کاربر و کاربران مخرب
کاربر یک کاربر سیستم کامپیوتری است. می تواند یک کارمند یا مشتری شما یا یک کاربرخارجی باشد.کاربر مخرب کاربری است که سوء استفاده یا به سیستم ها و برنامه های کامپیوتری حمله می کند.

@TryHackBox

Root or Administrator

کاربران root یا administrator کاربرانی هستند که شبکه های فناوری اطلاعات یا سیستم های منفرد را مدیریت میکنند.آنها حداکثر دسترسی را نسبت به یک سیستم دارند.
#دسترسی
@TryHackBox

Privileges
در یک سیستم کامپیوتری، دسترسی اقدامی را که یک کاربر ، مجاز به انجام آن است.هر چه دسترسی بالاتر باشد، کنترل روی یک سیستمی که یک کاربر دارد بیشتر است.
#دسترسی
@TryHackBox

Security Through Obscurity

امنیت از طریق ابهام استفاده از محرمانه بودن طراحی پیاده سازی یا پیکربندی به منظور ارائه امنیت است.

نمی تواند یک مهاجم ماهر و با انگیزه را متوقف کند.

@TryHackBox

#news

یک هکر 22 ساله، ششمین عضو یک گروه هکر بین المللی به نام "جامعه" به دلیل سرقت میلیون ها ارز دیجیتال از طریق حملات SIM Hijacking زندانی شده است.

جزئیات: https://thehackernews.com/2021/12/hacker-jailed-for-stealing-millions-of.html

Information Gathering

جمع آوری اطلاعات اولین و یکی از بیشترین مراحل اساسی یک تست نفوذ موفق است . بیشتر مبتدیان تمایل دارند این مرحله را نادیده بگیرند یا عجله کنند. اگر شما می خواهید یک تست نفوذ موثر انجام دهید. اون کارو نکنید!

#نکته
@TryHackBox

سلام خدمت کاربران Unique_exploit

به زودی می‌رسیم به بحث های عملی که دانش Lpic لازمه داشته باشید درحد Lpic1 هم خوبه اگه ندارید نگران نباشید من یک کتاب دارم مینویسم که از کانال حمایت بشه به صورت رایگان در اختیار همه قرار داده میشه اگه نشه قیمتی در نظر گرفته خواهد شد .

@TryHackBox

چنین اطلاعاتی شامل:
____________________________
نام ها و آدرس های ایمیل
• هيئت مدیره
• سرمایه گذاران
• مدیران و کارکنان
_____________________________
• محل و آدرس شعبه


اطلاعات فوق در صورت مهندسی اجتماعی بسیار مفید است طبق قوانین مجاز است، همانطور که شما قادر به انجام حملات هدفمند موثر خواهید بود.

#جمع_آوری_اطلاعات
@TryHackBox

Understanding the Business یا ( درک کسب و کار )

از آنجایی که هدف تست نفوذ تقلید اثرات یک حمله هکر کلاه سیاه، شما باید بفهمید که خطرات موجود چیست و چه چیزهایی برای مشتری مهم است زیرساخت ها داشتن درک از تجارت یک جنبه کلیدی در آن است درک آنچه برای مشتری شما مهم است‌.این اجازه می دهد بنابراین باید بدانید چه چیزی برای مشتری حیاتی است به شما امکان می دهد خطرات مرتبط با موفقیت را ارزیابی کنید حمله کنند.
@TryHackBox

بحث information Gathering رو مرور میکنیم مجدد و بعد footprinting and Scanning .

سوالی هم داشتید در گروه بپرسید .

بات دریافت پل برای اتصال به TOR
@GetBridgesBot

این بات رو کاربران روسیه بعد از اینکه دامنه تور پروجکت در روسیه مسدود شد راه‌اندازی کردن
پلی که برای هر کاربر فرستاده میشه برای کس دیگه فرستاده نمیشه

@TryHackBox

Whois

یکی دیگر از منابع ارزشمند پایگاه داده Whois است. می توانید از آن برای دریافت اطلاعاتی مانند:

Owner name
Street addresses
Email Address
Technical contacts

شما می‌توانید با استفاده از فرمان whois در لینوکس و OSX پایگاه‌داده را پرس و جو کنید.
اگر در حال اجرای (مایکروسافت ویندوز)هستید، می‌توانید Sysinternal را نصب کنید.
#جمع_آوری_اطلاعات
@TryHackBox

در اینجا برخی از اطلاعات را که با انجام یک جستجوی whois برای sans.org به دست آوردیم، را مشاهده می‌کنیم.

@TryHackBox

لینوکس Journey سرویسی برای آزمایش دانش شما از سیستم های لینوکس است.

آیا می خواهید دانش لینوکس خود را بهبود بخشید؟ یا اینکه بررسی کردن خود امری عادی است؟

آیا چیزی از آن متوجه نمی شوید یا به دنبال پاسخی برای یک سوال خاص هستید؟ این راهنمای رایگان کمربند سیاه مبتدی تا لینوکس بسیار مفید خواهد بود.

#معرفی_سایت
@TryHackBox

CVE-2021-42287
Weaponisation - Active Directory

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html

#AD
#cve
@NetPentester

Discovering Email Pattern

در صورتی که پایگاه داده مستقیم یا منبع دیگری از ایمیل های شرکت وجود نداشته باشد، که اغلب به عنوان ورود به سرویس های شرکتی نیز کار می کند، ممکن است بخواهید خودتان آنها را شناسایی کنید.

باید در نظر داشته باشید که شرکت ها تمایل دارند برای هر کارمند از یک طرح ایمیل خاص استفاده کنند. این امر ارتباطات داخلی یک شرکت را بسیار آسان تر می کند.

معمولاً هیچ الگوی پیچیده ای وجود ندارد. ساختار یک آدرس ایمیل باید بصری باشد، بنابراین سایر کارمندان می توانند به راحتی با دانستن نام و/یا نام خانوادگی همکار خود با یکدیگر ارتباط برقرار کنند.

در زیر چند نمونه از قالب آدرس ایمیل شرکتی معمولی آورده شده است:

• name.surname@company.com
• surname.name@company.com
• [first letter of name]surname@company.com

اگر بتوانید کارمندان یک شرکت را پیدا کنید (یعنی با استفاده از وب سایت رسمی آنها، لینکدین یا سایر سایت های شبکه اجتماعی)، ممکن است بتوانید آدرس ایمیل آنها را حدس بزنید.

بسیاری از سیستم‌های پستی تمایل دارند به فرستنده اطلاع دهند که نامه به دلیل وجود نداشتن تحویل داده نشده است.
این یک فرصت عالی برای یک پنتستر برای حدس زدن فرمت های ایمیل شرکتی است.

می توانید ابتدا سعی کنید:

• تعداد معقولی از داده های کارمندان (نام/نام خانوادگی) را جمع آوری کنید
• سعی کنید چند قالب ایمیل ممکن بسازید و آنها را برای هر جفت نام/نام خانوادگی بکار ببرید
• سعی کنید ایمیلی ارسال کنید که به قربانیان احتمالی هشدار ندهد (مثلاً یک ایمیل قرار ندهید "تست فیشینگ" در موضوع، اما چیزی پیچیده را انتخاب کنید مانند سعی کنید وانمود کنید که فقط یک تبلیغ است)

#جمع_آوری_اطلاعات
#Email
@TryHackBox

چگونه و از کجا هک یا تست نفوذ را شروع کنیم ؟

https://news.1rj.ru/str/TryHackBox/12