🪙 ابزارهای عالی Bug Bounty.
• Recon:
- Subdomain Enumeration;
- Port Scanning;
- Screenshots;
- Technologies;
- Content Discovery;
- Links;
- Parameters;
- Fuzzing.
• Exploitation:
- Command Injection;
- CORS Misconfiguration;
- CRLF Injection;
- CSRF Injection;
- Directory Traversal;
- File Inclusion;
- GraphQL Injection;
- Header Injection;
- Insecure Deserialization;
- Insecure Direct Object References;
- Open Redirect;
- Race Condition;
- Request Smuggling;
- Server Side Request Forgery;
- SQL Injection;
- XSS Injection;
- XXE Injection.
• Miscellaneous:
- Passwords;
- Secrets;
- Git;
- Buckets;
- CMS;
- JSON Web Token;
- postMessage;
- Subdomain Takeover;
- Uncategorized.
#bugbounty
@TryHackBox
• Recon:
- Subdomain Enumeration;
- Port Scanning;
- Screenshots;
- Technologies;
- Content Discovery;
- Links;
- Parameters;
- Fuzzing.
• Exploitation:
- Command Injection;
- CORS Misconfiguration;
- CRLF Injection;
- CSRF Injection;
- Directory Traversal;
- File Inclusion;
- GraphQL Injection;
- Header Injection;
- Insecure Deserialization;
- Insecure Direct Object References;
- Open Redirect;
- Race Condition;
- Request Smuggling;
- Server Side Request Forgery;
- SQL Injection;
- XSS Injection;
- XXE Injection.
• Miscellaneous:
- Passwords;
- Secrets;
- Git;
- Buckets;
- CMS;
- JSON Web Token;
- postMessage;
- Subdomain Takeover;
- Uncategorized.
#bugbounty
@TryHackBox
👍4
⌨️ نمونه تک خطی برای تشخیص سریع XSS در فایلهای PHP:
#tips #bugbounty
@TryHackBox
rg --no-heading "echo.*\\\$_GET" | grep "\.php:" | grep -v -e "(\$_GET" -e "( \$_GET" -e "esc_" -e "admin_url" -e "(int)" -e htmlentities
#tips #bugbounty
@TryHackBox
یک خط ساده برای پیدا کردن تزریق SQL : نکته ای برای هکر اخلاقی
#tools #bugbounty #recon
@TryHackBox
cat subdomains.txt | httpx -silent | anew | waybackurls | gf sqli >> sqli.txt ; sqlmap -m sqli.txt -batch --random-agent --level 5 --risk 3 --dbs
#tools #bugbounty #recon
@TryHackBox
This media is not supported in your browser
VIEW IN TELEGRAM
CVE-2024-21111
افزایش دسترسی به SYSTEM با استفاده از VirtualBox . عملیات نوشتن/حذف فایل دلخواه با استفاده از لینک های نمادین،
تحقیق: https://www.mdsec.co.uk/2024/04/cve-2024-21111-local-privilege-escalation-in-oracle-virtualbox/
/
@TryHackBox
افزایش دسترسی به SYSTEM با استفاده از VirtualBox . عملیات نوشتن/حذف فایل دلخواه با استفاده از لینک های نمادین،
\RPC Control\ ، در ارتباط با DLL Hijacking .تحقیق: https://www.mdsec.co.uk/2024/04/cve-2024-21111-local-privilege-escalation-in-oracle-virtualbox/
/
@TryHackBox
This media is not supported in your browser
VIEW IN TELEGRAM
🤔 چگونه پاسخ HTTP 403 را بایپس کنیم؟ اول، مهم است که برنامه وب را مطالعه کنید و بفهمید که چگونه می توان آن را به طور موثرتر فازی کرد. در مرحله دوم، پیلود و نقاط ورودی را درک کنید.
😎 یا می توانید کورکورانه مسیرها و هدرهای HTTP را مبهم کنید - و برخی از ابزارها در این مورد به شما کمک می کنند (مثلاً 4-ZERO-3 ).
در راهنما نکات مفیدی را خواهید یافت. در Medium یا PDF (فایل در نظرات) بخوانید.
#pentest #bugbounty #gip
@TryHackBox
😎 یا می توانید کورکورانه مسیرها و هدرهای HTTP را مبهم کنید - و برخی از ابزارها در این مورد به شما کمک می کنند (مثلاً 4-ZERO-3 ).
در راهنما نکات مفیدی را خواهید یافت. در Medium یا PDF (فایل در نظرات) بخوانید.
#pentest #bugbounty #gip
@TryHackBox
👍4👎1
دوستان یک مدتی نیستم یکسری پست به طور خودکار میزارم واستون استفاده کنید تا برسیم به آموزش ها بعدش ممنون از همراهیتون
🔥3
👺 Lazarus
، کیمسوکی(Kimsuky) و آندریل (Andariel)متهم به حمله به ده ها شرکت دفاعی شدند
مقامات مجری قانون کره جنوبی از کشف یک کمپین هکری در مقیاس بزرگ خبر دادند که در آن حملاتی را علیه شرکتهای صنعتی دفاعی کشور همسایه انجام دادند و توانستند مقادیر نامعلومی از اطلاعات محرمانه را به سرقت ببرند.
- گفته می شود که هکرها به 83 پیمانکار دفاعی و پیمانکار فرعی حمله کرده و موفق به سرقت اطلاعات محرمانه از 10 نفر از آنها شدند، اگرچه این کمپین بیش از یک سال به طول انجامید.
حمله 83 پیمانکار دفاعی فقط نوک کوه یخ است. یکی از کارشناسان دفاعی که نامش فاش نشده است گفت: «سلاح های کره شمالی به طور فزاینده ای به کره جنوبی شبیه می شوند . شکل KN-23، موشک زمین به زمین اخیراً کشف شده توسط شمال، شبیه موشک بالستیک Hyunmoo-4 ما است.
#News #Infrastructure
@TryHackBox
، کیمسوکی(Kimsuky) و آندریل (Andariel)متهم به حمله به ده ها شرکت دفاعی شدند
مقامات مجری قانون کره جنوبی از کشف یک کمپین هکری در مقیاس بزرگ خبر دادند که در آن حملاتی را علیه شرکتهای صنعتی دفاعی کشور همسایه انجام دادند و توانستند مقادیر نامعلومی از اطلاعات محرمانه را به سرقت ببرند.
- گفته می شود که هکرها به 83 پیمانکار دفاعی و پیمانکار فرعی حمله کرده و موفق به سرقت اطلاعات محرمانه از 10 نفر از آنها شدند، اگرچه این کمپین بیش از یک سال به طول انجامید.
حمله 83 پیمانکار دفاعی فقط نوک کوه یخ است. یکی از کارشناسان دفاعی که نامش فاش نشده است گفت: «سلاح های کره شمالی به طور فزاینده ای به کره جنوبی شبیه می شوند . شکل KN-23، موشک زمین به زمین اخیراً کشف شده توسط شمال، شبیه موشک بالستیک Hyunmoo-4 ما است.
#News #Infrastructure
@TryHackBox