خبرهای هیجان‌انگیزی در راه است! ما قصد داریم با افراد برجسته‌ حوزه امنیت سایبری، لایوهای جذاب و پرمحتوایی برگزار کنیم.  شما می‌توانید سوالات خود را بپرسید و پاسخ‌های خود را از این کارشناسان دریافت کنید!

اما برای اینکه این رویدادها به بهترین شکل ممکن برگزار شوند، به حمایت شما نیاز داریم. کانال یوتیوب ما به این دلیل که تازه راه اندازی شده تعداد کاربرانی که دنبال میکنند ما را کم هست تعداد افراد کانال تلگرام ما نزدیک به ۴ هزار نفر هست و هر کدومتون یه یوتیوب تو گوشی‌تون دارین یا می‌تونین به راحتی وارد سایت بشید ، پس لطفا ما را دنبال کنید!

از شما خواهش می‌کنم با یک کلیک ساده، کانال یوتیوب را دنبال کنید.با اینکار ، ما یک قدم به برگزاری این لایوهای فوق‌العاده نزدیک‌تر می‌شویم. اجازه بدید با هم با این بزرگواران مصاحبه‌های جذابی داشته باشیم!

با اینکار شما از جامعه آموزش رایگان حمایت میکنید تا آموزش های بیشتری در اختیارتون قرار گیرد .


با تشکر از همگی شما!

کانال یوتیوب ما :
https://youtube.com/@tryhackbox

📌  به خانواده TryHackBox بپیوندید!

💢 ما در TryHackBox به دنبال افراد پرانرژی، خلاق و متخصص هستیم تا در تیم‌های مختلف ما عضو شوند. اگر به حوزه ردتیم و بلوتیم و تست نفوذ و موارد دیگر  علاقه‌مندید و می‌خواهید در یک تیم پویا و حرفه‌ای فعالیت کنید، این فرصت را از دست ندهید! 

💢 ۱. عضویت در تیم مدرسین ما 
آیا به آموزش و انتقال دانش علاقه‌مندید؟ به تیم مدرسین ما بپیوندید و در تولید دوره‌های آموزشی جذاب و کاربردی مشارکت کنید. 

💢 ۲. عضویت در تیم ترجمه ما 
اگر به زبان انگلیسی مسلط هستید و به ترجمه مقالات تخصصی علاقه دارید، تیم ترجمه ما منتظر شماست تا دانش امنیت را به زبان فارسی در دسترس همه قرار دهیم. 

💢 ۳. عضویت در تیم ابزارنویسی ما 
آیا به توسعه ابزارهای امنیتی و تست نفوذ علاقه‌مندید؟ به تیم ابزارنویسی ما بپیوندید و در ساخت ابزارهای نوآورانه مشارکت کنید. 

💢 ۴. عضویت در تیم پادکست‌های ما 
عاشق روایت داستان‌ها و تولید محتوای صوتی هستید؟ به تیم پادکست‌های ما بپیوندید و داستان‌های جذاب امنیت سایبری را روایت کنید. 

📍نیاز فوری: به یک یا دو نفر تدوین‌گر حرفه‌ای نیز نیازمندیم! 

🧩 چرا به ما بپیوندید؟ 
- در یک تیم حرفه‌ای و پویا فعالیت کنید. 
- مهارت‌های خود را ارتقا دهید. 
- در تولید محتوای ارزشمند برای جامعه امنیت سایبری نقش داشته باشید. 

👩‍💻 همین حالا به ما پیام دهید و به خانواده TryHackBox بپیوندید! 

💠 شما میتوانید از طریق آیدی زیر به ما پیام دهید :
@Delaram_Najafii

دوستانی که در حوزه SOC و Forensic کار میکنند میتوانند پیام دهند برای تدریس یا فرستادن مقاله و موارد دیگر

جشن چارشنبه سوری خجسته باد

سیاوش چنین گفت با شهریار، که:
«دوزخ مرا زین سخن گشت خوار!

اگر کوهِ آتش بُوَد، بسپْرم.
از این، تنگِ خوار است اگر، بگذرم.

مگر آتشِ تیز، پیدا کند
گنه کرده را زود رسوا کند!

چو بخشایشِ پاکْ یزدان بُوَد
دَمِ آتش و آب یکسان بُوَد!»

حال و هواتون عوض شه دوستان

دوستان به زودی عیدی ما در دسترس شما عزیزان قرار خواهد گرفت ...

🎊 پیشاپیش نوروز یادگار پرارج نیاکان ، شراره ی فروزان فرهنگ ایران‌زمین، نشانی ز روزگاران یگانگی و سرفرازی ایرانیان بر شما پرسرور باد. 🎉
@TryHackBox

درود دوستان این عیدی ما به شما

عیدی اول :

راهنمای جامع ابزار Mimikatz 
این کتاب به بررسی ابزار Mimikatz می‌پردازد که برای استخراج پسوردها، هش‌ها و توکن‌های دسترسی از حافظه سیستم استفاده می‌شود. در این کتاب، شما با تکنیک‌های پایه تا پیشرفته Mimikatz آشنا خواهید شد، از جمله استخراج اعتبارنامه‌ها، دور زدن مکانیزم‌های امنیتی و افزایش دسترسی. همچنین، نمونه‌هایی از حملات واقعی که از Mimikatz استفاده کرده‌اند و نحوه مقابله با این ابزار بررسی شده است. 

عیدی دوم ما :

آشنایی مقدماتی با Mimikatz 

این کتاب به بررسی ابزار Mimikatz می‌پردازد که برای استخراج پسوردها و اعتبارنامه‌ها از حافظه سیستم استفاده می‌شود. در این کتاب، شما با نحوه کار Mimikatz، قابلیت‌های کلیدی آن، و نمونه‌هایی از APT هکرها که از این ابزار استفاده کرده‌اند آشنا خواهید شد. همچنین، روش‌های مقابله با Mimikatz و عبور از نرم‌افزارهای امنیتی نیز بررسی شده است. 

برای دسترسی به کتابچه میمیکتز از لینک زیر استفاده کنید ‌

https://github.com/TryHackBox/Books

@TryHackBox

اگر این کتابچه برای شما مفید بود، لطفاً با دادن یک ستاره (Star) در گیت‌هاب، شما هم یک عیدی به ما بدید .

سال نو خجسته باد!

❤ نوروز سال ۲۵۸۴ پیروز ❤

《 همه ساله بخت تو پیروز باد 》
《 همه روزگار تو نوروز باد 》

عید باشکوه و باستانی نوروز را به تمامی اعضای کانال که پا به پای ما حضور داشتند و چه در لحظات سخت و چه در لحظات خوشی مارا همراهی کردند شاد باش عرض میکنم امیدوارم که سال پر از خیر و برکتی را کنار خانواده و دوستان خود سپری کنید

پاینده باد ایران
@TryHackBox

حضور پر شور مردم در لحظه تحویل سال ۱۴۰۴ در شهرستان پاسارگاد, آرامگاه کورش بزرگ

بحث خارج از امنیت ممنوع
گپ پرسش و پاسخ

https://news.1rj.ru/str/+XPV3S0tygl1lZGE0

کانال ها :
@TryHackBoxStory
@TryHackBoxOfficial

این پست به بررسی اطلاعات نام میزبان ها (Hostnames) و نقش کلیدی آنها در حملات سایبری و تست نفوذ میپردازد.

📌 آنچه در این پست یاد میگیرید:

🔹 شناسایی اهداف حیاتی شبکه با تحلیل نام میزبانها (مثل VPN، Citrix، Exchange، SSO).
🔹 تکنیکهای نفوذ :

    حمله Password Spraying به سرویسهای بدون MFA (مثال: VPN، Citrix).

    🔹 استفاده از Log Stealer برای استخراج اعتبارنامه ها و Lateral Movement.
    🔹 ابزارهای کلیدی: Nmap, Hydra, Metasploit, OpenVPN.
    🔹 مثالهای عملی با دستورات فنی (اسکن پورتها، تست Breakout در Citrix، سرقت لاگها).
    🔹 دفاع مؤثر: محدودسازی دسترسی، رمزنگاری لاگها، نظارت بر فعالیت ها.

#Recon
@TryHackBox

#جلسه_پنجم دوره #رایگان سکوریتی پلاس | Security +

بخش : ادامه رمزنگاری

دوره Security+ یک دوره معتبر و پایه‌ای در زمینه امنیت سایبری است که توسط CompTIA ارائه می‌شود. این دوره به شما مهارت‌های لازم برای شناسایی و مدیریت تهدیدات امنیتی و مقابله با حملات، پیاده‌سازی راهکارهای امنیتی،اصول رمزنگاری و درک اصول امنیت شبکه را آموزش می‌دهد.

قسمت اول :
  https://youtu.be/Hn5qheOVz6Q
قسمت دوم :
https://youtu.be/R8Qzq0qQm3Q
قسمت سوم :
https://youtu.be/bE1KSm7U8uE
قسمت چهارم :
https://youtu.be/wOFhAGvFCSA
قسمت پنجم :
https://youtu.be/7xhLSLB79EI

انتقادی داشتید حتما اطلاع بدید، تا بتونیم آموزش با کیفیت‌تری ارائه بدیم،امیدواریم از آموزش لذت ببرید.

----------
🆔 @TryHackBox
----------

دوستانی که دوره سکوریتی پلاس مارو میگذرونند ، ما یک گروه ایجاد کردیم که فایل تمرینی یا اگر سوالی یا مشکلی داشتید بپرسید و فایل ها رو در اختیارتون قرار بدیم اگر مایل بودید به گروه بپیوندید به ما پیام دهید لینک گروه رو ارسال کنیم برای شما :

@Unique_exploitbot

دوستان از این بعد لوگوی ما این خواهد بود و در مقالات و کتابها از این لوگو استفاده خواهیم کرد

#CVE-2025-29927

در فریم‌ورک Next.js React یک آسیب‌پذیری امنیتی بحرانی شناسایی شده است که تحت شرایط خاص می‌تواند برای دور زدن بررسی‌های احراز هویت مورد سوءاستفاده قرار گیرد.

این آسیب‌پذیری با شناسه CVE-2025-29927 ردیابی شده و امتیاز ۹.۱ از ۱۰ در مقیاس CVSS دارد.

Next.js از هدر داخلی
x-middleware-subrequest
برای جلوگیری از ایجاد حلقه‌های بی‌نهایت در درخواست‌های بازگشتی استفاده می‌کند.
با این حال، رد شدن اجرای Middleware باعث می‌شود درخواست‌ها بتوانند بررسی‌های حیاتی، از جمله اعتبارسنجی کوکی‌های احراز هویت، قبل از رسیدن به مسیرهای موردنظر را دور بزنند.

این مشکل در نسخه‌های ۱۲.۳.۵، ۱۳.۵.۹، ۱۴.۲.۲۵ و ۱۵.۲.۳ برطرف شده است. به عنوان راهکار موقت، توصیه می‌شود از پردازش درخواست‌های کاربران خارجی که حاوی هدر x-middleware-subrequest هستند، جلوگیری شود.

راشد علام (با نام‌های مستعار zhero و cold-try )، محققی که این آسیب‌پذیری را کشف و گزارش کرد، جزئیات فنی بیشتری را افشا کرده است. بنابراین، توصیه می‌شود هرچه سریع‌تر پچ های امنیتی اعمال شوند.

به گفته JFrog، این باگ به مهاجمان اجازه می‌دهد به راحتی بررسی‌های احراز هویت در Middleware ی Next.js را دور بزنند که ممکن است منجر به دسترسی به صفحات حساس وب‌سایت (مخصوص مدیران یا کاربران با دسترسی بالا) شود.

همچنین هشدار داده شده که هر وب‌سایتی که از Middleware برای کنترل دسترسی کاربران بدون بررسی‌های اضافی استفاده می‌کند، در معرض این آسیب‌پذیری (CVE-2025-29927) قرار دارد و مهاجمان می‌توانند به منابع غیرمجاز دسترسی پیدا کنند.
@TryHackBox