📂 انتقال فایل بین سرور (VPS) و سیستم شخصی با دستور scp
برای جابجایی فایل یا پوشه بین سرور و سیستم خودتون میتونید از دستور scp استفاده کنید.
✅ کپی کردن یک پوشه از روی سرور به سیستم شخصی:
✅ کپی کردن یک فایل متنی از روی سرور به سیستم شخصی:
⬆️ انتقال فایل/پوشه از سیستم شخصی به سرور:
📂 انتقال پوشه:
📄 انتقال فایل:
📌@hackhaven_new
برای جابجایی فایل یا پوشه بین سرور و سیستم خودتون میتونید از دستور scp استفاده کنید.
✅ کپی کردن یک پوشه از روی سرور به سیستم شخصی:
scp -r root@203.0.113.10:/root/CMSmap ~/Downloads/
✅ کپی کردن یک فایل متنی از روی سرور به سیستم شخصی:
scp root@203.0.113.10:/root/s.txt ~/Downloads/
⬆️ انتقال فایل/پوشه از سیستم شخصی به سرور:
📂 انتقال پوشه:
scp -r ~/Downloads/root/CMSmap root@203.0.113.10:/root/
📄 انتقال فایل:
scp ~/Downloads/output.txt root@203.0.113.10:/root/
📌@hackhaven_new
❤4
⚡️ باز کردن پورت با Netcat برای تست SSRF / Blind XSS
🔹 بعضی وقتا برای تست باگهای امنیتی مثل:
* 🛰 SSRF
* 🎯 Blind XSS
* 📡 OOB Requests
لازمه روی سرور خودت یه پورت باز کنی تا درخواستها رو بگیری. راحتترین ابزار برای اینکار Netcat (nc) ـه.
---
🔧 دستور لیسن روی پورت دلخواه:
+برای اینکه بعد از یک درخواست پورت بسته نشه میتونید از سوییچ -k استفاده کنید :
📖 توضیح سوئیچها:
* -l → فعال کردن حالت گوش دادن (listen).
* -v → نمایش جزئیات بیشتر (verbose).
* -n → غیرفعال کردن DNS resolve (سرعت بالاتر).
* -p → انتخاب شماره پورت (اینجا: 4444).
---
💡 کاربردها:
* 🕵️ گرفتن کالبکهای SSRF
* 👾 نمایش payloadهای Blind XSS
* 🌍 مانیتور کردن درخواستهای خروجی
📌@hackhaven_new
🔹 بعضی وقتا برای تست باگهای امنیتی مثل:
* 🛰 SSRF
* 🎯 Blind XSS
* 📡 OOB Requests
لازمه روی سرور خودت یه پورت باز کنی تا درخواستها رو بگیری. راحتترین ابزار برای اینکار Netcat (nc) ـه.
---
🔧 دستور لیسن روی پورت دلخواه:
nc -lvnp 4444
+برای اینکه بعد از یک درخواست پورت بسته نشه میتونید از سوییچ -k استفاده کنید :
nc -lvnp 4444 -k
📖 توضیح سوئیچها:
* -l → فعال کردن حالت گوش دادن (listen).
* -v → نمایش جزئیات بیشتر (verbose).
* -n → غیرفعال کردن DNS resolve (سرعت بالاتر).
* -p → انتخاب شماره پورت (اینجا: 4444).
---
💡 کاربردها:
* 🕵️ گرفتن کالبکهای SSRF
* 👾 نمایش payloadهای Blind XSS
* 🌍 مانیتور کردن درخواستهای خروجی
📌@hackhaven_new
❤3🔥1
Hack Haven
⚡️ باز کردن پورت با Netcat برای تست SSRF / Blind XSS 🔹 بعضی وقتا برای تست باگهای امنیتی مثل: * 🛰 SSRF * 🎯 Blind XSS * 📡 OOB Requests لازمه روی سرور خودت یه پورت باز کنی تا درخواستها رو بگیری. راحتترین ابزار برای اینکار Netcat (nc) ـه. --- 🔧 دستور لیسن…
بجای webhook میتونید از این روش استفاده کنید
❤4
💻 استفاده از tmux روی سرور
وقتی روی سرور ابزاری رو اجرا میکنید، اگر اتصال SSH قطع بشه، فرایند در حال اجرا هم متوقف میشه. برای جلوگیری از این مشکل یا مثلا وقتی میخواید یک پورت روی سیستم همیشه باز باشه، از tmux استفاده کنید.
⚡️ دستورات کاربردی tmux:
📌@hackhaven_new
وقتی روی سرور ابزاری رو اجرا میکنید، اگر اتصال SSH قطع بشه، فرایند در حال اجرا هم متوقف میشه. برای جلوگیری از این مشکل یا مثلا وقتی میخواید یک پورت روی سیستم همیشه باز باشه، از tmux استفاده کنید.
⚡️ دستورات کاربردی tmux:
# ایجاد یک جلسه جدید به نام mysession
tmux new -s mysession
# لیست کردن تمام جلسات
tmux ls
# وصل شدن به یک جلسه موجود
tmux attach -t mysession
# خروج از جلسه بدون بستن آن
Ctrl + b سپس d
# تقسیم صفحه به دو پنل افقی
Ctrl + b سپس "
# تقسیم صفحه به دو پنل عمودی
Ctrl + b سپس %
# جابجایی بین پنلها
Ctrl + b سپس ← / → / ↑ / ↓
📌@hackhaven_new
❤3🔥1
یکی از کامندهای لینوکس که خیلی جذابه و کم استفاده میشه کامند chattr است که مخفف change attributes است که میتوانی ویژگی های خاص یه فایل و دایرکتوری رو تغییر بدی
هم میتوان برای حمله استفاده کرد هم برای دفاع کردن
برای مثال :
و بعدش بیاید اتربیوت بهش اضافه کنید
i = immutable
حالا شما نه میتوانید فایل را حذف کنید نه تغییر بدهید حتی با دسترسی روت هم نمیتونید
برای حذف کردنش فقط یه راه وجود داره باید attribute فایل رو ازش بگیری
یا مثلا فقط مقدار بهش اضافه بشه اما کل فایل تغییر نکنه برای مثال برای پاک نشدن لاگ ها
a=append only
حالا فقط مقداری به این فایل اضافه کنید و نمیتوان فایل رو کامل تغییر داد
برای اضافه کردن اتربیوت از + برای برداشتن اتربیوت از - استفاده کنید
📌@hackhaven_new
هم میتوان برای حمله استفاده کرد هم برای دفاع کردن
برای مثال :
echo "This is a test" > file.txt
و بعدش بیاید اتربیوت بهش اضافه کنید
i = immutable
sudo chattr +i file.txt
حالا شما نه میتوانید فایل را حذف کنید نه تغییر بدهید حتی با دسترسی روت هم نمیتونید
برای حذف کردنش فقط یه راه وجود داره باید attribute فایل رو ازش بگیری
sudo chattr -i file.txt
یا مثلا فقط مقدار بهش اضافه بشه اما کل فایل تغییر نکنه برای مثال برای پاک نشدن لاگ ها
a=append only
sudo chattr +a file.txt
حالا فقط مقداری به این فایل اضافه کنید و نمیتوان فایل رو کامل تغییر داد
برای اضافه کردن اتربیوت از + برای برداشتن اتربیوت از - استفاده کنید
📌@hackhaven_new
❤3💯1
Middle Click Copy
یک قابلیت در موس شما وجود دارد که اگر با ماوس یک قسمت از کد یا متن هایلایت (انتخاب) کنید و با اسکرول موس کلیک کنید اون بخش از متن یا کد رو کپی پیست میکنید که به این کار Primary Selection گفته میشود
یعنی بدون Ctrl+C کپی میکنی و بدون Ctrl+v پیست میکنی
انتخاب متن + کلیک اسکرول موس = کپی پیست کردن
❤3
Forwarded from Linuxor ?
آزمایشگاه رایگان برای یادگیری Cloud و DevOps چیزای خوبی داره مثل Docker و Git و Jenkins و ... بهتون دسترسی سرور میده تست کنید
studio.kodekloud.com/labs
@Linuxor
studio.kodekloud.com/labs
@Linuxor
❤4
یکی از کارهایی که میتونید برای پیدا کردن فایل git. استفاده از این دورک
که میتوانید ببنید ایا این مسیر از سایت باز هست یا نه
حالا پا رو کمی فراتر بزاریم
میتونیم با این git-dumper کل فایل git. رو دانلود کنیم حتی میتونید کل سورس کد سایت رو هم دانلود کنید نحوه نصب:
که برای dump کردن فایل های git. باید این دستور رو بزنید
git-dumper == دستور
https://site.com/.git/ == اسم سایت
dump == اسم یه پوشه دلخواه
حالا همه فایل های git. رو دانلود کردید و ممکنه سورس کد رو هم dump کرده باشید
حالا باید این ابزار رو نصب کنید:
بعد از اون میتونید با استفاده trufflehog بچرخید و دیتاهای حساس رو از فایل هایی که dump کردید رو به دست بیارید
📌@hackhaven_new
site:*.com inurl:"Index Of .git"
که میتوانید ببنید ایا این مسیر از سایت باز هست یا نه
حالا پا رو کمی فراتر بزاریم
میتونیم با این git-dumper کل فایل git. رو دانلود کنیم حتی میتونید کل سورس کد سایت رو هم دانلود کنید نحوه نصب:
pip install git-dumper
که برای dump کردن فایل های git. باید این دستور رو بزنید
git-dumper https://site.com/.git dump
git-dumper == دستور
https://site.com/.git/ == اسم سایت
dump == اسم یه پوشه دلخواه
حالا همه فایل های git. رو دانلود کردید و ممکنه سورس کد رو هم dump کرده باشید
حالا باید این ابزار رو نصب کنید:
git clone https://github.com/trufflesecurity/trufflehog.git
cd trufflehog; go install
بعد از اون میتونید با استفاده trufflehog بچرخید و دیتاهای حساس رو از فایل هایی که dump کردید رو به دست بیارید
trufflehog filesystem dump
📌@hackhaven_new
Site
Login | HSTS Redirection Community
HSTS Redirection Community Customer Secure Login Page. Login to your HSTS Redirection Community Customer Account.
❤3🔥1
یکم در مورد حفظ حریم خصوصی بپردازیم
در این مقاله در مورد ۳ تا از ارائه دهنده های سرویس ایمیل امن صحبت میکنیم Proton mail , Tutanota , StartMail
سرویس ایمیل Proton که خدمات زیادی داره به عنوان مثال VPN, Drive, Wallet,... که واقع در سوئیس و تاسیس آن در سال ۲۰۱۴ است و Proton mail یکی از پرکاربردترین ایمیل امن دنیاست
سرویس ایمیل StartMail که تیم StartPage (موتور جستجوی امن) پشتشه یکی دیگه از ارائه دهنده سرویس ایمیل امن است که از همین اول بگم پلن رایگان نداره ساخت هلنده و از سال ۲۰۱۴ شروع به فعالیت کرده
سرویس ایمیل Tutanota سال ۲۰۱۱ شروع به کار کرده و یکی از سرویس ایمیل های کاملا رمزنگاری شده حتی موضوع ایمیل رو هم رمزنگاری میکنه و پلن رایگان داره
#Privacy
📌@hackhaven_new
در این مقاله در مورد ۳ تا از ارائه دهنده های سرویس ایمیل امن صحبت میکنیم Proton mail , Tutanota , StartMail
سرویس ایمیل Proton که خدمات زیادی داره به عنوان مثال VPN, Drive, Wallet,... که واقع در سوئیس و تاسیس آن در سال ۲۰۱۴ است و Proton mail یکی از پرکاربردترین ایمیل امن دنیاست
مزایا:
رمزنگاری End to End
حتی هیچ کدام از کارکنان proton نمیتوانن ایمیل شما رو بخونن
و Open Source Client است
امکان ایجاد Alias Email برای لو نرفتن ایمیلتون
قابلیت مانیتورینگ دارک وب برای افشای اطلاعات شخصی شما (پلن پولی)
داشتن اپلیکیشن موبایل
قابلیت مانیتورینگ حسابتون هم هست تعداد پسورد های اشتباه برای ورود و ...
قابلیت اضافه کردن به Thunderbird
استفاده از رمز ارز برای پرداخت
معایب:
پلن رایگان یکم محدوده
تعداد کم alias email
کامل open source نیست
سرویس ایمیل StartMail که تیم StartPage (موتور جستجوی امن) پشتشه یکی دیگه از ارائه دهنده سرویس ایمیل امن است که از همین اول بگم پلن رایگان نداره ساخت هلنده و از سال ۲۰۱۴ شروع به فعالیت کرده
مزایا:
سرورها در هلند تحت قوانین GDPR (حفاظت از اطلاعات شخصی و حریم خصوصی افراد) هستن
رمزنگاری PGP برای رمزنگاری
استفاده نامحدود از Alias Email
قابلیت اضافه شدن به Thunderbird
معایب:
اپ موبایل ندارد
متن باز نیست
پلن رایگان ندارد
قابلیت های اضافی Proton رو ندارد
سرویس ایمیل Tutanota سال ۲۰۱۱ شروع به کار کرده و یکی از سرویس ایمیل های کاملا رمزنگاری شده حتی موضوع ایمیل رو هم رمزنگاری میکنه و پلن رایگان داره
مزایا:
رمزنگاری همه قسمت های ایمیل حتی subject
کلاینت و اپ موبایل متن باز هستن
پلن رایگان داره
تحت قوانین GDPR
اپلیکیشن موبایل رو هم داره
معایب:
عدم پشتیبانی از رمز ارز برای پرداخت
عدم استفاده از SMTP و IMAP و POP3
از PGP استفاده نمی کند
#Privacy
📌@hackhaven_new
❤3🔥1
از یه برنامه من برای رفع فیلتر دیسکورد استفاده میکنم سرعتش برای دیدن لایو استریم خیلی خوبه
برای من از vpn بهتر جواب میده
برنامه ویندوز و لینوکس داره
سایتش:
https://packetraft.ir/
📌@hackhaven_new
برای من از vpn بهتر جواب میده
برنامه ویندوز و لینوکس داره
سایتش:
https://packetraft.ir/
📌@hackhaven_new
❤4🔥1
Forwarded from BugBounty & Hacking Resources (Meydi)
❤4