Sickle
یک فریمورک برای توسعه پیلود است.
اگرچه ماژول های فعلی این ابزار عمدتاً روی اسمبلی (ساختن باینری) متمرکز هستند، اما محدود به فقط شِلکد (Shellcode) نیست.
در حال حاضر Sickle میتواند در موارد زیر کمک کند:
⦁ تبدیل دستورهای اسمبلی به کد ماشین (اپکدها)
⦁ اجرای بایتکدها، شامل پیلودهای تولید شده
⦁ فرمتبندی opcodes برای زبان های برنامه نویسی تارگت
⦁ شناسایی کاراکترهای نامجاز (bad characters)
⦁ انجام دیس اسمبلی خطی
⦁ مقایسه تفاوتها بین نسخه های مختلف کد
گیت هاب
@TryHackBox
یک فریمورک برای توسعه پیلود است.
اگرچه ماژول های فعلی این ابزار عمدتاً روی اسمبلی (ساختن باینری) متمرکز هستند، اما محدود به فقط شِلکد (Shellcode) نیست.
در حال حاضر Sickle میتواند در موارد زیر کمک کند:
⦁ تبدیل دستورهای اسمبلی به کد ماشین (اپکدها)
⦁ اجرای بایتکدها، شامل پیلودهای تولید شده
⦁ فرمتبندی opcodes برای زبان های برنامه نویسی تارگت
⦁ شناسایی کاراکترهای نامجاز (bad characters)
⦁ انجام دیس اسمبلی خطی
⦁ مقایسه تفاوتها بین نسخه های مختلف کد
گیت هاب
@TryHackBox
❤8
#guide #bestpractices #bugbounty
برای تست فایلهای JavaScript در حوزه باگ بانتی، باید بدونی دنبال چی بگردی. نکاتی که معمولا تو این فایلها پیدا میکنیم شامل این ها هستن:
⦁ API endpoint
های مهم و لینکها و مسیرهای کاربردی برنامه
⦁ اطلاعات ورود (credential) که به صورت هاردکد شده تو کد رفته
⦁ پارامترهای ورودی که ممکنه باعث SSRF یا آسیبپذیری های مشابه بشن
⦁ مشکلات و آسیبپذیری های مبتنی بر DOM و چیزهای دیگه
این موارد بهت کمک می کنن نقاط ضعف وباپلیکیشن رو بهتر پیدا کنی و در باگ بانتی ها استفاده کنی.
گیت هاب
@TryHackBox
برای تست فایلهای JavaScript در حوزه باگ بانتی، باید بدونی دنبال چی بگردی. نکاتی که معمولا تو این فایلها پیدا میکنیم شامل این ها هستن:
⦁ API endpoint
های مهم و لینکها و مسیرهای کاربردی برنامه
⦁ اطلاعات ورود (credential) که به صورت هاردکد شده تو کد رفته
⦁ پارامترهای ورودی که ممکنه باعث SSRF یا آسیبپذیری های مشابه بشن
⦁ مشکلات و آسیبپذیری های مبتنی بر DOM و چیزهای دیگه
این موارد بهت کمک می کنن نقاط ضعف وباپلیکیشن رو بهتر پیدا کنی و در باگ بانتی ها استفاده کنی.
گیت هاب
@TryHackBox
🔥9❤2
درود خدمت دوستان گرامی بنده اینجا روی حملات اکتیو دایرکتوری و مباحث ردتیم تمرکز خواهم کرد و سناریوها و معرفی و اطلاعات جامع در مورد پروتکل ها و موارد دیگر که تجربه بنده هست رو در اختیار شما عزیزان قرار میدهم .
@KavehOffSec
@KavehOffSec
❤14
#reverse #guide
ریورس و تحلیل امنیتی سیستم خانه هوشمند مبتنی بر ESP32
هدف اصلی پروژه، دسترسی به کنترل از راه دور دستگاه و یکپارچهسازی آن با Home Assistant است.
اما برای رسیدن به این هدف باید چند مرحله پیچیده را پشت سر گذاشت از جمله:
⦁ آنالیز اپلیکیشن موبایل مربوطه
⦁ بازکردن فیزیکی دستگاه
⦁ ریورس مهندسی (reverse engineering)
⦁ تحلیل رمزنگاری (cryptographic analysis)
این مراحل کمک میکنند عملکرد سیستم و پروتکلهای امنیتی آن بهطور دقیق بررسی شود و راه دسترسی امن و کامل به کنترل از راه دور فراهم شود.
لینک
@TryHackBox
ریورس و تحلیل امنیتی سیستم خانه هوشمند مبتنی بر ESP32
هدف اصلی پروژه، دسترسی به کنترل از راه دور دستگاه و یکپارچهسازی آن با Home Assistant است.
اما برای رسیدن به این هدف باید چند مرحله پیچیده را پشت سر گذاشت از جمله:
⦁ آنالیز اپلیکیشن موبایل مربوطه
⦁ بازکردن فیزیکی دستگاه
⦁ ریورس مهندسی (reverse engineering)
⦁ تحلیل رمزنگاری (cryptographic analysis)
این مراحل کمک میکنند عملکرد سیستم و پروتکلهای امنیتی آن بهطور دقیق بررسی شود و راه دسترسی امن و کامل به کنترل از راه دور فراهم شود.
لینک
@TryHackBox
👍6
🔖 بازی رمز عبور یک بازی پازل مرورگری محبوب و عجیب در اینترنت است که توسط نیل آگاروال ساخته شده است، جایی که بازیکن باید رمز عبوری بسازد که با قوانین روزافزون عجیب و غریب و غیرمعمول مطابقت داشته باشد، قوانینی که شامل مسائل ریاضی، قوانین شطرنج، بازیهایی مانند GeoGuessr و پازلهای منطقی میشود.
بازی با الزامات ساده شروع میشود (طول، اعداد، حروف)، اما به سرعت پیچیده میشود و از بازیکن میخواهد از منطق، تداعیها، دانش و ذکاوت برای برآورده کردن تمام شرایط قبلی استفاده کند تا به مرحله بعدی برود.
تو چند مرحله از بازی را میتوانی پشت سر بگذاری؟
https://neal.fun/password-game/
#game #password
@TryHackBox
بازی با الزامات ساده شروع میشود (طول، اعداد، حروف)، اما به سرعت پیچیده میشود و از بازیکن میخواهد از منطق، تداعیها، دانش و ذکاوت برای برآورده کردن تمام شرایط قبلی استفاده کند تا به مرحله بعدی برود.
تو چند مرحله از بازی را میتوانی پشت سر بگذاری؟
https://neal.fun/password-game/
#game #password
@TryHackBox
👏4❤1
🛡 فایروال: دیوار دفاعی شبکه! 🔥
فایروال اولین خط دفاعی هر شبکهای هست که ترافیک ورودی و خروجی رو بر اساس سیاستهای امنیتی کنترل میکنه.
✍️نویسنده
@TryHackBoxStory | The Chaos
#FireWall #Network #CyberSecurity #Blog
فایروال اولین خط دفاعی هر شبکهای هست که ترافیک ورودی و خروجی رو بر اساس سیاستهای امنیتی کنترل میکنه.
✍️نویسنده
@TryHackBoxStory | The Chaos
#FireWall #Network #CyberSecurity #Blog
👍6❤1
از دیدگاه هکر (Attacker View) 🔴
🛡 فایروال: از نگاه هکرها!
هکر اینجا صحبت میکند:
"فایروال اولین دیواری هست که باید بشکنم! اینجا نقطهضعفهایی که دنبالش میگردم:
🔸 قواعد ضعیف:
فایروالهایی که Deny All ندارند
پورتهای باز غیرضروری (مثل 21, 23, 135)
قرار دادن ACLهای نامحدود
🔸 کانفیگهای غلط:
کانفیگ DMZ با دسترسی به شبکه داخلی
قواعد NAT شل و نامحدود
ایجاد VPN با احراز هویت ضعیف
🔸 منفذهای نفوذ:
فایروالهای آپدیت نشده
غیرفعال بودنLogging
داشتن IDS/IPS با Signatureهای قدیمی
💡 نکته: فایروال فقط به اندازه ضعیفترین قاعدهاش امنه!
از دیدگاه مدیر فناوری (IT Manager) 🟡
🛡 فایروال: چالشهای مدیریتی
به عنوان مدیر IT، این چالشها رو دارم:
🔹 بالانس امنیت و کارایی:
چطور امن باشیم بدون کند کردن سرویسها؟
مدیریت ترافیک encrypted
پاسخ به درخواستهای بخشهای مختلف
🔹 مدیریت پیچیده:
نگهداری از صدها قاعده
عیبیابی مسائل شبکه
مستندسازی قواعد
🔹 منابع محدود:
بودجه برای آپدیت سختافزار
نیروی متخصص برای پایش 24/7
آموزش مستمر تیم
💡 راهحل: اتوماسیون، مانیتورینگ مداوم و آموزش تیم
از دیدگاه تیم آبی (Blue Team) 🔵
🛡 فایروال: سلاح تیم آبی
ما در تیم آبی اینطور از فایروال استفاده میکنیم:
✅ استراتژی دفاع لایهای:
فایروال اولین لایه از ۷ لایه امنیتی
ترکیب با IPS, WAF, EDR
دفاع عمقی (Defense in Depth)
✅ مانیتورینگ پیشرفته:
آنالیز ترافیک شمالی-جنوبی
تشخیص ناهنجاریهای رفتاری
یکپارچهسازی با SIEM
✅ پاسخ به حادثه:
مسدود کردن سریع IPهای مخرب
ایجاد قواعد موقت هنگام حمله
آنالیز لاگها برای Forensics
🔥 نکته کلیدی: فایروال هوشمند + تحلیلگر حرفهای = دفاع قدرتمند
✍️نویسنده
@TryHackBoxStory | The Chaos
#FireWall #Network #CyberSecurity #IT #Blog
🛡 فایروال: از نگاه هکرها!
هکر اینجا صحبت میکند:
"فایروال اولین دیواری هست که باید بشکنم! اینجا نقطهضعفهایی که دنبالش میگردم:
🔸 قواعد ضعیف:
فایروالهایی که Deny All ندارند
پورتهای باز غیرضروری (مثل 21, 23, 135)
قرار دادن ACLهای نامحدود
🔸 کانفیگهای غلط:
کانفیگ DMZ با دسترسی به شبکه داخلی
قواعد NAT شل و نامحدود
ایجاد VPN با احراز هویت ضعیف
🔸 منفذهای نفوذ:
فایروالهای آپدیت نشده
غیرفعال بودنLogging
داشتن IDS/IPS با Signatureهای قدیمی
💡 نکته: فایروال فقط به اندازه ضعیفترین قاعدهاش امنه!
از دیدگاه مدیر فناوری (IT Manager) 🟡
🛡 فایروال: چالشهای مدیریتی
به عنوان مدیر IT، این چالشها رو دارم:
🔹 بالانس امنیت و کارایی:
چطور امن باشیم بدون کند کردن سرویسها؟
مدیریت ترافیک encrypted
پاسخ به درخواستهای بخشهای مختلف
🔹 مدیریت پیچیده:
نگهداری از صدها قاعده
عیبیابی مسائل شبکه
مستندسازی قواعد
🔹 منابع محدود:
بودجه برای آپدیت سختافزار
نیروی متخصص برای پایش 24/7
آموزش مستمر تیم
💡 راهحل: اتوماسیون، مانیتورینگ مداوم و آموزش تیم
از دیدگاه تیم آبی (Blue Team) 🔵
🛡 فایروال: سلاح تیم آبی
ما در تیم آبی اینطور از فایروال استفاده میکنیم:
✅ استراتژی دفاع لایهای:
فایروال اولین لایه از ۷ لایه امنیتی
ترکیب با IPS, WAF, EDR
دفاع عمقی (Defense in Depth)
✅ مانیتورینگ پیشرفته:
آنالیز ترافیک شمالی-جنوبی
تشخیص ناهنجاریهای رفتاری
یکپارچهسازی با SIEM
✅ پاسخ به حادثه:
مسدود کردن سریع IPهای مخرب
ایجاد قواعد موقت هنگام حمله
آنالیز لاگها برای Forensics
🔥 نکته کلیدی: فایروال هوشمند + تحلیلگر حرفهای = دفاع قدرتمند
✍️نویسنده
@TryHackBoxStory | The Chaos
#FireWall #Network #CyberSecurity #IT #Blog
❤8👍4
Media is too big
VIEW IN TELEGRAM
در سالنامه ایرانی بیستم مهر ماه روز بزرگداشت رند شیراز(حافظ) است.
هرچند تابی نمانده و نه دلی...
بماند به یادگار...
شاید سال دیگر شادمانهتر دیدیماش
که بندی نبود، ستمی نبود، دلها خوش بودند
و جانها شاداب و ...
جان، بی جمال ِ جانان میل ِ جهان ندارد
هر کس که این ندارد، حقا که آن ندارد
با هیچکس نشانی زآن دلستان ندیدم
یا من خبر ندارم؛ یا او نشان ندارد
هر شبنمی در این ره صد بحر ِ آتشین است
دردا که این معما شرح و بیان ندارد
سرمنزل ِ فراغت نتوان زِ دست دادن
ای ساروان! فروکش! کاین رَه کران ندارد
چنگ ِ خمیده قامت میخوانَد ت به عشرت
بشنو! که پند ِ پیران هیچات زیان ندارد
ای دل! طریق ِ رندی از محتسب بیاموز
مست است و در حق ِ او کس این گمان ندارد
احوال ِ گنج ِ قارون -کایام داد بر باد-
در گوش ِ دل فروخوان؛ تا زَر نهان ندارد
گر خود، رقیب، شمع است؛ اَسرار از او بپوشان
کآن شوخ ِ سَربُریده، بند ِ زبان ندارد
کس در جهان ندارد یک بنده همچو حافظ
زیرا که: چون تو شاهی کس در جهان ندارد.
خوانش: فریدون فرحاندوز
روز بزرگداشت"رند شیرازی"
@TryHackBox
هرچند تابی نمانده و نه دلی...
بماند به یادگار...
شاید سال دیگر شادمانهتر دیدیماش
که بندی نبود، ستمی نبود، دلها خوش بودند
و جانها شاداب و ...
جان، بی جمال ِ جانان میل ِ جهان ندارد
هر کس که این ندارد، حقا که آن ندارد
با هیچکس نشانی زآن دلستان ندیدم
یا من خبر ندارم؛ یا او نشان ندارد
هر شبنمی در این ره صد بحر ِ آتشین است
دردا که این معما شرح و بیان ندارد
سرمنزل ِ فراغت نتوان زِ دست دادن
ای ساروان! فروکش! کاین رَه کران ندارد
چنگ ِ خمیده قامت میخوانَد ت به عشرت
بشنو! که پند ِ پیران هیچات زیان ندارد
ای دل! طریق ِ رندی از محتسب بیاموز
مست است و در حق ِ او کس این گمان ندارد
احوال ِ گنج ِ قارون -کایام داد بر باد-
در گوش ِ دل فروخوان؛ تا زَر نهان ندارد
گر خود، رقیب، شمع است؛ اَسرار از او بپوشان
کآن شوخ ِ سَربُریده، بند ِ زبان ندارد
کس در جهان ندارد یک بنده همچو حافظ
زیرا که: چون تو شاهی کس در جهان ندارد.
خوانش: فریدون فرحاندوز
روز بزرگداشت"رند شیرازی"
@TryHackBox
❤10
مقدمات فایروال.pdf
778.8 KB
✏️ مقاله تالیف شده
مقدمات فایروال
✍️نویسنده
@TryHackBox | The Chaos
#FireWall #Cybersecurity #Networking
مقدمات فایروال
✍️نویسنده
@TryHackBox | The Chaos
#FireWall #Cybersecurity #Networking
❤3🔥1
Recon-User-LinkedIn-Part1-THB-Team.pdf
1.1 MB
🔖 در این آموزش از تیم TryHackBox، به بررسی reconnaissance بر پایه LinkedIn میپردازیم. یاد میگیرید چطور ساختار سازمانی رو نقشهبرداری کنید، اهداف کلیدی رو شناسایی کنید و از ابزارهایی مثل theHarvester و Maltego برای جمعآوری اطلاعات عمومی استفاده کنید. مثالهای عملی، تمرینهای گامبهگام و چکلیست اخلاقی هم داخلش هست.
@TryHackBox | Github | YouTube | Group
#Recon #OSINT #Linkedin
@TryHackBox | Github | YouTube | Group
#Recon #OSINT #Linkedin
linkedin_results_template.csv
683 B
این فایل مربوط به آموزش بالا میباشد .
@TryHackBox
@TryHackBox
target_list_template.csv
723 B
این فایل مربوط به آموزش بالا میباشد .
@TryHackBox
@TryHackBox
❤5👍5❤🔥1
🔖 grype v0.100.0
اسکنر آسیبپذیری برای containers و فایل سیستم ها
نصب:
راهاندازی:
https://github.com/anchore/grype
@TryHackBox
#grype #soft #golang
اسکنر آسیبپذیری برای containers و فایل سیستم ها
نصب:
curl -sSfL https://get.anchore.io/grype | sudo sh -s -b /usr/local/bin
راهاندازی:
grype scope all-layers
https://github.com/anchore/grype
@TryHackBox
#grype #soft #golang