2 593 499 каналов и чатов, классифицированных по странам, языкам и тематикам