رفقایی که فیلتر ندارن و فقط با یه پروکسی به تلگرام وصلن و حاضرن برای یه فیلتر خوب هزینه کنن به ایشون حتما پیام بدید کارش فوق العادس و فقط میتونم بگم فیلترش خوراکه هانته
این پست جنبه تبلیغاتی نداره و فقط جهت اینه که چون ادم قابل اعتمادی بود و محصول با کیفیت بهم داد , دلی دوست داشتم ازش حمایت کنم
@F_SOClETY
این پست جنبه تبلیغاتی نداره و فقط جهت اینه که چون ادم قابل اعتمادی بود و محصول با کیفیت بهم داد , دلی دوست داشتم ازش حمایت کنم
@F_SOClETY
❤10
Forwarded from Sec book Mind
TheHackerMindset_persian.pdf
4.2 MB
نام کتاب : The Hacker Mindset
ترجمه شده توسط : Typhon✍️
تاریخ انتشار : 2026/1/31
+ نسخه فارسی |
#رایگان_برای_اعضای_چنل
channel : @persian_b_sec
ترجمه شده توسط : Typhon✍️
تاریخ انتشار : 2026/1/31
+ نسخه فارسی |
#رایگان_برای_اعضای_چنل
channel : @persian_b_sec
❤42🔥5❤🔥3
Sec book Mind
TheHackerMindset_persian.pdf
اگه واقعا حمایت بشه یه کتاب دیگه با این تایتل "Breaking into Information Security: Learning
the Ropes 101"
این کتاب رو هم نسخه فارسیشو براتون میزارم تا لذتشو ببرین ♥️
اگه براتون سواله که داداش تو چجوری عین مسلسل داری ترجمه میکنی ؟
باید بهت بگم که فدای تو بشم من ترجمه این کتابارو اوایل کارم نزدیک به 2 سال پیش انجام دادم و تمومش کردم و برای اینه که پشت سر هم داخل کانال قرارش میدم .
the Ropes 101"
این کتاب رو هم نسخه فارسیشو براتون میزارم تا لذتشو ببرین ♥️
اگه براتون سواله که داداش تو چجوری عین مسلسل داری ترجمه میکنی ؟
باید بهت بگم که فدای تو بشم من ترجمه این کتابارو اوایل کارم نزدیک به 2 سال پیش انجام دادم و تمومش کردم و برای اینه که پشت سر هم داخل کانال قرارش میدم .
❤16
سه تا xss توی یه برنامه vdp
امروز از اون روزایی بود که حس هیچ کاری نبود و بیکار بودم پس تصمیم گرفتم برم یه برنامه vdp از هکروان بر دارم
و ببنیم ایا بیسیک ترین و اسون ترین راه برای هک کردن "google Dorking" هنوز جواب و بهم باگ میده ؟
یه اپلیکشن لگسی برداشتم و نتیجه کار بهم دو تا xss رفکتد و یه dom xss داد
اولش یکمی تعجب کردم که چجوری به ساده ترین شکل ممکن سه تا xss زدم !
ادامه پستو همراهم باشین که دونه به دونشو توضیحتون بدم
قدم اول : دورک های مختلو توی انجین های مختلف سرچ کردم (google - bing - duckduckgo)
دو تا دورکی که خیلی به کار اومد و بهم ریزالت داد :
و جالبه ریزالتی که داک داک گو بهم داد توی گوگل و بینگ نبود !
قدم دوم :xss reflected
پارامتر های زیادیو در اختیار داشتم ولی یدونش توی سورس مینشست
ورودی من توی یه اتربیوت value="test" مینشست . باید بریکش میکردم همینکارم کردم ولی در ادامه اجازه بستن تگ رو نمیداد و اپی رو مسدود میکرد . ولی اگه از autofocus استفاده کنم چی ؟
نتیجه : باگ اول
قدم سوم : Dom xss
ورودی من کامل توی یه سینک خطرناک بود و برنامه نویس برام ظرف عسل کنار گذاشته بود. پس من xss دارم ؟
نتیجه : باگ دوم
قدم چهارم xss reflected
کارم با سایت اصلی تموم شده بود و میخواستم برم سابدامین های دیگشم چک کنم من یه سابدامین داشتم
promo.test.com
چی میشه همون پارامتر هایی که باهاش باگ اول رو زدم کپی پیست کنم با پیلود xss و توی این ساب تست کنم ؟
نتیجه: باگ سوم
با خیال راحت سه تا رو گزارش دادم و تریاژ شد و به ازای هر ایکس اس اس +7 امتیاز به پروفایل هکروانم اضافه شد .✔️
امیدوارم که لذت برده باشید 🌷
@Dagen_security
امروز از اون روزایی بود که حس هیچ کاری نبود و بیکار بودم پس تصمیم گرفتم برم یه برنامه vdp از هکروان بر دارم
و ببنیم ایا بیسیک ترین و اسون ترین راه برای هک کردن "google Dorking" هنوز جواب و بهم باگ میده ؟
یه اپلیکشن لگسی برداشتم و نتیجه کار بهم دو تا xss رفکتد و یه dom xss داد
اولش یکمی تعجب کردم که چجوری به ساده ترین شکل ممکن سه تا xss زدم !
ادامه پستو همراهم باشین که دونه به دونشو توضیحتون بدم
قدم اول : دورک های مختلو توی انجین های مختلف سرچ کردم (google - bing - duckduckgo)
دو تا دورکی که خیلی به کار اومد و بهم ریزالت داد :
site:test.com -inurl:&
site:test.com -www
و جالبه ریزالتی که داک داک گو بهم داد توی گوگل و بینگ نبود !
قدم دوم :xss reflected
پارامتر های زیادیو در اختیار داشتم ولی یدونش توی سورس مینشست
ورودی من توی یه اتربیوت value="test" مینشست . باید بریکش میکردم همینکارم کردم ولی در ادامه اجازه بستن تگ رو نمیداد و اپی رو مسدود میکرد . ولی اگه از autofocus استفاده کنم چی ؟
نتیجه : باگ اول
قدم سوم : Dom xss
ورودی من کامل توی یه سینک خطرناک بود و برنامه نویس برام ظرف عسل کنار گذاشته بود. پس من xss دارم ؟
query string —> javanoscript:alert`origin`
Dom —> window.open(Ref)
نتیجه : باگ دوم
قدم چهارم xss reflected
کارم با سایت اصلی تموم شده بود و میخواستم برم سابدامین های دیگشم چک کنم من یه سابدامین داشتم
promo.test.com
چی میشه همون پارامتر هایی که باهاش باگ اول رو زدم کپی پیست کنم با پیلود xss و توی این ساب تست کنم ؟
نتیجه: باگ سوم
با خیال راحت سه تا رو گزارش دادم و تریاژ شد و به ازای هر ایکس اس اس +7 امتیاز به پروفایل هکروانم اضافه شد .✔️
امیدوارم که لذت برده باشید 🌷
@Dagen_security
🔥19❤4
فردا هم قراره براتون یه چیت کامل با این تایتل بنویسم "گوگل دورک راهی اسان برای هک کردن " ♥️
تنها کاری که لازمه بکنین اینه که انرژی چنلو حفظ کنین 🤝
تنها کاری که لازمه بکنین اینه که انرژی چنلو حفظ کنین 🤝
❤28⚡6🔥1
برای مقاله بعدی که ترجمه بشه . نظرتون راجب دواپس چیه رفقا ؟ یا بریم سمت باگ بانتی و وب هکینگ ؟ زیر همین پست بگید نظرتونو . کدوم باب میلتونه ؟
👍11❤2
Forwarded from Sec book Mind
The Hacker’s Playbook 3نام کتاب : ا
این کتاب یک راهنمای کاملاً عملی برای اجرای تست نفوذ واقعی در محیطهای امروزیه. تمرکزش فقط روی پیدا کردن چند باگ ساده نیست، بلکه نشون میده یک پنتستر یا ردتیم چطور از صفر تا آخر یک سناریوی حمله رو جلو میبره؛ از جمعآوری اطلاعات و نفوذ اولیه گرفته تا گسترش دسترسی و دور زدن مکانیزمهای دفاعی.
مطالب کتاب بر اساس شرایط دنیای واقعی نوشته شده و تکنیکهایی رو پوشش میده که در شبکهها و سازمانهای امروزی استفاده میشن. با خوندنش، دیدت نسبت به امنیت ساختیافتهتر و عملیتر میشه و یاد میگیری چطور حملات رو مثل یک پروژه کامل مدیریت کنی، نه صرفاً اجرای چند ابزار.
در نهایت، کسی که این کتاب رو میخونه به سطحی میرسه که میتونه تست نفوذ رو واقعیتر، هدفمندتر و نزدیکتر به سناریوهای سازمانی انجام بده و آماده ورود به مباحث حرفهایتر Red Team و Pentest پیشرفته بشه.
+ نسخه فارسی فصل سه کتاب آماده تحویله
برای دریافت به ایدی پشتیبان پیام بدید ⬇️
@bookmind369
channel : @persian_b_sec
این کتاب یک راهنمای کاملاً عملی برای اجرای تست نفوذ واقعی در محیطهای امروزیه. تمرکزش فقط روی پیدا کردن چند باگ ساده نیست، بلکه نشون میده یک پنتستر یا ردتیم چطور از صفر تا آخر یک سناریوی حمله رو جلو میبره؛ از جمعآوری اطلاعات و نفوذ اولیه گرفته تا گسترش دسترسی و دور زدن مکانیزمهای دفاعی.
مطالب کتاب بر اساس شرایط دنیای واقعی نوشته شده و تکنیکهایی رو پوشش میده که در شبکهها و سازمانهای امروزی استفاده میشن. با خوندنش، دیدت نسبت به امنیت ساختیافتهتر و عملیتر میشه و یاد میگیری چطور حملات رو مثل یک پروژه کامل مدیریت کنی، نه صرفاً اجرای چند ابزار.
در نهایت، کسی که این کتاب رو میخونه به سطحی میرسه که میتونه تست نفوذ رو واقعیتر، هدفمندتر و نزدیکتر به سناریوهای سازمانی انجام بده و آماده ورود به مباحث حرفهایتر Red Team و Pentest پیشرفته بشه.
+ نسخه فارسی فصل سه کتاب آماده تحویله
برای دریافت به ایدی پشتیبان پیام بدید ⬇️
channel : @persian_b_sec
❤2🔥2👍1
رفقا ارادت
اومدم یه مبحث مهم رو باهاتون به اشتراک بزارم که بنظر خودم بهترین و سریع ترین راهیه که میتونید باگ بزنید
وردپرس به عنوان امن ترین cms توی دنیای وب شناخته میشه ولی باگی من میخوام بهتون معرفی کنم وردپرس تیک اور هستش . یعنی چی ؟
اگه یک بار توی زندگیتون cms وردپرس رو دستی نصب کرده باشید میدونید وقتی وردپرس روی وب سرور شما نصب میشه یه صفحه ریجستر به عنوان ادمین سایت براتون باز میکنه که توش یوزرنیم و پسورد خودتون رو با یه کپچا بزنید و در ادامه مرحله وارد پنل ادمین وردپرس تون بشید تا اینجا درسته ؟
وقتی شما لفت میدید برای ثبت نام وردپرس خودتون اگه من به عنوان یه مهاجم تیز و سریع بیام و دسترسی پیدا کنم به اون ریجستر وردپرس سایت شما که معمولا پت و ادرسش اینه :
و بیام سریع تر از شما فیلد ها رو پر کنم و برم برای صفحه ورود من میرم توی پنل درسته ؟
این میشه مغز اسیپ پذیری و اتفاقا یه باگ HIGH محسوب میشه
اگه من زمانی که دلوپر سایت یادش رفته بود وردپرس خودشو با اطلاعات خودش اینستال کنه یه اتکر میتونه از این فرصت به نفع خودش استفاده کنه و وردپرس رو برای خودش اینستال کنه !
خب من چجوری میتونم این باگو پیدا کنم ؟
سوال خوبیه . شما باید یه رنج اپی که ای اس انش با نام اون کمپانی تارگتتونه رو مداوم اسکن کنید و خروجی اون رو بدید به یه تمپلیت nucleiکه ادرس بالا رو براتون بین اون رنج اپی اسکن و فاز کنه .
نکته مهم اینه که باید خیلی آن تایم باشید تا بتونید سریع قبل از اینکه دولوپر اینستال کنه شما وارد اون صفحه بشید و فیلد ها رو پر کنید
خب این ایمپکت داره ؟ ایمپکتش چیه ؟
زمانی که شما وارد پنل ادمین بشید در ادامه باید یه پلاگین php اپلود کنید که دستور سیستم عاملی ران کنه و خروجی کامند رو چاپ کنه و باگ اصلی میشه :
RCE Via wordpress Takeover
برای اینکه بهتر درک کنید این سناریو رو میتونید راجبش برید بخونید باگ جالبیه 🙌
@Dagen_security
اومدم یه مبحث مهم رو باهاتون به اشتراک بزارم که بنظر خودم بهترین و سریع ترین راهیه که میتونید باگ بزنید
وردپرس به عنوان امن ترین cms توی دنیای وب شناخته میشه ولی باگی من میخوام بهتون معرفی کنم وردپرس تیک اور هستش . یعنی چی ؟
اگه یک بار توی زندگیتون cms وردپرس رو دستی نصب کرده باشید میدونید وقتی وردپرس روی وب سرور شما نصب میشه یه صفحه ریجستر به عنوان ادمین سایت براتون باز میکنه که توش یوزرنیم و پسورد خودتون رو با یه کپچا بزنید و در ادامه مرحله وارد پنل ادمین وردپرس تون بشید تا اینجا درسته ؟
وقتی شما لفت میدید برای ثبت نام وردپرس خودتون اگه من به عنوان یه مهاجم تیز و سریع بیام و دسترسی پیدا کنم به اون ریجستر وردپرس سایت شما که معمولا پت و ادرسش اینه :
http://ُSERVER/wp-admin/install.php
و بیام سریع تر از شما فیلد ها رو پر کنم و برم برای صفحه ورود من میرم توی پنل درسته ؟
این میشه مغز اسیپ پذیری و اتفاقا یه باگ HIGH محسوب میشه
اگه من زمانی که دلوپر سایت یادش رفته بود وردپرس خودشو با اطلاعات خودش اینستال کنه یه اتکر میتونه از این فرصت به نفع خودش استفاده کنه و وردپرس رو برای خودش اینستال کنه !
خب من چجوری میتونم این باگو پیدا کنم ؟
سوال خوبیه . شما باید یه رنج اپی که ای اس انش با نام اون کمپانی تارگتتونه رو مداوم اسکن کنید و خروجی اون رو بدید به یه تمپلیت nucleiکه ادرس بالا رو براتون بین اون رنج اپی اسکن و فاز کنه .
نکته مهم اینه که باید خیلی آن تایم باشید تا بتونید سریع قبل از اینکه دولوپر اینستال کنه شما وارد اون صفحه بشید و فیلد ها رو پر کنید
خب این ایمپکت داره ؟ ایمپکتش چیه ؟
زمانی که شما وارد پنل ادمین بشید در ادامه باید یه پلاگین php اپلود کنید که دستور سیستم عاملی ران کنه و خروجی کامند رو چاپ کنه و باگ اصلی میشه :
RCE Via wordpress Takeover
برای اینکه بهتر درک کنید این سناریو رو میتونید راجبش برید بخونید باگ جالبیه 🙌
@Dagen_security
❤11👍2🔥2💯2👎1
یه باگ زدم داغ داغه "blind ssrf To RCE" مال همین امروز و ساعت پیشه.
سناریو رو بعد از تریاژ شدن باگ بهتون توضیح میدم منتظرش باشید😉
سناریو رو بعد از تریاژ شدن باگ بهتون توضیح میدم منتظرش باشید😉
❤🔥32🔥5❤2
Forwarded from Sec book Mind
عزیزای دل
پیچ اینستاگرام "secbookmind" هم راه اندازی شد و میتونید اونجارو هم داشته باشید.
کتاب های اپدیت شده و جدیدتر از این به بعد جدای اینکه اینجا قرار میگیره اونجا هم قراره میگیره
بزودی توی هایلایت های پیچ , نمونه های ترجمه شده هم قرار میگیره تا ترجمه درجه یک تیممون رو به چشم ببینید . ارادتمند 🤝
پیج اینستاگرام : https://www.instagram.com/secbookmind/
پیچ اینستاگرام "secbookmind" هم راه اندازی شد و میتونید اونجارو هم داشته باشید.
کتاب های اپدیت شده و جدیدتر از این به بعد جدای اینکه اینجا قرار میگیره اونجا هم قراره میگیره
بزودی توی هایلایت های پیچ , نمونه های ترجمه شده هم قرار میگیره تا ترجمه درجه یک تیممون رو به چشم ببینید . ارادتمند 🤝
پیج اینستاگرام : https://www.instagram.com/secbookmind/
❤5
خدای مننننن از از دل rce گرفتم تریاژر میگه قبول نیست روی محیط سند باکسه😐
اخه سندباکس چیه دیگه روش جدید پیچوندنه ؟
من منتظر بانتی این باگ بودم نه یه دلیل مسخره و اینفرمیتیو 😐
اخه سندباکس چیه دیگه روش جدید پیچوندنه ؟
من منتظر بانتی این باگ بودم نه یه دلیل مسخره و اینفرمیتیو 😐
🔥6
تموم وقت هفتمو روش گذاشتم سخته واسم درک کردنش که چرا قبولش نکرد 💔
❤9
Dagen (security)
یه باگ زدم داغ داغه "blind ssrf To RCE" مال همین امروز و ساعت پیشه. سناریو رو بعد از تریاژ شدن باگ بهتون توضیح میدم منتظرش باشید😉
اینم دوپ خورد بچها :)
اینم اضافه کنم که فقط و فقط با فاصله سه روز ...
سناریوشو بزودی توضیح میدم
اینم اضافه کنم که فقط و فقط با فاصله سه روز ...
سناریوشو بزودی توضیح میدم
❤9🔥5
Forwarded from Sec book Mind
نام کتاب : MITRE ATT&CK for Dummies
این کتاب یک راهنمای ساده و قابل فهم برای آشنایی با فریمورک MITRE ATT&CK هست؛ همون مدلی که رفتار و تکنیکهای واقعی مهاجمها رو دستهبندی میکنه. بهجای اینکه فقط درباره ابزارها حرف بزنه، توضیح میده مهاجمها مرحلهبهمرحله چطور نفوذ میکنن، دسترسی میگیرن، حرکت جانبی انجام میدن و داده خارج میکنن.
کتاب کمک میکنه مفاهیمی مثل Tactics، Techniques، Initial Access، Persistence، Privilege Escalation و Lateral Movement رو در قالب یک نقشه ساختیافته درک کنی.
در نهایت، کسی که این کتاب رو میخونه یاد میگیره چطور حملات رو سیستماتیک تحلیل کنه، لاگها و رفتارها رو بهتر بفهمه و امنیت رو بر اساس مدل واقعی تهدیدها طراحی کنه. این کتاب مخصوصاً برای کسایی مفیده که میخوان وارد حوزه SOC، Blue Team، Threat Hunting یا Purple Teaming بشن و پایه درستی از ATT&CK داشته باشن.
+ نسخه فارسی این کتاب اماده تحویله
برای دریافت به ایدی پشتیبان پیام بدید ⬇️
@bookmind369
channel : @persian_b_sec
این کتاب یک راهنمای ساده و قابل فهم برای آشنایی با فریمورک MITRE ATT&CK هست؛ همون مدلی که رفتار و تکنیکهای واقعی مهاجمها رو دستهبندی میکنه. بهجای اینکه فقط درباره ابزارها حرف بزنه، توضیح میده مهاجمها مرحلهبهمرحله چطور نفوذ میکنن، دسترسی میگیرن، حرکت جانبی انجام میدن و داده خارج میکنن.
کتاب کمک میکنه مفاهیمی مثل Tactics، Techniques، Initial Access، Persistence، Privilege Escalation و Lateral Movement رو در قالب یک نقشه ساختیافته درک کنی.
در نهایت، کسی که این کتاب رو میخونه یاد میگیره چطور حملات رو سیستماتیک تحلیل کنه، لاگها و رفتارها رو بهتر بفهمه و امنیت رو بر اساس مدل واقعی تهدیدها طراحی کنه. این کتاب مخصوصاً برای کسایی مفیده که میخوان وارد حوزه SOC، Blue Team، Threat Hunting یا Purple Teaming بشن و پایه درستی از ATT&CK داشته باشن.
+ نسخه فارسی این کتاب اماده تحویله
برای دریافت به ایدی پشتیبان پیام بدید ⬇️
channel : @persian_b_sec
❤4