Recon-User by THB Team.pdf
1.8 MB
🔖 مباحثی که خواهید آموخت :
▫️ درباره ی ابزار Hunter.io چیست و موارد دیگر ...
▪️ ابزارهای جایگزین پولی / رایگان
▫️دادههای عمومی نشت اطلاعات اعتبارنامهها
▪️دادههای نشت عمومی
▫️منابع پیداکردن Breach data
▪️شناسایی وظایف کارکنان در سازمانها
▫️سناریو مهندسی اجتماعی (حمله هدفمند به یک سازمان):
▪️درمورد ابزار Linkedlnt بیاموزید .
▫️جمعآوری مخاطبین
▪️درمورد SpiderFoot بدانید.
➖➖➖➖➖➖
#⃣ #ReconUser
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod
🆔 @TryCodeBox
▫️ درباره ی ابزار Hunter.io چیست و موارد دیگر ...
▪️ ابزارهای جایگزین پولی / رایگان
▫️دادههای عمومی نشت اطلاعات اعتبارنامهها
▪️دادههای نشت عمومی
▫️منابع پیداکردن Breach data
▪️شناسایی وظایف کارکنان در سازمانها
▫️سناریو مهندسی اجتماعی (حمله هدفمند به یک سازمان):
▪️درمورد ابزار Linkedlnt بیاموزید .
▫️جمعآوری مخاطبین
▪️درمورد SpiderFoot بدانید.
➖➖➖➖➖➖
#⃣ #ReconUser
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod
🆔 @TryCodeBox
👍6
💡 اگر Jenkins به درستی پیکربندی نشده باشد، ممکن است به شما اجازه دهد یک حساب کاربری ثبت کنید و گاهی اوقات حتی به Payplane CI/CD، گزارشهای ساخت و حتی کنسول Jenkins Groovy دسترسی داشته باشید.
نقاط پایانی برای بررسی:
• /signup
• /jenkins/signup
#bugbounty #tips #recon
@TryHackBox
نقاط پایانی برای بررسی:
• /signup
• /jenkins/signup
#bugbounty #tips #recon
@TryHackBox
👍4
💠 روز بزرگداشت"دانشمند بزرگ خيام نيشابوری"
📕زادروز "دانشمند خَیام نیشابوری"ریاضیدان، ستارهشناس و چارانهسرای ایرانی،
در زمان سلجوقی(۴۲۷ خ)
📖سالنامه خورشيدی كه ايرانيان آن را بکار میبرند، ششم مارس ۱۰۷۹ زایشی بدست دانشمند بزرگ خيام نوشته شد كه به سالنامه جلالی نام گرفته است، زيرا كه در زمان پادشاهی جلال الدين ملكشاه نوشته شده بود.
اين سالنامه درستتر از سالنامه ترسایی است، زيرا كه درستنویسی آن هر ۳۷۷۰ سال يک روز است و سالنامه ترسایی هر ۳۳۳۰ سال.
⭕ 28 اردیبهشت روز بزرگداشت حکیم خیام نیشابوری
@TryHackBox
📕زادروز "دانشمند خَیام نیشابوری"ریاضیدان، ستارهشناس و چارانهسرای ایرانی،
در زمان سلجوقی(۴۲۷ خ)
📖سالنامه خورشيدی كه ايرانيان آن را بکار میبرند، ششم مارس ۱۰۷۹ زایشی بدست دانشمند بزرگ خيام نوشته شد كه به سالنامه جلالی نام گرفته است، زيرا كه در زمان پادشاهی جلال الدين ملكشاه نوشته شده بود.
اين سالنامه درستتر از سالنامه ترسایی است، زيرا كه درستنویسی آن هر ۳۷۷۰ سال يک روز است و سالنامه ترسایی هر ۳۳۳۰ سال.
⭕ 28 اردیبهشت روز بزرگداشت حکیم خیام نیشابوری
@TryHackBox
❤15🔥1
دوستان میخوام کتاب چاپ کنم انتشارات خوب میشناسید معرفی کنید در کامنت ها
@THBxSupport
@THBxSupport
👍7
🔥 بهترین ماشینهای مجازی برای متخصصان امنیت سایبری
💿 Kali Purple (SOC-in-a-box)
💿 Kali Linux (Pentesting)
💿 Predator-OS (Pentesting)
💿 BlackArch Linux (Pentesting)
💿 BackBox (Pentesting)
💿 Kookarai (Pentesting)
💿 ParrotOS (Red and Blue Team operation)
💿 Commando VM (Windows-based Pentesting/Red Teaming)
💿 Whonix (Privacy and Anonymity)
💿 Tails (Privacy and Anonymity)
💿 Qubes OS (Hypervisor)
💿 Mandiant Threat Pursuit (Windows-based Threat Intelligence and Hunting)
💿 Tsurugi Linux (Digital Forensics and OSINT)
💿 SIFT Workstation (Digital Forensics)
💿 CSI Linux (Digital Forensics)
💿 CAINE (Digital Forensics)
💿 RedHunt-OS Linux (Adversary Emulation and Threat Hunting)
💿 FLARE-VM (Reverse Engineering)
💿 REMnux (Reverse Engineering/Malware Analysis)
💿 Trace Labs OSINT VM (OSINT to Find Missing Persons)
💿 Security Onion (Threat Hunting, Network Security Monitoring, and Log Management)
➖➖➖➖
#⃣ #VM
🆔 @TryHackBox
💿 Kali Purple (SOC-in-a-box)
💿 Kali Linux (Pentesting)
💿 Predator-OS (Pentesting)
💿 BlackArch Linux (Pentesting)
💿 BackBox (Pentesting)
💿 Kookarai (Pentesting)
💿 ParrotOS (Red and Blue Team operation)
💿 Commando VM (Windows-based Pentesting/Red Teaming)
💿 Whonix (Privacy and Anonymity)
💿 Tails (Privacy and Anonymity)
💿 Qubes OS (Hypervisor)
💿 Mandiant Threat Pursuit (Windows-based Threat Intelligence and Hunting)
💿 Tsurugi Linux (Digital Forensics and OSINT)
💿 SIFT Workstation (Digital Forensics)
💿 CSI Linux (Digital Forensics)
💿 CAINE (Digital Forensics)
💿 RedHunt-OS Linux (Adversary Emulation and Threat Hunting)
💿 FLARE-VM (Reverse Engineering)
💿 REMnux (Reverse Engineering/Malware Analysis)
💿 Trace Labs OSINT VM (OSINT to Find Missing Persons)
💿 Security Onion (Threat Hunting, Network Security Monitoring, and Log Management)
➖➖➖➖
#⃣ #VM
🆔 @TryHackBox
❤15👍8
🔥 در ابزار Nuclei روش جدیدی برای تشخیص حملات XSS اضافه شده است!
در این راهنما، استفاده از حالت headless در nuclei برای تشخیص سادهتر و دقیقتر XSS با استفاده از عملگر
🔹 مطالعهٔ راهنما
#guide #bugbounty #pentest
@TryHackBox
در این راهنما، استفاده از حالت headless در nuclei برای تشخیص سادهتر و دقیقتر XSS با استفاده از عملگر
waitdialog توضیح داده شده است. این روش به طور قابل توجهی پیچیدگی مقایسه پاسخهای سرور را کاهش میدهد و در عین حال دقت بالایی را حفظ میکند.🔹 مطالعهٔ راهنما
#guide #bugbounty #pentest
@TryHackBox
👍14
🧐 آیا قبلاً خواستهاید به سرعت باگهای «HTTP Request Smuggling» را تست کنید؟
Smuggler
یک ابزار خودکار است که به شما در تشخیص آسیبپذیریهای HTTP request smuggling و همچنین HTTP desync کمک میکند. دقت کنید، این ابزار ممکن است در برخی موارد نتیجه فالس (غلط) اعلام کند، به خاطر ذات پیچیده همین آسیبپذیری.
👉 GitHub
#tools #pentest #bugbounty
@TryHackBox
Smuggler
یک ابزار خودکار است که به شما در تشخیص آسیبپذیریهای HTTP request smuggling و همچنین HTTP desync کمک میکند. دقت کنید، این ابزار ممکن است در برخی موارد نتیجه فالس (غلط) اعلام کند، به خاطر ذات پیچیده همین آسیبپذیری.
👉 GitHub
#tools #pentest #bugbounty
@TryHackBox
👍7❤1
برگزاری جلسه لایو : SOC با مهندس پویان رمانی
با سلام خدمت دوستان و همراهان عزیز،
در راستای ارتقای سطح دانش فنی و آشنایی بیشتر با مباحث امنیت سایبری، قصد داریم جلسهای تخصصی و آموزشی در خصوص (SOC) به صورت ویس چت برگزار کنیم.
🎙️ مهمان ویژه:
مهندس پویان زمانی – کارشناس ارشد مرکز عملیات (SOC)
📅 زمان برگزاری: دو شنبه این هفته
📍 پلتفرم: تلگرام (ویس چت)
🕗 ساعت : 20:00
💬 موضوعات خود را درباره SOC در کامنتهاارسال کنید تا در جلسه به آنها پرداخته شود.
🔔 نکته مهم:
جهت شرکت به موقع جلسه، حتماً کانال تلگرام را چک کنید تا از این جلسه جا نمونید .
@TryHackBox
با سلام خدمت دوستان و همراهان عزیز،
در راستای ارتقای سطح دانش فنی و آشنایی بیشتر با مباحث امنیت سایبری، قصد داریم جلسهای تخصصی و آموزشی در خصوص (SOC) به صورت ویس چت برگزار کنیم.
🎙️ مهمان ویژه:
مهندس پویان زمانی – کارشناس ارشد مرکز عملیات (SOC)
📅 زمان برگزاری: دو شنبه این هفته
📍 پلتفرم: تلگرام (ویس چت)
🕗 ساعت : 20:00
💬 موضوعات خود را درباره SOC در کامنتهاارسال کنید تا در جلسه به آنها پرداخته شود.
🔔 نکته مهم:
جهت شرکت به موقع جلسه، حتماً کانال تلگرام را چک کنید تا از این جلسه جا نمونید .
@TryHackBox
👍14❤1
قسمت دوم زیرو تاک
@RadioZeroPod | @TryHackBox
⭕ قسمت دوم زیرو تاک
🔶️ مهندس پویان زمانی، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد.
🔶️ از کجا شروع کردید؟ آیا هنوز علاقهمند به حوزه امنیت هستید؟
🔶️ امنیت چیست؟
🔶️ توضیح معماری دفاع در عمق
🔶️ نقشهای امنیتسایبری بر اساس لایههای معماری دفاع در عمق
🔶️ تعریف SOC
🔶️ تاثیر هوش مصنوعی در SOC
🔶️ در نهایت سوالاتی از جانب شرکتکنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.
🎤 راهبر گفتگوی امنیتی : حسین نائیجی
@RadioZeroPod
@TryHackBox
🔶️ مهندس پویان زمانی، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد.
🔶️ از کجا شروع کردید؟ آیا هنوز علاقهمند به حوزه امنیت هستید؟
🔶️ امنیت چیست؟
🔶️ توضیح معماری دفاع در عمق
🔶️ نقشهای امنیتسایبری بر اساس لایههای معماری دفاع در عمق
🔶️ تعریف SOC
🔶️ تاثیر هوش مصنوعی در SOC
🔶️ در نهایت سوالاتی از جانب شرکتکنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.
🎤 راهبر گفتگوی امنیتی : حسین نائیجی
@RadioZeroPod
@TryHackBox
❤10⚡1
Forwarded from Try Hack Box
📚 کتابچه "Mimikatz: تسلط عملی بر تکنیکهای پیشرفته حملات Active Directory" از مقدماتی تا پیشرفته.
اگر در حوزه امنیت سایبری و تست نفوذ Active Directory فعالیت میکنید، این کتابچه ضروریترین منبعی است که میتوانید داشته باشید!
منبعی کامل برای تیمهای قرمز (Red Team)، شامل دستورات عملی، اسکریپتهای آماده، و تکنیکهای evasion است که مستقیماً در تستهای نفوذ استفاده میشوند.
همین حالا این کتاب تخصصی را به زبان فارسی بخوانید.
🔥 عرضه ویژه اولین فروش:
💰 قیمت اصلی: ۲۵۰,۰۰۰ تومان
💥 با ۴۰٪ تخفیف: فقط ۱۵۰,۰۰۰ تومان
⚠️مهلت تخفیف: تنها ۵ روز دیگر!
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
اگر در حوزه امنیت سایبری و تست نفوذ Active Directory فعالیت میکنید، این کتابچه ضروریترین منبعی است که میتوانید داشته باشید!
منبعی کامل برای تیمهای قرمز (Red Team)، شامل دستورات عملی، اسکریپتهای آماده، و تکنیکهای evasion است که مستقیماً در تستهای نفوذ استفاده میشوند.
همین حالا این کتاب تخصصی را به زبان فارسی بخوانید.
🔥 عرضه ویژه اولین فروش:
💰 قیمت اصلی: ۲۵۰,۰۰۰ تومان
💥
⚠️
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
👏3
🎣 Evilginx3 Phishlets
• شاید قبلاً اسم ابزار Evilginx رو شنیده باشید این یک reverse proxy (پروکسی معکوس) است که ارتباط بین کاربر و یک وبسایت هدف را از طریق خودش رد میکند و به شما امکان میدهد نام کاربری، رمز عبور و توکنهای سشن را سرقت کنید. با استفاده از این فریمورک حتی میتوانید احراز هویت دو مرحلهای (2FA) را هم دور بزنید.
• در Evilginx از چیزی به نام fishlet (فیشلت) استفاده میشود. فیشلتها فایلهای تنظیماتی هستند که رفتار اصلی Evilginx را تعیین میکنند. درون این فایلها مشخص میکنید که چگونه وارد کردن نام کاربری و رمز عبور تشخیص داده شود، چه نوع کوکیهای سشن وجود دارند و چطور آنها را جمعآوری کنید تا حمله فیشینگ شما موفقیتآمیز باشد.
• خبر خوش اینکه تمامی این فیشلتها را میتوانید در یک ریپوزیتوری منظم پیدا کنید. لینک زیر:
https://github.com/simplerhacking/Evilginx3-Phishlets
در این ریپوزیتوری صفحات ورود (login) اصلی سرویسهای بزرگ ابری مثل Google، AWS و Microsoft آماده شده است و همهچیز برای استفاده با Evilginx3 تنظیم شده است.
⚠️ نکته مهم:
این مطالب فقط جنبه آموزشی و شناخت فنی دارند و صرفاً برای متخصصان امنیت اطلاعات و در محیطهای کنترلشده تستی طراحی شدهاند.
استفاده غیرقانونی و سوءقصد به دیگران کاملاً غیراخلاقی و غیرمجاز است.
@TryHackBox
• شاید قبلاً اسم ابزار Evilginx رو شنیده باشید این یک reverse proxy (پروکسی معکوس) است که ارتباط بین کاربر و یک وبسایت هدف را از طریق خودش رد میکند و به شما امکان میدهد نام کاربری، رمز عبور و توکنهای سشن را سرقت کنید. با استفاده از این فریمورک حتی میتوانید احراز هویت دو مرحلهای (2FA) را هم دور بزنید.
• در Evilginx از چیزی به نام fishlet (فیشلت) استفاده میشود. فیشلتها فایلهای تنظیماتی هستند که رفتار اصلی Evilginx را تعیین میکنند. درون این فایلها مشخص میکنید که چگونه وارد کردن نام کاربری و رمز عبور تشخیص داده شود، چه نوع کوکیهای سشن وجود دارند و چطور آنها را جمعآوری کنید تا حمله فیشینگ شما موفقیتآمیز باشد.
• خبر خوش اینکه تمامی این فیشلتها را میتوانید در یک ریپوزیتوری منظم پیدا کنید. لینک زیر:
https://github.com/simplerhacking/Evilginx3-Phishlets
در این ریپوزیتوری صفحات ورود (login) اصلی سرویسهای بزرگ ابری مثل Google، AWS و Microsoft آماده شده است و همهچیز برای استفاده با Evilginx3 تنظیم شده است.
⚠️ نکته مهم:
این مطالب فقط جنبه آموزشی و شناخت فنی دارند و صرفاً برای متخصصان امنیت اطلاعات و در محیطهای کنترلشده تستی طراحی شدهاند.
استفاده غیرقانونی و سوءقصد به دیگران کاملاً غیراخلاقی و غیرمجاز است.
@TryHackBox
GitHub
GitHub - simplerhacking/Evilginx3-Phishlets: This repository provides penetration testers and red teams with an extensive collection…
This repository provides penetration testers and red teams with an extensive collection of dynamic phishing templates designed specifically for use with Evilginx3. May be updated periodically. - si...
❤3👍2
🎯 دوره آموزشی SEC504 مبتنی بر چالش
🔐 یادگیری استاندارد + تمرین عملی با چالشهای واقعی امنیت سایبری
در این دوره ترکیبی و منحصربهفرد، هم سرفصلهای استاندارد دوره SEC504 موسسه SANS را آموزش میبینید، و هم با ۱۰ چالش واقعی از پلتفرم Challenginno مهارتهای عملی خود را تقویت میکنید.
✅ آموزش مفاهیم | ✅ تحلیل و Exploit آسیبپذیریها | ✅ حل چالش و دریافت مدرک مهارتی
👨💻 مناسب برای:
علاقمندان به امنیت، تحلیلگران SOC، تیمهای تست نفوذ، شرکتکنندگان قبلی CEH یا SEC504، و علاقمندان CTF
📚 سرفصلها:
Recon – Scanning – Exploitation – Password Attacks – Post-Exploitation – Incident Handling
🎁 ویژگیهای دوره:
✅ ۶ جلسه آموزش با محتوای رسمی SEC504
✅ حل کامل ۱۰ چالش واقعی + Write-up
✅ دسترسی ۳ ماهه به پلتفرم Challenginno
✅ مدرک مهارتی در صورت موفقیت در چالش نهایی
✅ وبینارهای تخصصی
🗓 شروع دوره: جمعه ۲۰ تیرماه
⏰ زمان برگزاری: جمعهها، ساعت ۹ تا ۱۴
📩 برای ثبتنام یا دریافت اطلاعات بیشتر به لینک زیر مراجعه نمایید:
🌐 https://evnd.co/TsRDb
اگر سوالی در خصوص دوره دارید با آی دی enitp در ارتباط باشید
🔐 یادگیری استاندارد + تمرین عملی با چالشهای واقعی امنیت سایبری
در این دوره ترکیبی و منحصربهفرد، هم سرفصلهای استاندارد دوره SEC504 موسسه SANS را آموزش میبینید، و هم با ۱۰ چالش واقعی از پلتفرم Challenginno مهارتهای عملی خود را تقویت میکنید.
✅ آموزش مفاهیم | ✅ تحلیل و Exploit آسیبپذیریها | ✅ حل چالش و دریافت مدرک مهارتی
👨💻 مناسب برای:
علاقمندان به امنیت، تحلیلگران SOC، تیمهای تست نفوذ، شرکتکنندگان قبلی CEH یا SEC504، و علاقمندان CTF
📚 سرفصلها:
Recon – Scanning – Exploitation – Password Attacks – Post-Exploitation – Incident Handling
🎁 ویژگیهای دوره:
✅ ۶ جلسه آموزش با محتوای رسمی SEC504
✅ حل کامل ۱۰ چالش واقعی + Write-up
✅ دسترسی ۳ ماهه به پلتفرم Challenginno
✅ مدرک مهارتی در صورت موفقیت در چالش نهایی
✅ وبینارهای تخصصی
🗓 شروع دوره: جمعه ۲۰ تیرماه
⏰ زمان برگزاری: جمعهها، ساعت ۹ تا ۱۴
📩 برای ثبتنام یا دریافت اطلاعات بیشتر به لینک زیر مراجعه نمایید:
🌐 https://evnd.co/TsRDb
اگر سوالی در خصوص دوره دارید با آی دی enitp در ارتباط باشید
❤2👍2
🔥 به تحقیق در مورد امنیت وردپرس علاقه دارید؟
محقق امنیتی، آناندا داکال، روش خود را برای پیدا کردن تزریق SQL غیرمجاز در افزونه WooCommerce Wishlist وردپرس شرکت TI به اشتراک میگذارد.
https://patchstack.com/articles/unpatched-sql-injection-vulnerability-in-ti-woocommerce-wishlist-plugin/
#pentest #bugbounty #bestpractices
@TryHackBox
محقق امنیتی، آناندا داکال، روش خود را برای پیدا کردن تزریق SQL غیرمجاز در افزونه WooCommerce Wishlist وردپرس شرکت TI به اشتراک میگذارد.
https://patchstack.com/articles/unpatched-sql-injection-vulnerability-in-ti-woocommerce-wishlist-plugin/
#pentest #bugbounty #bestpractices
@TryHackBox
❤3