📂 انتقال فایل بین سرور (VPS) و سیستم شخصی با دستور scp
برای جابجایی فایل یا پوشه بین سرور و سیستم خودتون میتونید از دستور scp استفاده کنید.
✅ کپی کردن یک پوشه از روی سرور به سیستم شخصی:
✅ کپی کردن یک فایل متنی از روی سرور به سیستم شخصی:
⬆️ انتقال فایل/پوشه از سیستم شخصی به سرور:
📂 انتقال پوشه:
📄 انتقال فایل:
📌@hackhaven_new
برای جابجایی فایل یا پوشه بین سرور و سیستم خودتون میتونید از دستور scp استفاده کنید.
✅ کپی کردن یک پوشه از روی سرور به سیستم شخصی:
scp -r root@203.0.113.10:/root/CMSmap ~/Downloads/
✅ کپی کردن یک فایل متنی از روی سرور به سیستم شخصی:
scp root@203.0.113.10:/root/s.txt ~/Downloads/
⬆️ انتقال فایل/پوشه از سیستم شخصی به سرور:
📂 انتقال پوشه:
scp -r ~/Downloads/root/CMSmap root@203.0.113.10:/root/
📄 انتقال فایل:
scp ~/Downloads/output.txt root@203.0.113.10:/root/
📌@hackhaven_new
❤4
⚡️ باز کردن پورت با Netcat برای تست SSRF / Blind XSS
🔹 بعضی وقتا برای تست باگهای امنیتی مثل:
* 🛰 SSRF
* 🎯 Blind XSS
* 📡 OOB Requests
لازمه روی سرور خودت یه پورت باز کنی تا درخواستها رو بگیری. راحتترین ابزار برای اینکار Netcat (nc) ـه.
---
🔧 دستور لیسن روی پورت دلخواه:
+برای اینکه بعد از یک درخواست پورت بسته نشه میتونید از سوییچ -k استفاده کنید :
📖 توضیح سوئیچها:
* -l → فعال کردن حالت گوش دادن (listen).
* -v → نمایش جزئیات بیشتر (verbose).
* -n → غیرفعال کردن DNS resolve (سرعت بالاتر).
* -p → انتخاب شماره پورت (اینجا: 4444).
---
💡 کاربردها:
* 🕵️ گرفتن کالبکهای SSRF
* 👾 نمایش payloadهای Blind XSS
* 🌍 مانیتور کردن درخواستهای خروجی
📌@hackhaven_new
🔹 بعضی وقتا برای تست باگهای امنیتی مثل:
* 🛰 SSRF
* 🎯 Blind XSS
* 📡 OOB Requests
لازمه روی سرور خودت یه پورت باز کنی تا درخواستها رو بگیری. راحتترین ابزار برای اینکار Netcat (nc) ـه.
---
🔧 دستور لیسن روی پورت دلخواه:
nc -lvnp 4444
+برای اینکه بعد از یک درخواست پورت بسته نشه میتونید از سوییچ -k استفاده کنید :
nc -lvnp 4444 -k
📖 توضیح سوئیچها:
* -l → فعال کردن حالت گوش دادن (listen).
* -v → نمایش جزئیات بیشتر (verbose).
* -n → غیرفعال کردن DNS resolve (سرعت بالاتر).
* -p → انتخاب شماره پورت (اینجا: 4444).
---
💡 کاربردها:
* 🕵️ گرفتن کالبکهای SSRF
* 👾 نمایش payloadهای Blind XSS
* 🌍 مانیتور کردن درخواستهای خروجی
📌@hackhaven_new
❤3🔥1
Hack Haven
⚡️ باز کردن پورت با Netcat برای تست SSRF / Blind XSS 🔹 بعضی وقتا برای تست باگهای امنیتی مثل: * 🛰 SSRF * 🎯 Blind XSS * 📡 OOB Requests لازمه روی سرور خودت یه پورت باز کنی تا درخواستها رو بگیری. راحتترین ابزار برای اینکار Netcat (nc) ـه. --- 🔧 دستور لیسن…
بجای webhook میتونید از این روش استفاده کنید
❤4
💻 استفاده از tmux روی سرور
وقتی روی سرور ابزاری رو اجرا میکنید، اگر اتصال SSH قطع بشه، فرایند در حال اجرا هم متوقف میشه. برای جلوگیری از این مشکل یا مثلا وقتی میخواید یک پورت روی سیستم همیشه باز باشه، از tmux استفاده کنید.
⚡️ دستورات کاربردی tmux:
📌@hackhaven_new
وقتی روی سرور ابزاری رو اجرا میکنید، اگر اتصال SSH قطع بشه، فرایند در حال اجرا هم متوقف میشه. برای جلوگیری از این مشکل یا مثلا وقتی میخواید یک پورت روی سیستم همیشه باز باشه، از tmux استفاده کنید.
⚡️ دستورات کاربردی tmux:
# ایجاد یک جلسه جدید به نام mysession
tmux new -s mysession
# لیست کردن تمام جلسات
tmux ls
# وصل شدن به یک جلسه موجود
tmux attach -t mysession
# خروج از جلسه بدون بستن آن
Ctrl + b سپس d
# تقسیم صفحه به دو پنل افقی
Ctrl + b سپس "
# تقسیم صفحه به دو پنل عمودی
Ctrl + b سپس %
# جابجایی بین پنلها
Ctrl + b سپس ← / → / ↑ / ↓
📌@hackhaven_new
❤3🔥1
یکی از کامندهای لینوکس که خیلی جذابه و کم استفاده میشه کامند chattr است که مخفف change attributes است که میتوانی ویژگی های خاص یه فایل و دایرکتوری رو تغییر بدی
هم میتوان برای حمله استفاده کرد هم برای دفاع کردن
برای مثال :
و بعدش بیاید اتربیوت بهش اضافه کنید
i = immutable
حالا شما نه میتوانید فایل را حذف کنید نه تغییر بدهید حتی با دسترسی روت هم نمیتونید
برای حذف کردنش فقط یه راه وجود داره باید attribute فایل رو ازش بگیری
یا مثلا فقط مقدار بهش اضافه بشه اما کل فایل تغییر نکنه برای مثال برای پاک نشدن لاگ ها
a=append only
حالا فقط مقداری به این فایل اضافه کنید و نمیتوان فایل رو کامل تغییر داد
برای اضافه کردن اتربیوت از + برای برداشتن اتربیوت از - استفاده کنید
📌@hackhaven_new
هم میتوان برای حمله استفاده کرد هم برای دفاع کردن
برای مثال :
echo "This is a test" > file.txt
و بعدش بیاید اتربیوت بهش اضافه کنید
i = immutable
sudo chattr +i file.txt
حالا شما نه میتوانید فایل را حذف کنید نه تغییر بدهید حتی با دسترسی روت هم نمیتونید
برای حذف کردنش فقط یه راه وجود داره باید attribute فایل رو ازش بگیری
sudo chattr -i file.txt
یا مثلا فقط مقدار بهش اضافه بشه اما کل فایل تغییر نکنه برای مثال برای پاک نشدن لاگ ها
a=append only
sudo chattr +a file.txt
حالا فقط مقداری به این فایل اضافه کنید و نمیتوان فایل رو کامل تغییر داد
برای اضافه کردن اتربیوت از + برای برداشتن اتربیوت از - استفاده کنید
📌@hackhaven_new
❤3💯1
Middle Click Copy
یک قابلیت در موس شما وجود دارد که اگر با ماوس یک قسمت از کد یا متن هایلایت (انتخاب) کنید و با اسکرول موس کلیک کنید اون بخش از متن یا کد رو کپی پیست میکنید که به این کار Primary Selection گفته میشود
یعنی بدون Ctrl+C کپی میکنی و بدون Ctrl+v پیست میکنی
انتخاب متن + کلیک اسکرول موس = کپی پیست کردن
❤3
Forwarded from Linuxor ?
آزمایشگاه رایگان برای یادگیری Cloud و DevOps چیزای خوبی داره مثل Docker و Git و Jenkins و ... بهتون دسترسی سرور میده تست کنید
studio.kodekloud.com/labs
@Linuxor
studio.kodekloud.com/labs
@Linuxor
❤4
یکی از کارهایی که میتونید برای پیدا کردن فایل git. استفاده از این دورک
که میتوانید ببنید ایا این مسیر از سایت باز هست یا نه
حالا پا رو کمی فراتر بزاریم
میتونیم با این git-dumper کل فایل git. رو دانلود کنیم حتی میتونید کل سورس کد سایت رو هم دانلود کنید نحوه نصب:
که برای dump کردن فایل های git. باید این دستور رو بزنید
git-dumper == دستور
https://site.com/.git/ == اسم سایت
dump == اسم یه پوشه دلخواه
حالا همه فایل های git. رو دانلود کردید و ممکنه سورس کد رو هم dump کرده باشید
حالا باید این ابزار رو نصب کنید:
بعد از اون میتونید با استفاده trufflehog بچرخید و دیتاهای حساس رو از فایل هایی که dump کردید رو به دست بیارید
📌@hackhaven_new
site:*.com inurl:"Index Of .git"
که میتوانید ببنید ایا این مسیر از سایت باز هست یا نه
حالا پا رو کمی فراتر بزاریم
میتونیم با این git-dumper کل فایل git. رو دانلود کنیم حتی میتونید کل سورس کد سایت رو هم دانلود کنید نحوه نصب:
pip install git-dumper
که برای dump کردن فایل های git. باید این دستور رو بزنید
git-dumper https://site.com/.git dump
git-dumper == دستور
https://site.com/.git/ == اسم سایت
dump == اسم یه پوشه دلخواه
حالا همه فایل های git. رو دانلود کردید و ممکنه سورس کد رو هم dump کرده باشید
حالا باید این ابزار رو نصب کنید:
git clone https://github.com/trufflesecurity/trufflehog.git
cd trufflehog; go install
بعد از اون میتونید با استفاده trufflehog بچرخید و دیتاهای حساس رو از فایل هایی که dump کردید رو به دست بیارید
trufflehog filesystem dump
📌@hackhaven_new
Site
Login | HSTS Redirection Community
HSTS Redirection Community Customer Secure Login Page. Login to your HSTS Redirection Community Customer Account.
❤3🔥1
یکم در مورد حفظ حریم خصوصی بپردازیم
در این مقاله در مورد ۳ تا از ارائه دهنده های سرویس ایمیل امن صحبت میکنیم Proton mail , Tutanota , StartMail
سرویس ایمیل Proton که خدمات زیادی داره به عنوان مثال VPN, Drive, Wallet,... که واقع در سوئیس و تاسیس آن در سال ۲۰۱۴ است و Proton mail یکی از پرکاربردترین ایمیل امن دنیاست
سرویس ایمیل StartMail که تیم StartPage (موتور جستجوی امن) پشتشه یکی دیگه از ارائه دهنده سرویس ایمیل امن است که از همین اول بگم پلن رایگان نداره ساخت هلنده و از سال ۲۰۱۴ شروع به فعالیت کرده
سرویس ایمیل Tutanota سال ۲۰۱۱ شروع به کار کرده و یکی از سرویس ایمیل های کاملا رمزنگاری شده حتی موضوع ایمیل رو هم رمزنگاری میکنه و پلن رایگان داره
#Privacy
📌@hackhaven_new
در این مقاله در مورد ۳ تا از ارائه دهنده های سرویس ایمیل امن صحبت میکنیم Proton mail , Tutanota , StartMail
سرویس ایمیل Proton که خدمات زیادی داره به عنوان مثال VPN, Drive, Wallet,... که واقع در سوئیس و تاسیس آن در سال ۲۰۱۴ است و Proton mail یکی از پرکاربردترین ایمیل امن دنیاست
مزایا:
رمزنگاری End to End
حتی هیچ کدام از کارکنان proton نمیتوانن ایمیل شما رو بخونن
و Open Source Client است
امکان ایجاد Alias Email برای لو نرفتن ایمیلتون
قابلیت مانیتورینگ دارک وب برای افشای اطلاعات شخصی شما (پلن پولی)
داشتن اپلیکیشن موبایل
قابلیت مانیتورینگ حسابتون هم هست تعداد پسورد های اشتباه برای ورود و ...
قابلیت اضافه کردن به Thunderbird
استفاده از رمز ارز برای پرداخت
معایب:
پلن رایگان یکم محدوده
تعداد کم alias email
کامل open source نیست
سرویس ایمیل StartMail که تیم StartPage (موتور جستجوی امن) پشتشه یکی دیگه از ارائه دهنده سرویس ایمیل امن است که از همین اول بگم پلن رایگان نداره ساخت هلنده و از سال ۲۰۱۴ شروع به فعالیت کرده
مزایا:
سرورها در هلند تحت قوانین GDPR (حفاظت از اطلاعات شخصی و حریم خصوصی افراد) هستن
رمزنگاری PGP برای رمزنگاری
استفاده نامحدود از Alias Email
قابلیت اضافه شدن به Thunderbird
معایب:
اپ موبایل ندارد
متن باز نیست
پلن رایگان ندارد
قابلیت های اضافی Proton رو ندارد
سرویس ایمیل Tutanota سال ۲۰۱۱ شروع به کار کرده و یکی از سرویس ایمیل های کاملا رمزنگاری شده حتی موضوع ایمیل رو هم رمزنگاری میکنه و پلن رایگان داره
مزایا:
رمزنگاری همه قسمت های ایمیل حتی subject
کلاینت و اپ موبایل متن باز هستن
پلن رایگان داره
تحت قوانین GDPR
اپلیکیشن موبایل رو هم داره
معایب:
عدم پشتیبانی از رمز ارز برای پرداخت
عدم استفاده از SMTP و IMAP و POP3
از PGP استفاده نمی کند
#Privacy
📌@hackhaven_new
❤3🔥1
از یه برنامه من برای رفع فیلتر دیسکورد استفاده میکنم سرعتش برای دیدن لایو استریم خیلی خوبه
برای من از vpn بهتر جواب میده
برنامه ویندوز و لینوکس داره
سایتش:
https://packetraft.ir/
📌@hackhaven_new
برای من از vpn بهتر جواب میده
برنامه ویندوز و لینوکس داره
سایتش:
https://packetraft.ir/
📌@hackhaven_new
❤4🔥1
Forwarded from BugBounty & Hacking Resources (Meydi)
❤4
Mega-cmd
سرویس Mega یه فضای ذخیره سازی ابری برای انتقال و اشتراک گذاری است به رمزنگاری End-to-End استفاده میکنه و شرکت به محتوای فایل دسترسی نداره (به گفته خودشون ) که اومدن یه حالت CLI طراحی کردن که بتونید به راحتی فایل های بکاپ رو بفرستید به سرور در ادامه یکسری دستورات رو با هم کار میکنیم
برای نصب کردن Mega-cmd باید به این مسیر بروید مدل سیستم خودتون رو انتخاب کنید و نصب کنید
بعد از نصب دو حالت برای کار کردن وجود دارد
یکی اینکه وارد محیط کامند لاینی خودش بشید با دستور mega-cmd بعد اونجا دستور بزنید
دومین حالت اینطوریه که برای اتومیت کردن کاراتونه مثلا mega-ls, mega-pwd اما ما در محیط کامند لاینی اون وارد میشیم و دستورات رو وارد میکنیم
حالا باید با دستور mega-cmd وارد محیط کامند لاینی خود mega میشید بعد از این کار باید احراز هویت کنید
وارد storage خودتون میشید
حالا یکسری دستورات هست که با هم کار میکنیم
برای دیدن لیست دایرکتوری و فایل ها:
برای نمایش دادن مسیر دایرکتوریتوری:
یکمی دستورات پایه :
تمام این دستورات در سرور ابری خودتون در انجام میشه در قسمت بعد برای دانلود و اپلود و پروکسی و ... صحبت میکنیم
Part 1
📌@hackhaven_new
سرویس Mega یه فضای ذخیره سازی ابری برای انتقال و اشتراک گذاری است به رمزنگاری End-to-End استفاده میکنه و شرکت به محتوای فایل دسترسی نداره (به گفته خودشون ) که اومدن یه حالت CLI طراحی کردن که بتونید به راحتی فایل های بکاپ رو بفرستید به سرور در ادامه یکسری دستورات رو با هم کار میکنیم
برای نصب کردن Mega-cmd باید به این مسیر بروید مدل سیستم خودتون رو انتخاب کنید و نصب کنید
https://mega.io/cmd
بعد از نصب دو حالت برای کار کردن وجود دارد
یکی اینکه وارد محیط کامند لاینی خودش بشید با دستور mega-cmd بعد اونجا دستور بزنید
دومین حالت اینطوریه که برای اتومیت کردن کاراتونه مثلا mega-ls, mega-pwd اما ما در محیط کامند لاینی اون وارد میشیم و دستورات رو وارد میکنیم
حالا باید با دستور mega-cmd وارد محیط کامند لاینی خود mega میشید بعد از این کار باید احراز هویت کنید
login your_email your_password
وارد storage خودتون میشید
حالا یکسری دستورات هست که با هم کار میکنیم
برای دیدن لیست دایرکتوری و فایل ها:
tree محیط کامند لاینی مگا
mega-ls محیط کامند لاینی لینوکس
mega-tree محیط کامند لاینی لینوکس
برای نمایش دادن مسیر دایرکتوریتوری:
pwd محیط کامند لاینی مگا
mega-pwd محیط کامند لاینی لینوکس
یکمی دستورات پایه :
cat file برای نمایش دادن یه فایل است
df -h برای نمایش کل فضای استفاده شده در مگا
du -h برای نمایش حجم استفاده شده در دایرکتوری
cp file path_mega
برای کپی کردن یه فایل به مسیر
mv file paht_mega
برای انتقال دادن فایل
mkdir برای ساختن پوشه
cd هم برای جابجایی بین پوشه ها
تمام این دستورات در سرور ابری خودتون در انجام میشه در قسمت بعد برای دانلود و اپلود و پروکسی و ... صحبت میکنیم
Part 1
📌@hackhaven_new
❤4🔥2
کانال هک هیون رو ریپورت دادن تلگرام بستش
@hackhaven_channel
ادامه فعالیت توی این کانال صورت میگیره
@hackhaven_new
@hackhaven_channel
ادامه فعالیت توی این کانال صورت میگیره
@hackhaven_new
❤7👌2
اگه اون طرح یکساله جمنای پرو رو روی ایمیلتون ست کردید
ایمیل اهراز هویت که میاد وریفای نکنید بعد چند روز اکانتتون بن میشه.
اگه ایمیل اصلیتون رو زدید و براتون مهمه
برید توی جمنای قسمت تنظیمات
لغو سابسکریپن رو بزنید
ایمیل اهراز هویت که میاد وریفای نکنید بعد چند روز اکانتتون بن میشه.
اگه ایمیل اصلیتون رو زدید و براتون مهمه
برید توی جمنای قسمت تنظیمات
لغو سابسکریپن رو بزنید
🔥5👍1
دوستانی که میخوان جاوااسکریپت رو عمیق یاد بگیرن
https://newsletter.jsecurity.ir
اینجا ایمیلتونو وارد کنید براتون هفتگی هفته نامه جاوااسکریپت ارسال میشه
نویسنده هفته نامه:
@catzfather
اینجا هم سایت اصلی
https://jsecurity.ir
https://newsletter.jsecurity.ir
اینجا ایمیلتونو وارد کنید براتون هفتگی هفته نامه جاوااسکریپت ارسال میشه
نویسنده هفته نامه:
@catzfather
اینجا هم سایت اصلی
https://jsecurity.ir
جاوااسکریپت در امنیت با ATXIII CLUB
خبرنامه رایگان جاوااسکریپت در امنیت
هدف هفته نامه اینه که رایگان مطالب عمیق جاوااسکریپت رو به زبان بازاری یادبگیری. مطالبی رو مینویسم که مرجع شون سایت MDN و کتابهای جی اس در حوزه امنیت و برنامه نویسیه و در کنار اینها سعی میکنم تجربه خودم رو هم انتقال بدم.
❤8