https://github.com/Maldev-Academy/ExecutePeFromPngViaLNK?tab=readme-ov-file
Extract and execute a PE embedded within a PNG file using an LNK file.
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
#Payloads
Extract and execute a PE embedded within a PNG file using an LNK file.
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
#Payloads
GitHub
GitHub - Maldev-Academy/ExecutePeFromPngViaLNK: Extract and execute a PE embedded within a PNG file using an LNK file.
Extract and execute a PE embedded within a PNG file using an LNK file. - Maldev-Academy/ExecutePeFromPngViaLNK
👍5
رایتاپ آسیب پذیری 150,000$
وسوسه انگیزه
هکر اولش میاد میگه :
ما گاهی وقتا انتظار داریم یه باگ بحرانی ، یه چیز پیچیده و سخت باشه اما در واقعیت کاملا برعکسه
[این جمله خیلی خیلی باارزشه بنظرم]
مغزتون به نباید ها و نشد ها عادت نکنه، چون هم میشه و هم برای هکر نبایدی وجود نداره:
رایتاپ آسیب پذیری 150,000$
وسوسه انگیزه
رایتاپشو بخون پس
هکر اولش میاد میگه :
ما گاهی وقتا انتظار داریم یه باگ بحرانی ، یه چیز پیچیده و سخت باشه اما در واقعیت کاملا برعکسه
[این جمله خیلی خیلی باارزشه بنظرم]
هکر باگ رو روی Evmos پیدا کرده
Evmosچیه؟
یه بلاکچینه که مبتنی بر معماری Coamos ساخته شده . که هدفش فراهم کردن قابلیت تعامل بین شبکه های های cosmos و Ethereumهستش.
حالا Cosmosچیه؟ یک فریم ورک هستش که به توسعه دهنده ها این امکان رو میده تا بلاکچین های مختلفی باهاش بسازن که بتونن باهم تعامل کنن
حالا اگر میخوای بیشتر بدونی راجبشوندیگه دست ب سرچ شو چون خیلی بحثش زیاده
هکر میگه من یه باگی پیدا کردم که میتونه بلاک چین Evmos و همه ی dAppهاشو متوقف کنه
اقا dAppچیه؟برنامه هایی که روی بلاکچینه اومدن بالا رو میگن dApp
مثلا وقتی میری روی یک سایتی و داری اتریوم رو تبدیل به تترمیکنی ،همون لحظه داری با یک dAppانجامش میدی که یک وب اپلیکیشنی هستش که روی یک بلاکچین خاصی اومده بالا و داره یه خدماتی رو به صورت غیرمتمرکز بهت ارائه میده.
اینا همش حاشیس میگما
خب بریم ادامه ماجرا:
پس هکر گفت یه باگی پیدا کردم که ممکنه منجر به توقف عملکرد بلاکچینه بشه
چجوری پیداش کردی؟ با خوندن داکیومنت
هکر میگه اومدم گفتم این بلاکچینه از روی چی ساخته شده؟از رویCosmos
پس برم داکیومنت اونو بخونم
چون پایشه دیگه
میگه یه ماژولی داشت این cosmos به اسم ماژول بانک.
داشتم بررسیش میکردم که به یک مفهوم جالب ازش رسیدم. یه چیزی به اسم حساب های ماژول
چیزی که برام جالب بود این جمله بود:
حساب های ماژول نباید وجه دریافت کنند
اقا ماژول چیه؟یک بخش از کده که در یه سیستم وظایف خاصی رو انجام میده.
مثلا اینجا گفتیم ماژول بانک : که کارش انجام تراکنش های مالی و انتقال وجه بین حساب ها هستش.
اقا حساب های ماژول چیه؟ حساب هایی هستن که برای انجام یسری کارها در یک ماژول طراحی شدن
بیا مثالشو بررسی کنیم قشنگ میفهمی:
مثلا توی این بلاکچین یه ماژولی داریم که مسئول انتقال پوله.حساب هایی که توی این ماژول هستن ممکنه برای نگهداری توکن ها یا اطلاعات مربوط به این تراکنش استفاده بشن.
هکر میگه من توی داکیومنت خوندم که این حساب های ماژول نباید وجه دریافت کنن
منم با خودم گفتم :اگه وجه دریافت کنن مگه چی میشه؟😂هکره دیگه
هرچی بهش بگن رو برعکسشو دوس داره.
حالا بیاین ببینیم میتونیم وجهی رو به یک حساب ماژول ارسال کنیم؟چون اون نباید هیچ وجهی رو بپذیره
با این کامند وجه رو میتونم به حساب ماژول توزیع ارسال کنم که منجر به خطای زیر میشه:
Error :ERR CONSENSUS FAILER!!!…
توی این مرحله بلوک دیگه ای تولید نمیشه و زنجیره متوقف میشه.البته الان این باگ برطرف شده
جایزشم که 150هزار دلار که حدود ۱۰میلیارد خودمون میشه
نکات مهم این داستان باحال:
همیشه مستندات پروژه ای که روش میخوایم کار کنیم رو مطالعه کنیم
و مهم ترین بخش: مهم ترینا ممکنه ساده ترینا باشن
این اولین رایتاپ web3 بود براتون بازنشرکردم
باحال بود.
https://x.com/alimostafaeiorg/status/1854484603957842344?t=vvODu5Z3QA3e_rxEZD3vEQ&s=19
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
#Bugbounty
وسوسه انگیزه
هکر اولش میاد میگه :
ما گاهی وقتا انتظار داریم یه باگ بحرانی ، یه چیز پیچیده و سخت باشه اما در واقعیت کاملا برعکسه
[این جمله خیلی خیلی باارزشه بنظرم]
مغزتون به نباید ها و نشد ها عادت نکنه، چون هم میشه و هم برای هکر نبایدی وجود نداره:
رایتاپ آسیب پذیری 150,000$
وسوسه انگیزه
رایتاپشو بخون پس
هکر اولش میاد میگه :
ما گاهی وقتا انتظار داریم یه باگ بحرانی ، یه چیز پیچیده و سخت باشه اما در واقعیت کاملا برعکسه
[این جمله خیلی خیلی باارزشه بنظرم]
هکر باگ رو روی Evmos پیدا کرده
Evmosچیه؟
یه بلاکچینه که مبتنی بر معماری Coamos ساخته شده . که هدفش فراهم کردن قابلیت تعامل بین شبکه های های cosmos و Ethereumهستش.
حالا Cosmosچیه؟ یک فریم ورک هستش که به توسعه دهنده ها این امکان رو میده تا بلاکچین های مختلفی باهاش بسازن که بتونن باهم تعامل کنن
حالا اگر میخوای بیشتر بدونی راجبشوندیگه دست ب سرچ شو چون خیلی بحثش زیاده
هکر میگه من یه باگی پیدا کردم که میتونه بلاک چین Evmos و همه ی dAppهاشو متوقف کنه
اقا dAppچیه؟برنامه هایی که روی بلاکچینه اومدن بالا رو میگن dApp
مثلا وقتی میری روی یک سایتی و داری اتریوم رو تبدیل به تترمیکنی ،همون لحظه داری با یک dAppانجامش میدی که یک وب اپلیکیشنی هستش که روی یک بلاکچین خاصی اومده بالا و داره یه خدماتی رو به صورت غیرمتمرکز بهت ارائه میده.
اینا همش حاشیس میگما
خب بریم ادامه ماجرا:
پس هکر گفت یه باگی پیدا کردم که ممکنه منجر به توقف عملکرد بلاکچینه بشه
چجوری پیداش کردی؟ با خوندن داکیومنت
هکر میگه اومدم گفتم این بلاکچینه از روی چی ساخته شده؟از رویCosmos
پس برم داکیومنت اونو بخونم
چون پایشه دیگه
میگه یه ماژولی داشت این cosmos به اسم ماژول بانک.
داشتم بررسیش میکردم که به یک مفهوم جالب ازش رسیدم. یه چیزی به اسم حساب های ماژول
چیزی که برام جالب بود این جمله بود:
حساب های ماژول نباید وجه دریافت کنند
اقا ماژول چیه؟یک بخش از کده که در یه سیستم وظایف خاصی رو انجام میده.
مثلا اینجا گفتیم ماژول بانک : که کارش انجام تراکنش های مالی و انتقال وجه بین حساب ها هستش.
اقا حساب های ماژول چیه؟ حساب هایی هستن که برای انجام یسری کارها در یک ماژول طراحی شدن
بیا مثالشو بررسی کنیم قشنگ میفهمی:
مثلا توی این بلاکچین یه ماژولی داریم که مسئول انتقال پوله.حساب هایی که توی این ماژول هستن ممکنه برای نگهداری توکن ها یا اطلاعات مربوط به این تراکنش استفاده بشن.
هکر میگه من توی داکیومنت خوندم که این حساب های ماژول نباید وجه دریافت کنن
منم با خودم گفتم :اگه وجه دریافت کنن مگه چی میشه؟😂هکره دیگه
هرچی بهش بگن رو برعکسشو دوس داره.
حالا بیاین ببینیم میتونیم وجهی رو به یک حساب ماژول ارسال کنیم؟چون اون نباید هیچ وجهی رو بپذیره
با این کامند وجه رو میتونم به حساب ماژول توزیع ارسال کنم که منجر به خطای زیر میشه:
Error :ERR CONSENSUS FAILER!!!…
توی این مرحله بلوک دیگه ای تولید نمیشه و زنجیره متوقف میشه.البته الان این باگ برطرف شده
جایزشم که 150هزار دلار که حدود ۱۰میلیارد خودمون میشه
نکات مهم این داستان باحال:
همیشه مستندات پروژه ای که روش میخوایم کار کنیم رو مطالعه کنیم
و مهم ترین بخش: مهم ترینا ممکنه ساده ترینا باشن
این اولین رایتاپ web3 بود براتون بازنشرکردم
باحال بود.
https://x.com/alimostafaeiorg/status/1854484603957842344?t=vvODu5Z3QA3e_rxEZD3vEQ&s=19
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
#Bugbounty
🔥26👍5👎1
Bugbounty Tips pinned «رایتاپ آسیب پذیری 150,000$ وسوسه انگیزه هکر اولش میاد میگه : ما گاهی وقتا انتظار داریم یه باگ بحرانی ، یه چیز پیچیده و سخت باشه اما در واقعیت کاملا برعکسه [این جمله خیلی خیلی باارزشه بنظرم] مغزتون به نباید ها و نشد ها عادت نکنه، چون هم میشه و هم برای هکر…»
https://evil.ir/blog?1%22%3C/noscript%3E%3Cnoscript%3Eeval(%22alert(document\x2ecookie)%22)%3C/noscript%3EFor more join to channel (:
https://news.1rj.ru/str/rootdr_research
#Bugbounty
🔥9👎2👍1
https://x.com/R00TDR/status/1767123886745792692?t=9Gzo4chpc2XMIP02dDxNqA
دوستان توییتر منه اگه دوست داشتید دنبال کنین🙏
دوستان توییتر منه اگه دوست داشتید دنبال کنین🙏
👎9👍6
https://challenginno.ir/
https://news.1rj.ru/str/challenginno
یک پلتفرم آموزشی جذاب ایرانی دیگه
که بخش های مختلفی برای Blue/Red داره
چالش های جذابی داره (:
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
https://news.1rj.ru/str/challenginno
یک پلتفرم آموزشی جذاب ایرانی دیگه
که بخش های مختلفی برای Blue/Red داره
چالش های جذابی داره (:
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
Telegram
challenginno.ir
ارتقاء دانش و تخصص امنیت سایبری با دنیای حل چالش
@ENITP
@ENITP
👍10❤1👎1🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
حل چالش Trickster در PicoCTF
سعی کنید چالش رو حل کنید اول خودتون، خیلی ساده اس.
https://play.picoctf.org/practice/challenge/445
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
#web
#CTF
#writeup
سعی کنید چالش رو حل کنید اول خودتون، خیلی ساده اس.
https://play.picoctf.org/practice/challenge/445
For more join to channel (:
https://news.1rj.ru/str/rootdr_research
#web
#CTF
#writeup
👍4
سلام
یک اسکریپت اتومات برای crawl و پیدا کردن unique پارامتر ها و پارامتر هایی که Reflect میشن نوشتم که برای پیدا کردن آسیب پذیری RXSS خیلی کمک میکنه،
با Star توی پروژه گیتهاب و انتشارش میتونید حمایت کنید❤️🙏
یک اسکریپت اتومات برای crawl و پیدا کردن unique پارامتر ها و پارامتر هایی که Reflect میشن نوشتم که برای پیدا کردن آسیب پذیری RXSS خیلی کمک میکنه،
با Star توی پروژه گیتهاب و انتشارش میتونید حمایت کنید❤️🙏
🔥17❤1
ex-param is an automated tool designed for finding reflected parameters for XSS vulnerabilities. It crawls a target website, extracts GET parameters, and tests them for reflected input. The tool helps bug bounty hunters and penetration testers quickly identify potential reflected XSS flaws, offering fast and reliable results.
Features
Crawls a target domain to discover all pages and GET parameters.
Tests each parameter to check if it's reflected in the response.
Outputs a list of reflected parameters for further exploitation.
Fast and optimized for bug bounty hunters.
Easy to use with minimal setup.
link:
https://github.com/rootDR/ex-param
For more join to channel :
https://news.1rj.ru/str/rootdr_research
#Web
#Bugbounty
#Tools
Features
Crawls a target domain to discover all pages and GET parameters.
Tests each parameter to check if it's reflected in the response.
Outputs a list of reflected parameters for further exploitation.
Fast and optimized for bug bounty hunters.
Easy to use with minimal setup.
link:
https://github.com/rootDR/ex-param
For more join to channel :
https://news.1rj.ru/str/rootdr_research
#Web
#Bugbounty
#Tools
🔥11👍2👎1👏1
Bugbounty Tips
ex-param is an automated tool designed for finding reflected parameters for XSS vulnerabilities. It crawls a target website, extracts GET parameters, and tests them for reflected input. The tool helps bug bounty hunters and penetration testers quickly identify…
🚀 New Update for Automated Reflected Parameter Finder Tool! 🔍
We've just made the tool even more user-friendly and powerful for penetration testers and security researchers! 🎯
Key Updates:
🏷 New -s Switch: Now you can specify the -s flag to include subdomains in the crawl. If this flag is omitted, the tool will only crawl the main domain — giving you better control over your scans.
🗂 Automatic File Organization: The tool now creates a dedicated folder for each target domain. All crawled pages and discovered parameters are saved neatly in the respective folder.
⚡️ Performance Boost: We've optimized the crawling speed to ensure faster results and a smoother experience while scanning for reflected parameters.
👁 Real-Time Feedback: See results as soon as a reflected parameter is found, reducing wait times and improving user experience.
💻 Check out the updated tool on GitHub and start scanning with even more precision! 🔥
How to Use:
-t (required): The target domain URL to crawl (e.g., https://example.com)
-s: Include subdomains in the crawl. If this flag is omitted, only the main domain is crawled.
🛠 Tools & Features:
Reflected parameter testing for XSS vulnerabilities
Subdomain crawling support
Real-time results & performance improvements
🔧 Try it now and enhance your web security scanning game!
👉 Follow me on Twitter and telegram for more updates: @R00TDR t.me/rootdr_research
#Web
#Bugbounty
#Tools
We've just made the tool even more user-friendly and powerful for penetration testers and security researchers! 🎯
Key Updates:
🏷 New -s Switch: Now you can specify the -s flag to include subdomains in the crawl. If this flag is omitted, the tool will only crawl the main domain — giving you better control over your scans.
🗂 Automatic File Organization: The tool now creates a dedicated folder for each target domain. All crawled pages and discovered parameters are saved neatly in the respective folder.
⚡️ Performance Boost: We've optimized the crawling speed to ensure faster results and a smoother experience while scanning for reflected parameters.
👁 Real-Time Feedback: See results as soon as a reflected parameter is found, reducing wait times and improving user experience.
💻 Check out the updated tool on GitHub and start scanning with even more precision! 🔥
How to Use:
-t (required): The target domain URL to crawl (e.g., https://example.com)
-s: Include subdomains in the crawl. If this flag is omitted, only the main domain is crawled.
🛠 Tools & Features:
Reflected parameter testing for XSS vulnerabilities
Subdomain crawling support
Real-time results & performance improvements
🔧 Try it now and enhance your web security scanning game!
👉 Follow me on Twitter and telegram for more updates: @R00TDR t.me/rootdr_research
#Web
#Bugbounty
#Tools
Telegram
Bugbounty Tips
research and sharing in cybersecurity
🔥4❤1👍1