Hack Haven
Voice message
خیلی ممنون مهندس مصطفی(عامر) گل
زحمت رود مپ وب ۳ رو داری میکشی ❤️❤️
زحمت رود مپ وب ۳ رو داری میکشی ❤️❤️
https://github.com/jermanuts/bad-opsec
اشتباهاتی که هکرها انجام دادن و لو رفتن
منبع:https://news.1rj.ru/str/netsecz
اشتباهاتی که هکرها انجام دادن و لو رفتن
منبع:https://news.1rj.ru/str/netsecz
GitHub
GitHub - jermanuts/bad-opsec: Collection of links on bad opsec
Collection of links on bad opsec. Contribute to jermanuts/bad-opsec development by creating an account on GitHub.
❤11🥴1
Forwarded from PentesterLand Academy - Public
PentesterLand Academy - Public
Voice message
Cve میاد حواستون باشه اینکارو کنید
بانتی رو نسوزونید
بانتی رو نسوزونید
Forwarded from BugBounty & Hacking Resources (| | Sharo K h | |)
GitHub
GitHub - assetnote/react2shell-scanner: High Fidelity Detection Mechanism for RSC/Next.js RCE (CVE-2025-55182 & CVE-2025-66478)
High Fidelity Detection Mechanism for RSC/Next.js RCE (CVE-2025-55182 & CVE-2025-66478) - assetnote/react2shell-scanner
🔥7
Forwarded from PentesterLand Academy - Public
react-cve-03.py
2.6 KB
فقط هم این سه تا کتابخونه ایمورت شده که دوتاش برا درخواست و عدم نشون دادن خطاست (ریکویست و یو ار ال لیب) و ترد برا سرعت بالا
ادرس دی ان اس تون رو بدید (برپ کولب یا وب هوک دی ان اس هم اوکیه)
لیست تارگت ها
خروجی whoami میاد برا دی ان اگه اسیب پذیر باشه
درصد جواب دهی ؟ 100% تست شده روی بیش از n ادرس ازمایشگاهی (لابراتوار بوده : D )
تمامی این کد صرفا جهت موارد اموزشی و هکر قانون مند نوشته شده و انجام هرگونه عملیات مخرب روی ادرس هایی که مجوز ندارید خلاف قوانین و نیت این ابزار هست
نکته :ترکیبش کنید با api shodan ببینید چی میده
ادرس دی ان اس تون رو بدید (برپ کولب یا وب هوک دی ان اس هم اوکیه)
لیست تارگت ها
خروجی whoami میاد برا دی ان اگه اسیب پذیر باشه
درصد جواب دهی ؟ 100% تست شده روی بیش از n ادرس ازمایشگاهی (لابراتوار بوده : D )
تمامی این کد صرفا جهت موارد اموزشی و هکر قانون مند نوشته شده و انجام هرگونه عملیات مخرب روی ادرس هایی که مجوز ندارید خلاف قوانین و نیت این ابزار هست
نکته :ترکیبش کنید با api shodan ببینید چی میده
❤9
Forwarded from PentesterLand Academy - Public
Shodan cli command 😁️️
shodan search --fields ip_str,port --limit 1000 'http.component:"react"' | awk '{print "https://"$1":"$2}' > test.txt
باز هم برای مصارف اموزشی این رو فقط رو ای پی هایی که اجازه دارید بزنید
قانون مند باشید
shodan search --fields ip_str,port --limit 1000 'http.component:"react"' | awk '{print "https://"$1":"$2}' > test.txt
باز هم برای مصارف اموزشی این رو فقط رو ای پی هایی که اجازه دارید بزنید
قانون مند باشید
❤10
Forwarded from PentesterLand Academy - Public
این پست توضیحات اسیب پذیری ترسناک و جدیدی هست که روی React o nextjs یا دقیق تر بگم RSC اومده، و منجر به دسترسی به سرور میشه و خلاصه مهاجم میتونه بیاد تو(و همه چیز از تو اومدن شروع میشه)😁:
https://www.instagram.com/reel/DR37lC-jSZs/?igsh=MWg4MWplN2o0bXhrNw==
خیلی دوست دارم اون روزی بیاد که پستا تخصصی بیشتر محتوا زرد و طنز دیده بشه 😁❤️🔥
https://www.instagram.com/reel/DR37lC-jSZs/?igsh=MWg4MWplN2o0bXhrNw==
خیلی دوست دارم اون روزی بیاد که پستا تخصصی بیشتر محتوا زرد و طنز دیده بشه 😁❤️🔥
Instagram
@pentesterland
هشدار فوری به دوستانی که از nextjs یا react استفاده میکنند
اگه سریعا اقدام نکنید به واسطه اسیب پذیری که روی RSC بخش Flight deserialization رخ داده از سرور شما دسترسی خواهد گرفت و مهاجمین اینکار را به سادگی انجام خواهند داد
اگه میخوای به کد بررسی…
هشدار فوری به دوستانی که از nextjs یا react استفاده میکنند
اگه سریعا اقدام نکنید به واسطه اسیب پذیری که روی RSC بخش Flight deserialization رخ داده از سرور شما دسترسی خواهد گرفت و مهاجمین اینکار را به سادگی انجام خواهند داد
اگه میخوای به کد بررسی…
❤10👎1
znuqv
react-cve-03.py
برای دامین میتونید از این دوتا سرویس استفاده کنید
http://dnslog.cn/
https://app.interactsh.com/
این سایته هم دامین رایگان میده
https://requestbin.net/
http://dnslog.cn/
https://app.interactsh.com/
این سایته هم دامین رایگان میده
https://requestbin.net/
dnslog.cn
DNSLog Platform
DNSLog平台
❤6
Cve-2025-66516
دو سه روزه cve های جالبی میاد
https://thehackernews.com/2025/12/critical-xxe-bug-cve-2025-66516-cvss.html?m=1
دو سه روزه cve های جالبی میاد
https://thehackernews.com/2025/12/critical-xxe-bug-cve-2025-66516-cvss.html?m=1
❤9
Forwarded from Bug Bounty Diary
✎ The Anatomy of Source Maps and Reconstructing Original Source Code
A source map is a
Browsers use source maps to reconstruct original code automatically. Similarly, you can use tools like Sourcemapper to retrieve a website’s original source if the
References
• Introduction to JavaScript Source Maps
• Source maps: languages, tools
• Extracting JavaScript from Sourcemaps
#bugbounty #sourcemap #javanoscript
© T.me/BugBounty_Diary
A source map is a
.map file that links transformed code back to the original source, allowing browsers to display the original code in debuggers. For bug hunters, this is valuable because it makes reading code easier, reveals developer comments and ... .Browsers use source maps to reconstruct original code automatically. Similarly, you can use tools like Sourcemapper to retrieve a website’s original source if the
.map files are publicly accessible.sourcemapper -output dhubsrc -url https://target.com/js/client.356c1491.js.map
References
• Introduction to JavaScript Source Maps
• Source maps: languages, tools
• Extracting JavaScript from Sourcemaps
#bugbounty #sourcemap #javanoscript
© T.me/BugBounty_Diary
❤10
کد برای چک کردن پارامترها و فایل های js زیاده
این ui خوبی داره خوشم اومد
این ui خوبی داره خوشم اومد
javanoscript:(function(){var noscripts=document.getElementsByTagName("noscript"),regex=/(?<=(\"|\%27|\`))\/[a-zA-Z0-9_?&=\/\-\#\.]*(?=(\"|\'|\%60))/g,jsRegex=/(?<=(\"|\'|\%60))(?:\/|https?:\/\/)[a-zA-Z0-9_?&=\/\-\#\.]+\.js(?:\?[^"'%60]*)?(?=(\"|\'|\%60))/g;const results=new Set;const paramMap=new Map();const jsFiles=new Set();function processContent(t,src){var e=t.matchAll(regex);for(let r of e){results.add(r[0]);var params=r[0].split('?')[1];if(params){params.split('&').forEach(param=>{var [key,]=param.split('=');if(key){if(!paramMap.has(key)){paramMap.set(key,[]);}paramMap.get(key).push(src||'Inline noscript or HTML');}});}}var j=t.matchAll(jsRegex);for(let r of j){jsFiles.add(r[0]);}}for(var i=0;i<noscripts.length;i++){var t=noscripts[i].src;if(t){jsFiles.add(t);fetch(t).then(function(t){return t.text()}).then(text=>processContent(text,t)).catch(function(t){console.log("An error occurred: ",t)});}else{processContent(noscripts[i].textContent);}}var pageContent=document.documentElement.outerHTML;processContent(pageContent,'Page content');function writeResults(){var div=document.createElement("div");div.style.cssText="position:fixed;top:0;left:0;width:100%;height:100%;background:#f0f8ff;color:#333;overflow:auto;z-index:9999;padding:20px;font-family:Arial,sans-serif;";var content="<h2 style='color:#4a69bd;'>Endpoints Found: " + results.size + "</h2>";content+="<div style='display:grid;grid-template-columns:1fr 1fr;gap:10px;'>";content+=Array.from(results).map(endpoint=>{var fullUrl=endpoint.startsWith("http")?endpoint:window.location.origin+endpoint;return "<div style='background:#fff;margin-bottom:10px;padding:10px;border-left:5px solid #4a69bd;'>" + endpoint + "</div><div style='background:#fff;margin-bottom:10px;padding:10px;border-left:5px solid #4a69bd;'><a href='" + fullUrl + "' target='_blank' style='color:#4a69bd;text-decoration:none;word-break:break-all;'>" + fullUrl + "</a></div>"}).join("");content+="</div>";content+="<h2 style='color:#4a69bd;margin-top:20px;'>Parameters Found:</h2>";content+="<div style='display:grid;grid-template-columns:1fr 1fr;gap:10px;'>";paramMap.forEach((sources,param)=>{content+="<div style='background:#fff;margin-bottom:10px;padding:10px;border-left:5px solid #4a69bd;'>" + param + "</div><div style='background:#fff;margin-bottom:10px;padding:10px;border-left:5px solid #4a69bd;'>" + sources.join('<br>') + "</div>";});content+="</div>";content+="<h2 style='color:#4a69bd;margin-top:20px;'>JS Files Found: " + jsFiles.size + "</h2>";content+="<div style='display:grid;grid-template-columns:1fr;gap:10px;'>";jsFiles.forEach(file=>{var fullUrl=file.startsWith("http")?file:window.location.origin+file;content+="<div style='background:#fff;margin-bottom:10px;padding:10px;border-left:5px solid #4a69bd;'><a href='" + fullUrl + "' target='_blank' style='color:#4a69bd;text-decoration:none;word-break:break-all;'>" + file + "</a></div>";});content+="</div>";div.innerHTML=content;var closeBtn=document.createElement("button");closeBtn.textContent="Close";closeBtn.style.cssText="position:fixed;top:10px;right:10px;background:#4a69bd;color:white;border:none;padding:10px 20px;cursor:pointer;";closeBtn.onclick=function(){document.body.removeChild(div);};div.appendChild(closeBtn);document.body.appendChild(div)}setTimeout(writeResults,3000);})();
❤9🔥4👍1
Forwarded from PentesterLand Academy - Public
در خصوص قرار دادم ماینر و بک دور یک پست کامل گذاشتم
https://www.instagram.com/reel/DSCKRvnjuNR/?igsh=MW1weDNqcjFzbGdweg==
https://www.instagram.com/reel/DSCKRvnjuNR/?igsh=MW1weDNqcjFzbGdweg==
Instagram
@pentesterland
خوشحالی که اسیب پذیری ها جدید رو با چند ساعت فاصله سریع فیکس میکنی و دیگه تهدیدی دنبالت نمیکنه؟ متاسفانه بیشترین تهدید همین طرز فکر است، سریعا راهکاری که تو ویدیو میگم رو دنبال کن که خدای نکرده دسترسی ه.کر روی سیستمت باقی نمانده و اپلیکیشن و بیزینست رو…
خوشحالی که اسیب پذیری ها جدید رو با چند ساعت فاصله سریع فیکس میکنی و دیگه تهدیدی دنبالت نمیکنه؟ متاسفانه بیشترین تهدید همین طرز فکر است، سریعا راهکاری که تو ویدیو میگم رو دنبال کن که خدای نکرده دسترسی ه.کر روی سیستمت باقی نمانده و اپلیکیشن و بیزینست رو…
❤9
Forwarded from #Silence[𝙒𝙀𝘽3]
این توضیحات نیاز بود
@logicalSilence
یکبار برای همیشه دربارهٔ هک توی WEB3 سعی کردم رودمپش و به شکل مختصر به تفاوتش با وب اپ هکینگ بپردازم
@logicalSilence
❤7🤣4👍1