⭕️ آسیب پذیری جدید به نام regreSSHion روی OpenSSH کشف شده که به هکرها اجازه اجرای کد از راه دور را میدهد.
شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید.
در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید.
https://www.qualys.com/regresshion-cve-2024-6387/
Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c
@securation
شماره CVE ثبت شده CVE-2024-6387 که تحلیل این آسیب پذیری رو میتونید اینجا بخونید.
در ایران بالای 85 هزار سرور آسیب پذیر به این آسیب پذیری RCE وجود داره لطفا اطلاع رسانی کنید.
https://www.qualys.com/regresshion-cve-2024-6387/
Poc : https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c
@securation
⭕️ اگر عمیق تر به معماری امنیتی و احراز هویت در سرویس مایکروسافت رجوع کرده باشید متوجه خواهید شد که مسئولیت تمامی احراز هویت ها و تعامل آن ها با هم با SSPI یا Security Support Provider Interface است.
این معماری که به طوری نوعی از WinApi ها هم است، در دو سطح User-Mode و Kernel-Mode است، در سطح کرنل از درایوری به اسم KSecDD.sys استفاده میشود.
با بررسی بیشتر متوجه میشویم عملیات IOCTL_KSEC_IPC_SET_FUNCTION_RETURN در KSSPI دسترسی lSASS به اجرای دستور به صورت دلخواه در آدرس های سطح کرنل ایجاد میکند.
همچنین باید اشاره کرد با شروع فرایند lsass.exe!LsapOpenKsec پروسه LSASS را فراخوانی میکند و با استفاده از عملیات IOCTL_KSEC_CONNECT_LSA خود را به این رابط متصل می کند.
از این نقطه به بعد، هیچ فرآیند دیگری نمی تواند به اینترفیس متصل شود و بنابراین منطقا فقط توسط LSASS راه اندازی می شود.
حال با این توضیحات ما دسترسی آن را داریم که ویژگی Driver Signature Enforcement را غیر فعال کنیم و Unsigned kernel drivers های خود را بدون مشکل Load کنیم.
https://tierzerosecurity.co.nz/2024/04/29/kexecdd.html
#RedTeam #RootKit #Evasion
@securation
این معماری که به طوری نوعی از WinApi ها هم است، در دو سطح User-Mode و Kernel-Mode است، در سطح کرنل از درایوری به اسم KSecDD.sys استفاده میشود.
با بررسی بیشتر متوجه میشویم عملیات IOCTL_KSEC_IPC_SET_FUNCTION_RETURN در KSSPI دسترسی lSASS به اجرای دستور به صورت دلخواه در آدرس های سطح کرنل ایجاد میکند.
همچنین باید اشاره کرد با شروع فرایند lsass.exe!LsapOpenKsec پروسه LSASS را فراخوانی میکند و با استفاده از عملیات IOCTL_KSEC_CONNECT_LSA خود را به این رابط متصل می کند.
از این نقطه به بعد، هیچ فرآیند دیگری نمی تواند به اینترفیس متصل شود و بنابراین منطقا فقط توسط LSASS راه اندازی می شود.
حال با این توضیحات ما دسترسی آن را داریم که ویژگی Driver Signature Enforcement را غیر فعال کنیم و Unsigned kernel drivers های خود را بدون مشکل Load کنیم.
https://tierzerosecurity.co.nz/2024/04/29/kexecdd.html
#RedTeam #RootKit #Evasion
@securation
Docs
Security Support Provider Interface Architecture
Learn about the Windows authentication protocols that are used within the Security Support Provider Interface (SSPI) architecture.
Forwarded from کانال بایت امن
#DWORD #CPL1
📣 ثبت نام دوره دوم آموزش زبان برنامه نویسی C | سطح مقدماتی و متوسط
◀️ با محوریت مهندسی معکوس و برنامه نویسی امن
✈️ مشخصات دوره :
⬅️ سطح دوره : مقدماتی و متوسط
⬅️ تعداد ساعت دوره : 25 ساعت
⬅️ نحوه برگزاری : آفلاین ( ویدیو های رکورد شده + پلیر اختصاصی )
⬅️ زبان دوره : فارسی و انگلیسی
⬅️ تعداد سر فصل : 25
⬅️ ارزیابی و مدرک پایان دوره : دارد
⬅️ گروه پشتیبانی : دارد
✈️ نکات کلیدی دوره :
⬅️ آموزش پیشنیاز های لازم و مفاهیم برنامه نویسی
⬅️ شامل استاندارد های ANSI C تا C17
⬅️ کد نویسی در محیط های برنامه نویسی Visual Studio و Visual Studio Code
⬅️ کد نویسی در سیستم عامل های ویندوز و لینوکس
⬅️ ساخت برنامه های Cross-Platform
⬅️ کار با ابزار های CMake و Automake
⬅️ آموزش به صورت پروژه محور و بررسی خلاصه محتوای هر بخش در پایان آن
⬅️ حل سوالات مربوط به مصاحبه های کاری و مرور کردن مطالب در انتهای دوره
⬅️ جلسات آنلاین رفع اشکال و پرسش و پاسخ
⬅️ مناسب برای تمامی گرایش های نیازمند به زبان برنامه نویسی C
◀️ در این دوره فرض بر این گرفته شده که زبان C به عنوان اولین زبانی است که قصد یادگیری آن را دارید. به همین دلیل، تمامی پیشنیازها به طور کامل توضیح داده شدهاند و تمامی بخشها به ریز و با نکات کاربردی بیان شدهاند.
در هر مرحله از دوره، مفاهیم با جزئیات توضیح داده شده و با مثالهای عملی و تمرینهای متنوع پشتیبانی میشوند تا یادگیری به بهترین شکل ممکن انجام شود. هدف این است که شما بتوانید با اعتماد به نفس و درک عمیق، برنامهنویسی به زبان C را آغاز کنید.
🎁 طبق روال همیشگی، دانشجویان سایر دوره های آکادمی DWORD از تخفیف برخوردار خواهند بود.
🎁 در صورت تمایل به شرکت در دوره و پرداخت شهریه به صورت اقساط با مدرس دوره در ارتباط باشید.
✈️ مشاهده اطلاعات کامل دوره، سرفصل و ثبت نام
🎤 ارتباط با مدرس دوره
▶️ پلی لیست ویدیو های دمو دوره
🦅 کانال بایت امن | گروه بایت امن
_
در هر مرحله از دوره، مفاهیم با جزئیات توضیح داده شده و با مثالهای عملی و تمرینهای متنوع پشتیبانی میشوند تا یادگیری به بهترین شکل ممکن انجام شود. هدف این است که شما بتوانید با اعتماد به نفس و درک عمیق، برنامهنویسی به زبان C را آغاز کنید.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
⭕️ در سال 2016 محققی به اسم Matt Greabers تکنیکی برای دور زدن AMSI ایجاد کرد به اسم Reflection، زمانی که این تکنیک را با Method Swapping ترکیب کنیم اصطلاحا MonkeyPatching نیز گفته میشود.
حال به توضیح قسمتی از این تکنیک اشاره میکنیم:
در ادامه نکاتی را برای رعایت OpSec میتوان اشاره کرد:
https://github.com/cybersectroll/TrollAMSI/tree/main
#RedTeam #AMSI
@securation
حال به توضیح قسمتی از این تکنیک اشاره میکنیم:
There is a low detection surface:
statically: because the code profile is so short and it is hard to apply a signature on any part of the common .NET functionality used
dynmically: because of the lack of hooked win32 API calls
Because we are modifying JIT/IL memory which is hard for AV/EDR to monitor or has not been monitored at this point by a lot of vendors
! For some security products, modify method M to pass in empty argument string c.
! For CSHARP example, private static int M(string c, string s) { c = ""; return 1; }
! For POWERSHELL example, class TrollAMSI{static [int] M([string]$c, [string]$s){ $c = ""; return 1}}
! Refer to TrollAMSIdotnet for amsi bypass for Assembly.Load()
Benefits
No P/Invoke or win32 API calls used such as VirtualProtect hence more opsec safe
No amsi.dll patching or byte patching for that matter
در ادامه نکاتی را برای رعایت OpSec میتوان اشاره کرد:
STATIC: obfuscate "AmsiUtils" and "ScanContent" maybe?
DYNAMIC: Nothing much really. Note that Add-Type method will leave disk artifacts, whereas hosting the compiled DLL on a webserver and using Load() is completely in memory
https://github.com/cybersectroll/TrollAMSI/tree/main
#RedTeam #AMSI
@securation
GitHub
GitHub - cybersectroll/TrollAMSI
Contribute to cybersectroll/TrollAMSI development by creating an account on GitHub.
⭕️ اسکریپتی به جهت مانیتور کردن تغییرات Active Directory به صورت RealTime بدون دریافت تمام Object ها توسعه داده شده که،
از Replication Metadata ها و Update Sequence Number یا USN برای فیلتر کردن Object ها استفاده میکند.
این پروژه برگرفته از LDAP Monitor است.
به سوییچ های این ابزار و نحوه استفاده از آن میپردازیم:
#RedTeam #BlueTeam
@securation
از Replication Metadata ها و Update Sequence Number یا USN برای فیلتر کردن Object ها استفاده میکند.
این پروژه برگرفته از LDAP Monitor است.
به سوییچ های این ابزار و نحوه استفاده از آن میپردازیم:
Parameters
DC - domain controller FQDN.
Formatlist - output in list instead of table.
ExcludelastLogonTimestamp - exclude lastLogonTimestamp events from output
DumpAllObjects - dump all active directory before start. In case of changes It will show you all previous values. But in large domains use it on your own risk (time and resource consuming).
Short - in output will be only AttributeName, AttributeValue, LastOriginChangeTime and Explanation.
Output - create XML file with all output.
ExcludeObjectGUID - exclude Active Directory object with specific GUID.
Sleep - time interval between requests for USN number. By default - 30 seconds.
USN - specify started USN.
DisplayXML - display previous captured XML file.
How to use
Domain computer
Just run module in powershell session from domain user. For better performance use domain controller FQDN instead of IP address.
Non-domain computer
Start powershell session with domain user with runas. Check that domain controller accessible. For better performance use domain controller FQDN instead of IP address.
#RedTeam #BlueTeam
@securation
GitHub
GitHub - DrunkF0x/ADSpider: Monitor changes in Active Directory with replication metadata
Monitor changes in Active Directory with replication metadata - DrunkF0x/ADSpider
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ Android Malware with Fake Extension(PDF) in Whatsapp
در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد.
#Android #Malware
@Securation
در این حمله نفوذگر توسط دستکاری کردن و تغییر نام اکستنشن نمایشی در صفحه چت واتساپ اهداف خود، بدافزار اندرویدی با فرمت apk را با اکستنشن نمایشی pdf در واتساپ برای قربانیان خود ارسال کرده و قربانیان با فرض بر pdf بودن فایل ارسالی، بدافزار را نصب کرده و دیوایس شان آلوده میگردد.
#Android #Malware
@Securation
⭕️ پلیس فدرال آمریکا با کمک جعبه نرم افزار Cellebrite تونست به دستگاه موبایل شخصی که به ترامپ شلیک کرد قفل موبایل رو باز کنه و به اطلاعاتش دست پیدا کنه.
تیم حرفه ای که اینو نوشته میاد روی سیستم عامل های موبایل آسیب پذیری های 0day کشف میکنه و بجای گزارش دادن به اپل و گوگل و غیره ، اکسپلویت واسشون مینویسه و به نرم افزار خودشون اضافه میکنه، ممکنه آسیب پذیریها شامل دور زدن احراز هویت ها باشه یا حتی RCE هایی که بصورت لوکال روی موبایل کار میکنند.
چون با وصل کردن USB به موبایل و سیستم راحت اکسپلویت ها رو اجرا میکنند که دور بزنه و لاگین کنه، یا حتی گاها مورد بوده اکسپلویت مستقیم روی کرنل تاثیر داشته و از حافظه ی موبایل یک Dump گرفته و بعد تحلیل تمام مواردی که توی فارنزیک نیاز دارند رو بدست میاره.
نرم افزار مورد نظر جهت فارنزیک موبایل به کار برده میشه ولی استفاده هایی که از اکسپلویت ها میشه نمونه هایی داشته که این شرکت مستقیم با اسراییلی ها مرتبط هست و حتی با گروه NSO هم قبلا شایعه شده بود وصل هستن که توی گوگل پلی بدافزار پخش کرده بود.
@securation
تیم حرفه ای که اینو نوشته میاد روی سیستم عامل های موبایل آسیب پذیری های 0day کشف میکنه و بجای گزارش دادن به اپل و گوگل و غیره ، اکسپلویت واسشون مینویسه و به نرم افزار خودشون اضافه میکنه، ممکنه آسیب پذیریها شامل دور زدن احراز هویت ها باشه یا حتی RCE هایی که بصورت لوکال روی موبایل کار میکنند.
چون با وصل کردن USB به موبایل و سیستم راحت اکسپلویت ها رو اجرا میکنند که دور بزنه و لاگین کنه، یا حتی گاها مورد بوده اکسپلویت مستقیم روی کرنل تاثیر داشته و از حافظه ی موبایل یک Dump گرفته و بعد تحلیل تمام مواردی که توی فارنزیک نیاز دارند رو بدست میاره.
نرم افزار مورد نظر جهت فارنزیک موبایل به کار برده میشه ولی استفاده هایی که از اکسپلویت ها میشه نمونه هایی داشته که این شرکت مستقیم با اسراییلی ها مرتبط هست و حتی با گروه NSO هم قبلا شایعه شده بود وصل هستن که توی گوگل پلی بدافزار پخش کرده بود.
@securation
⭕️ اسناد لو رفته جدید Cellebrite نشان می دهد که این نرم افزار در کدام نسخه اندروید و iOS قادر به باز کردن قفل و دسترسی به داده کاربر است.
https://www.404media.co/leaked-docs-show-what-phones-cellebrite-can-and-cant-unlock/
@securation
https://www.404media.co/leaked-docs-show-what-phones-cellebrite-can-and-cant-unlock/
@securation
⭕️ APKscan
ابزاری برای اسکن و یافتن API Keys، Tokens، Credentials، Secrets، Endpoints و....
قابلیت ها:
پیدا کردن Secret ها در سورس برنامه
شناسایی مکان های حساس در سورس کد برنامه
شناسایی و یافتن Endpoint ها و توکن ها
https://github.com/LucasFaudman/apkscan
#Android
@Securation
ابزاری برای اسکن و یافتن API Keys، Tokens، Credentials، Secrets، Endpoints و....
قابلیت ها:
پیدا کردن Secret ها در سورس برنامه
شناسایی مکان های حساس در سورس کد برنامه
شناسایی و یافتن Endpoint ها و توکن ها
https://github.com/LucasFaudman/apkscan
#Android
@Securation
GitHub
GitHub - LucasFaudman/apkscan: Scan for secrets, endpoints, and other sensitive data after decompiling and deobfuscating Android…
Scan for secrets, endpoints, and other sensitive data after decompiling and deobfuscating Android files. (.apk, .xapk, .dex, .jar, .class, .smali, .zip, .aar, .arsc, .aab, .jadx.kts). - LucasFaudma...
⭕️ اگر با ابزار BloodHound کار کرده باشید میدانید که تعدادی Query به صورت عمومی دارد و مابقی Custom هستند.
از طرفی این پروژه به حالت های مختلف مثل SharpHound هم نوشته شده که از اجزای این ابزار AzureHound است که بصورت اختصاصی برای بررسی ساختار Azure توسعه داده شده است.
حال پروژه ای توسعه داده شده، که تعدادی Query به صورت Custom و هر کدام با هدف خاصی مواردی را در ساختار Azure بررسی میکند.
https://github.com/emiliensocchi/azurehound-queries
#RedTeam #Azure
@securation
از طرفی این پروژه به حالت های مختلف مثل SharpHound هم نوشته شده که از اجزای این ابزار AzureHound است که بصورت اختصاصی برای بررسی ساختار Azure توسعه داده شده است.
حال پروژه ای توسعه داده شده، که تعدادی Query به صورت Custom و هر کدام با هدف خاصی مواردی را در ساختار Azure بررسی میکند.
https://github.com/emiliensocchi/azurehound-queries
#RedTeam #Azure
@securation
دوستان عزیز گروه تبادل دانش امنیت اطلاعات لینکش اینه :
https://news.1rj.ru/str/DarkPwners
لطفا قبل شروع گفتگو یا ارسال مطلب ، قوانین گروه رو مطالعه کنید.
https://news.1rj.ru/str/DarkPwners
لطفا قبل شروع گفتگو یا ارسال مطلب ، قوانین گروه رو مطالعه کنید.
Telegram
Security Analysis Group
گروه تبادل دانش امنیت اطلاعات
⭕️ ابزاری جهت سرعت بخشیدن در فرایند Discovery و Exploit سرویس MSSQL توسعه داده شده که به ویژگی های این ابزار میشه نگاهی کوتاه انداخت :
#RedTeam #MSSQL
@securation
Performs automatic checks and identifies vulnerabilities
Enables login via Windows Integrated Authentication as well as SQL Authentication
Quickly activates XP_cmdshell if the permission exists (locally as well as on Linked Servers)
Convenient execution of system commands via XP_cmdshell (locally as well as on single/double Linked Servers)
Convenient execution of SQL commands (locally as well as on Linked Servers)
Fast triggering of NTLM requests via XP_dirtree
Custom Stored Procedure - for executing OS commands (locally)
Automatically checks and enables RPC OUT (if RPC OUT is disabled for Linked Servers, stored procedures such as xp_cmdshell on Linked Servers are not usable)
Automatic dumping of MSSQL user hashes
#RedTeam #MSSQL
@securation
GitHub
GitHub - SySS-Research/MAT: This tool, programmed in C#, allows for the fast discovery and exploitation of vulnerabilities in MSSQL…
This tool, programmed in C#, allows for the fast discovery and exploitation of vulnerabilities in MSSQL servers - SySS-Research/MAT
⭕️ تکنیکی برای دور زدن EDR Telemetry با استفاده از شبکه ارایه شده که میتواند جالب باشد.
در این تکنیک در ابتدا با استفاده حمله ARP Spoofing اقدام به تغییر Gateway میکنیم.
پس از آن با شنود ترافیک و Inspect کردن SNI Packet ها و بررسی SNI سرور های EDR، با فیلتر کردن اطلاعات ارسالی به این سرور ها اقدام به دور زدن این نوع از مکانیزم ها را میکنیم.
مزیت این روش نسبت به مکانیزم های Host-Based این است که نیاز به دسترسی سطح بالاتر نخواهیم داشت.
در ادامه اگر ویدیو ضمیمه شده را مشاهده بکنید با استفاده از این تکنیک تلاش به اجرای Mimikatz میکند.
#RedTeam #EDR #ByPass
@securation
در این تکنیک در ابتدا با استفاده حمله ARP Spoofing اقدام به تغییر Gateway میکنیم.
پس از آن با شنود ترافیک و Inspect کردن SNI Packet ها و بررسی SNI سرور های EDR، با فیلتر کردن اطلاعات ارسالی به این سرور ها اقدام به دور زدن این نوع از مکانیزم ها را میکنیم.
مزیت این روش نسبت به مکانیزم های Host-Based این است که نیاز به دسترسی سطح بالاتر نخواهیم داشت.
در ادامه اگر ویدیو ضمیمه شده را مشاهده بکنید با استفاده از این تکنیک تلاش به اجرای Mimikatz میکند.
#RedTeam #EDR #ByPass
@securation
YouTube
ARP Spoofing and Network Filtering to Block EDR Telemetry
A PoC for a network-based EDR telemetry filtering using ARP Spoofing.
1. ARP Spoofing: Perform ARP spoofing against the victim host to make the attacker PC act as the gateway.
2. Traffic Sniffing: Sniff network traffic to intercept TLS Client Hello…
1. ARP Spoofing: Perform ARP spoofing against the victim host to make the attacker PC act as the gateway.
2. Traffic Sniffing: Sniff network traffic to intercept TLS Client Hello…
⭕️ Android Native code obfuscation using O-LLVM(Control Flow Flattening)
Blog Post | o-llvm binary | o-llvm
#Android
#ollvm
#darvincisec
@Securation
Blog Post | o-llvm binary | o-llvm
#Android
#ollvm
#darvincisec
@Securation
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ Exploiting the EvilVideo vulnerability on Telegram
یک اکسپلویت زیرودی تلگرام برای اندروید کشف شد که امکان ارسال برنامههای مخرب پنهانشده به صورت ویدیو در صفحه چت تلگرام قربانی را فراهم میکند و با ضربه زدن بر روی ویدیو به جای پخش مدیا، فرایند نصب بدافزار آغاز میشود
📎 Blog Post
#Android
@Securation
یک اکسپلویت زیرودی تلگرام برای اندروید کشف شد که امکان ارسال برنامههای مخرب پنهانشده به صورت ویدیو در صفحه چت تلگرام قربانی را فراهم میکند و با ضربه زدن بر روی ویدیو به جای پخش مدیا، فرایند نصب بدافزار آغاز میشود
📎 Blog Post
#Android
@Securation
⭕️ قابل توجه کاربران ایرانی که از سرویس دهنده Aeza بدلیل ارزون بودن استفاده هایی مثل راه اندازی VPN میکنند .
گزارش فعالیت های هکرهای روسیه در اروپا نشون میده که در جهت گسترش منافع روسیه بحثهایی که شکل گرفته نشون میده از اسم شرکت Aeza به عنوان یکی از اهرم های اصلی تهیه زیرساخت های هکرهای روس نام برده شده است.
سرویس دهنده ای که بین کاربران ایرانی خیلی پرطرفدار است.
باید مراقب و آگاهی نسبت به ریسک های استفاده از سرورهای این سرویس دهنده رو داشته باشید.
https://correctiv.org/en/fact-checking-en/2024/07/22/inside-doppelganger-how-russia-uses-eu-companies-for-its-propaganda/
#Aeza #VPN #ru
@securation
گزارش فعالیت های هکرهای روسیه در اروپا نشون میده که در جهت گسترش منافع روسیه بحثهایی که شکل گرفته نشون میده از اسم شرکت Aeza به عنوان یکی از اهرم های اصلی تهیه زیرساخت های هکرهای روس نام برده شده است.
سرویس دهنده ای که بین کاربران ایرانی خیلی پرطرفدار است.
باید مراقب و آگاهی نسبت به ریسک های استفاده از سرورهای این سرویس دهنده رو داشته باشید.
https://correctiv.org/en/fact-checking-en/2024/07/22/inside-doppelganger-how-russia-uses-eu-companies-for-its-propaganda/
#Aeza #VPN #ru
@securation
CORRECTIV
Inside Doppelganger – How Russia uses EU companies for its propaganda
How Doppelganger, one of the biggest Russian disinformation campaigns, is using EU companies to keep spreading its propaganda – despite sanctions.
⭕️ در ویندوز ابزاری به اسم qwinsta وجود دارد که قابلیت جمع آوری اطلاعات Session ها در Remote Desktop Session Host server را دارد.
با بررسی این ابزار متوجه میشویم که از Windows Station (WinStation) API استفاده میکند، با استفاده از این API ما قابلیت Enummrate کردن Session ها به صورت ریموت و حتی با وجود غیر فعال بودن ویژگی RDP خواهیم داشت.
در کنار این API میتوان از Termserv هم استفاده کرد که برای Terminal Service است.
در آخر پروژه ای توسعه داده شده که با استفاده از WinStation API اقدام به Remote Session Enumerate میکند.
https://0xv1n.github.io/posts/sessionenumeration/
#RedTeam #Recon #Enumeration
@securation
با بررسی این ابزار متوجه میشویم که از Windows Station (WinStation) API استفاده میکند، با استفاده از این API ما قابلیت Enummrate کردن Session ها به صورت ریموت و حتی با وجود غیر فعال بودن ویژگی RDP خواهیم داشت.
در کنار این API میتوان از Termserv هم استفاده کرد که برای Terminal Service است.
در آخر پروژه ای توسعه داده شده که با استفاده از WinStation API اقدام به Remote Session Enumerate میکند.
https://0xv1n.github.io/posts/sessionenumeration/
#RedTeam #Recon #Enumeration
@securation
Docs
qwinsta
Reference article for the qwinsta command, which displays information about sessions on a Remote Desktop Session Host server.
⭕️خبرنگار و تحلیلگر بلژیکی خبر میدهد که «اسرائیل از طریق پیامی در WhatsApp برای اسماعیل هنیه، بدافزارهای جاسوسی پیچیده ای را نصب کرده؛ که به موساد اجازه می داد تا موقعیت دقیق وی را در آپارتمانش مشخص کند».
چنین روایتی قابل قبول نیست. اگر هنیه کسی بود که WhatsApp روی تلفن خود نصب کند، و بطور مداوم گوشی تلفن خود را عوض نکند، قطعاً این همه سال دوام نمیآورد. همه میدانند که WhatsApp خودش برنامه جاسوسی است؛ و نیازی به بدافزار دیگری برای شناسایی موقعیت ندارد.
در یکی از صحتبهای خبرنگار بلژیکی اسم گروه هکرهای اسرائیلی NSO که سابقه اکسپلویت کردن آیفون و بدافزار معروف Pegasus رو دارند به چشم میخوره، قبلا در این کانال صحبت های فنی درباره این گروه هکری اسرائیلی مطالبی نوشته بودم.
#Hanieh #NSO
@securation
چنین روایتی قابل قبول نیست. اگر هنیه کسی بود که WhatsApp روی تلفن خود نصب کند، و بطور مداوم گوشی تلفن خود را عوض نکند، قطعاً این همه سال دوام نمیآورد. همه میدانند که WhatsApp خودش برنامه جاسوسی است؛ و نیازی به بدافزار دیگری برای شناسایی موقعیت ندارد.
در یکی از صحتبهای خبرنگار بلژیکی اسم گروه هکرهای اسرائیلی NSO که سابقه اکسپلویت کردن آیفون و بدافزار معروف Pegasus رو دارند به چشم میخوره، قبلا در این کانال صحبت های فنی درباره این گروه هکری اسرائیلی مطالبی نوشته بودم.
#Hanieh #NSO
@securation
⭕️ پروژه C2 ای توسعه داده شده که BotNet های HTTP/HTTPS و WebSocket ایجاد میکند.
در سمت Backend آن با Django توسعه داده شده و چون به صورت Freamwork نبوده میتوان در پروژه های خود از این کد استفاده کنیم.
از این پروژه میتوان به جهت شبیه سازی حملات DDOS و Mass Spam و دیگر حملات این چنینی استفاده کرد.
#RedTeam #C2
@securation
در سمت Backend آن با Django توسعه داده شده و چون به صورت Freamwork نبوده میتوان در پروژه های خود از این کد استفاده کنیم.
از این پروژه میتوان به جهت شبیه سازی حملات DDOS و Mass Spam و دیگر حملات این چنینی استفاده کرد.
#RedTeam #C2
@securation
GitHub
GitHub - 44b4c0/NexusC2: Public C2 server repository for everyone.
Public C2 server repository for everyone. Contribute to 44b4c0/NexusC2 development by creating an account on GitHub.