ایندفه اگه جایی توی وایت لیست اپلودش فایل اکسل بود:

تست SSRF & xxe
یادتون نره!

حالا چطور؟
یک فایل اکسل متناسب با سامانه پر کنید بعدش unzip کنید فایل اکسل رو

حالا با چندین فایل XML طرفیم وقتی داخلشون رو نگاه کنید داده هایی که پر کردید رو میبینید.

و از اون قشنگ تر اینکه:
میتونید dtd تعریف کنید و صداش کنید داخل تگ ها
بعدش هم زیپ کنید و تغیرش بدید به اکسل و اپلودش کنید!

اگر مفسر اکسل یا لایبرری استفاده شده اون پشت آسیب پذیر باشه پارس میشه

@matitanium

کلودفلیر سنگین قطع شده

تمام سایت های پشتش هم رفتن پایین

هنوز مشخص نشده حمله سایبریه یا مشکل زیر ساختی

کسی چیزی فهمید اطلاع بده

@matitanium

گروه Dark Storm Team حمله رو گردن گرفته👍

در حالی که فعلا خبری از تایید از سمت کلودفلیر و عوامل مربوطه نیستش!

@matitanium

یه هکر اینجوری از داون شدن کلادفلیر استفاده میکنه

https://www.instagram.com/reel/DRMy7riDYbp/?igsh=MWI1ZmpwdXk3Y256Zw==

اکانت intelx طرح رایگان برای دانشجوها داره
دانشگاه های ایران رو هم ساپورت میکنه

Iran: ac.ir, iau.ir

https://intelx.io/academia

SMTP API
پروایدر خوب کسی میشناسه؟

روی لینوکس🐧 یکسری فایل هستن که اطلاعات خیلی خوبی به شما میده!

برای زمانی مناسبه که شما LFI دارید و دسترسی کامل به سرور ندارید❗️

یکی از جاهای مهمی که حتما باید چک کنید:

/proc/self/environ
هستش که داده های خیلی خوبی برمیگردونه

دولوپر ها معمولا کردنشیال ها و کلید هاشونو داخل کد تعریف نمیکنن و داخل محیط اینوایرمنت میزارن تا ازشون محافظت کنن🙂

اما کافیه این مسیر رو بخونید تا همه چیو براتون بریزه بیرون🤌🏻


جهت دیدن اطلاعات پارتیشن ها، مموری، سیپیو ، شبکه داخلی، dns server ها
همه اینها یک فایل مخصوص روی لینوکس وجود داره، میتونید با AI بیشتر تحقیق کنید

فقط بدونید این مورد امکان پذیره👍
@matitanium

https://github.com/jermanuts/bad-opsec

اشتباهاتی که هکرها انجام دادن و لو رفتن
منبع:https://news.1rj.ru/str/netsecz

Certified Windows Internals Red Team Operator [CWI-RTO]

این دوره برای متخصصان امنیت سایبری طراحی شده که می‌خواهند درک عمیق‌تری از internals ویندوز و تأثیرات آن بر تیم قرمز به دست آورند. این گواهینامه بر استفاده از internals ویندوز از دیدگاه Red Team تمرکز دارد.

جزئیات دوره: 
گواهینامه CWI-RTO شامل ماژول‌های جامع است که جنبه‌های مختلف internals ویندوز و red teaming را پوشش می‌دهد.

موضوعات پوشش داده‌شده:
⦁  اصول internals ویندوز: معرفی معماری و اجزای مایکروسافت ویندوز.
⦁  APIهای Win32/NT:
کاوش عمیق APIهایی که توسط نرم‌افزارهای مخرب استفاده می‌شوند.
⦁  ساختارهای داده کرنل: درک EPROCESS، ETHREAD، KPCR و سایر ساختارهای حیاتی.
⦁  اصول Portable Executable: مبانی فایل‌های PE و اهمیت آن‌ها در توسعه بدافزار.
⦁  شبیه‌سازی چرخه‌های Red Team: تمرین‌های عملی که عملیات real-world red team را شبیه‌سازی می‌کنند.

و ...

https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing/

گزارشی از اتک‌
APT-C-35

#zoomeye
توی این گزارش از نحوه شناخت زیر ساخت های این گروه جاسوسی رونمایی کرد

اینکه چطور C&C هارو به هم ربط دادن و به زیر ساختشون رسیدن!

آگاهی یعنی اینکه شما بدونی قراره پولتو ندن و شرکت کنید.

برای اگاه‌سازی شما حداقل کاری که می‌تونید انجام بدید این هستش که راجب بدقولی و دروغ شرکت‌ها توییت بزنید.

بی پرده ترین، بی سانسور ترین
و کامل ترین حالت ممکن از یک رایتاپ اینجاست
شرح اسیب پذیری
ترکیبش با اسیب پذیری دیگر
و اینکه داپلیکیت شد ولی در نهایت با اینکه واقعا داپ بود، تبدیل به ده هزار دلار شد

دوس داشتی نشرش بده رفیق ❤️‍🔥


https://www.instagram.com/reel/DSXVKl7Doh0/?igsh=bHFtaGFqcDRhYzYz