⭕️ داکیومنت سخت کارهای امنیتی در Kubernetes از آژانس امنیت ملی آمریکا :
لینک دانلود
#کوبرنتیز #Docker #Kubernetes
@securation
لینک دانلود
#کوبرنتیز #Docker #Kubernetes
@securation
⭕️ Linux Privilege Escalation: Automated Script
Table of Content :
Introduction
Privilege Escalation Vectors
Getting Access to Linux Machine
LinPEAS
LinEnum
Bashark
LES: Linux Exploit Suggester
LinuxPrivChecker
Metasploit: Local_Exploit_Suggester
Linux Private-i
Linux Smart Enumeration
Linux Exploit Suggester 2
Conclusion
Link
#privsec #linux #LPE #LES
@securation
Table of Content :
Introduction
Privilege Escalation Vectors
Getting Access to Linux Machine
LinPEAS
LinEnum
Bashark
LES: Linux Exploit Suggester
LinuxPrivChecker
Metasploit: Local_Exploit_Suggester
Linux Private-i
Linux Smart Enumeration
Linux Exploit Suggester 2
Conclusion
Link
#privsec #linux #LPE #LES
@securation
⭕️ Window Privilege Escalation: Automated Script
Table of Content
Introduction
Privilege Escalation Vectors
Getting Access on Windows Machine
WinPEAS
Seatbelt
SharpUp
JAWS – Just Another Windows (Enum) Script
PowerUp
Powerless
Metasploit:
Windows-Exploit-Suggester
Sherlock
WinPEAS/SharpUp/Seatbelt
PowerShell Empire:
WinPEAS
PowerUp
Sherlock
Watson
Privesccheck
Link
#privsec #Powershell #empire #winpes #sharpup
@securation
Table of Content
Introduction
Privilege Escalation Vectors
Getting Access on Windows Machine
WinPEAS
Seatbelt
SharpUp
JAWS – Just Another Windows (Enum) Script
PowerUp
Powerless
Metasploit:
Windows-Exploit-Suggester
Sherlock
WinPEAS/SharpUp/Seatbelt
PowerShell Empire:
WinPEAS
PowerUp
Sherlock
Watson
Privesccheck
Link
#privsec #Powershell #empire #winpes #sharpup
@securation
👍1
⭕️ SIEM: Windows Client Monitoring with Splunk
Table of Content
#SIEM #splunk #monitoring #logmanagment
@scuration
Table of Content
PrerequisitesLink
Configure a receiving on Splunk Enterprise
Configure the receiver using the command line
Configure receiver using a configuration file
Environment
Download and install Universal Forwarder
Configure Universal Forwarder to send data Splunk Enterprise
Windows Log Monitoring
Threat monitoring
#SIEM #splunk #monitoring #logmanagment
@scuration
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
⭕️ Threat Hunting: Velociraptor for Endpoint Monitoring
Table of Content
Introduction to Velociraptor
Architecture
What is VQL
Prerequisites
Velociraptor Environment
Velociraptor installation
Addition of host
forensics investigation / Threat Hunting
Link
#VQL #threathunting #log #monitoring
@securation
Table of Content
Introduction to Velociraptor
Architecture
What is VQL
Prerequisites
Velociraptor Environment
Velociraptor installation
Addition of host
forensics investigation / Threat Hunting
Link
#VQL #threathunting #log #monitoring
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
⭕️ با استفاده از کتابخونه ی GD-PHP پیلودهای خودمون رو مینویسیم و توی JPEG تزریق میکنیم که بتونیم اون رو روی سرویس های وب آپلود کنیم برای بایپس اپلودرها یا اجرای پیلودهامون
با این کتابخونه ی GD-PHP میشه فایل های PNG ساخت چون این کتابخونه کارش پردازش گرافیکی هست باهاش کلی کار دیگه هم میشه انجام داد.
اینجا هم یک نمونه اسکریپت نوشته شده که تزریق پیلود رو توی تصویر با فرمت JPEG انجام میده براتون
#GD_PHP #injector #jpeg #Injects
@securation
با این کتابخونه ی GD-PHP میشه فایل های PNG ساخت چون این کتابخونه کارش پردازش گرافیکی هست باهاش کلی کار دیگه هم میشه انجام داد.
اینجا هم یک نمونه اسکریپت نوشته شده که تزریق پیلود رو توی تصویر با فرمت JPEG انجام میده براتون
#GD_PHP #injector #jpeg #Injects
@securation
مدت های طولانی هکر ها از powershell و jnoscript و VBA استفاده می کردند تا noscript هاشون رو روی memory بدون نوشته شدن چیزی روی Disk اجرا کنند. ماکروسافت قابلیتی رو به نام Anti-Malware Scanning Interface (AMSI) رو به وجود آورد که اساسا این AMSI یک API به نام AMSI.dll هستش که زمانی که شما powershell یا powershell_ISE رو باز کنید، به صورت کاملا automatic این AMSI.dll رو load می کنه. AMSI میاد تمام کامند های powershell, jnoscript, VBA و .Net رو موقع run-time کپچر می کنه و برای بررسی به Anti-Virus ای که روی سیستمتون نصب هست می فرسته که به صورت پیش فرض همون Windows defender هستش (البته همه ی AV ها قابلیت interact با AMSI رو ندارند !!! با توجه به اینکه microsoft سال 2015 رو داده این آمار خیلی بده برای AV هایی که هنوز این قابلیت رو ندارند )
موقعی که یک powershell session رو باز می کنید یک سری function هایی از AMSI که شامل AmsiInitialize, AmsiOpenSession, AmsiScanString, AmsiScanBuffer, and AmsiCloseSession که این ها یک سری اطلاعات رو capture می کنند و توسط Remote Procedure Call(RPC) برای windows defender (به عنوان مثال عرض کردم می تونه هر AV دیگه ای باشه) ارسال می کنند و جواب رو windows defender به AMSI.dll که داخل powershell process هست بر میگردونه. همون طور که می دونید همیشه این قابلیت های امنیتی که میان هکرا هم یک راهی برای دور زدنشون پیدا می کنند که مبحث خیلی خیلی گستردست و شاید باز کردنش ساعت ها زمان بخواد اما چند مورد از انواع روش های bypass که بخوام نام ببرم میشه به Context manipulation, Attack initialization و binary patching و غیره هستش که همه به نوعی از reflection استفاده می کنند. البته که میشه ما برای bypass کردنه AMSI از تکنیک های obfuscation یا encoding توی powershell استفاده کنیم اما این کار خیلی طاقت فرسایی هستش چون هر روز AV یک update میده و اونارو detect میکنه. بهترین کار این هستش که ما به صورت manual از تکنیک های reflection استفاده کنیم و از ابزارایی مثل frida و windbg استفاده کنیم اما خب به دلیل اینکه اینکار می تونه برای خیلیا که اطلاعی راجب این حوزه ندارند دشوار باشه دو تا از پروژه هایی که می تونند به صورت automatic به جای شما این تکنیک های bypass رو انجام بدهند من این زیر معرفی می کنم (100% به اندازه ی روش دستی که خودتون اینکارو انجام بدید موثر نیست)
https://amsi.fail/
https://github.com/OmerYa/Invisi-Shell
#powershell #av #bypass #VBA
@securation
موقعی که یک powershell session رو باز می کنید یک سری function هایی از AMSI که شامل AmsiInitialize, AmsiOpenSession, AmsiScanString, AmsiScanBuffer, and AmsiCloseSession که این ها یک سری اطلاعات رو capture می کنند و توسط Remote Procedure Call(RPC) برای windows defender (به عنوان مثال عرض کردم می تونه هر AV دیگه ای باشه) ارسال می کنند و جواب رو windows defender به AMSI.dll که داخل powershell process هست بر میگردونه. همون طور که می دونید همیشه این قابلیت های امنیتی که میان هکرا هم یک راهی برای دور زدنشون پیدا می کنند که مبحث خیلی خیلی گستردست و شاید باز کردنش ساعت ها زمان بخواد اما چند مورد از انواع روش های bypass که بخوام نام ببرم میشه به Context manipulation, Attack initialization و binary patching و غیره هستش که همه به نوعی از reflection استفاده می کنند. البته که میشه ما برای bypass کردنه AMSI از تکنیک های obfuscation یا encoding توی powershell استفاده کنیم اما این کار خیلی طاقت فرسایی هستش چون هر روز AV یک update میده و اونارو detect میکنه. بهترین کار این هستش که ما به صورت manual از تکنیک های reflection استفاده کنیم و از ابزارایی مثل frida و windbg استفاده کنیم اما خب به دلیل اینکه اینکار می تونه برای خیلیا که اطلاعی راجب این حوزه ندارند دشوار باشه دو تا از پروژه هایی که می تونند به صورت automatic به جای شما این تکنیک های bypass رو انجام بدهند من این زیر معرفی می کنم (100% به اندازه ی روش دستی که خودتون اینکارو انجام بدید موثر نیست)
https://amsi.fail/
https://github.com/OmerYa/Invisi-Shell
#powershell #av #bypass #VBA
@securation
GitHub
GitHub - OmerYa/Invisi-Shell: Hide your Powershell noscript in plain sight. Bypass all Powershell security features
Hide your Powershell noscript in plain sight. Bypass all Powershell security features - OmerYa/Invisi-Shell
⭕️ HTTP Request Smuggling Detection Tool.
https://github.com/anshumanpattnaik/http-request-smuggling
@securation
https://github.com/anshumanpattnaik/http-request-smuggling
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
⭕️ تکنیک خلاق هکرهای برای پنهان ماندن و پاک کردن ردپای خودشون رو توی تحلیل جدید مایکروسافت بخونید !
هکرهای برای اینکه از خودشون ردپایی بجا نذارن یا بهتره بگیم تکنیکی بکار ببرند که کمتر کسی بهشون شکی داشته باشه , اومدن از ''کد مورس '' که حدود 190 سال پیش اختراع شده استفاده کرده اند!
#news #microsoft #Phishing
@securation
هکرهای برای اینکه از خودشون ردپایی بجا نذارن یا بهتره بگیم تکنیکی بکار ببرند که کمتر کسی بهشون شکی داشته باشه , اومدن از ''کد مورس '' که حدود 190 سال پیش اختراع شده استفاده کرده اند!
#news #microsoft #Phishing
@securation
⭕️ مایکروسافت در خصوص آسیبپذیری 0day وصلهنشدهی دیگه ای در Windows Print Spooler هشدار داد❗️
⭕️ این آسیبپذیری با شناسه CVE-2021-36958 و شدت بالا (7.3 از 10) در Windows Print Spooler وجود دارد و به یک مهاجم محلی امکان ارتقا دسترسی سیستم آسیبپذیر را میدهد.
⭕️ مهاجم با دستیابی به این سطح دسترسی میتواند کد دلخواه خود را با دسترسی SYSTEM اجرا نماید، برنامه نصب کند، دادهها را مشاهده، حذف و تغییر دهد یا اینکه حساب کاربری جدیدی با دسترسی کامل ایجاد کند.
چه کاری باید انجام دهیم ؟!
۱− توقف و غیرفعالسازی سرویس Print Spooler.
۲− مسدود کردن ترافیک خروجی SMB در فایروال، جهت جلوگیری از اتصال به پرینترهای مخرب اشتراکگذاریشده.
#news #microsotf #spooler #smb
@securation
⭕️ این آسیبپذیری با شناسه CVE-2021-36958 و شدت بالا (7.3 از 10) در Windows Print Spooler وجود دارد و به یک مهاجم محلی امکان ارتقا دسترسی سیستم آسیبپذیر را میدهد.
⭕️ مهاجم با دستیابی به این سطح دسترسی میتواند کد دلخواه خود را با دسترسی SYSTEM اجرا نماید، برنامه نصب کند، دادهها را مشاهده، حذف و تغییر دهد یا اینکه حساب کاربری جدیدی با دسترسی کامل ایجاد کند.
چه کاری باید انجام دهیم ؟!
۱− توقف و غیرفعالسازی سرویس Print Spooler.
۲− مسدود کردن ترافیک خروجی SMB در فایروال، جهت جلوگیری از اتصال به پرینترهای مخرب اشتراکگذاریشده.
#news #microsotf #spooler #smb
@securation
👍1
⭕️ PythonHunt
Quick OSINT checks for IPs and Domains during triage and investigations:
This noscript queries APIs for various freely-available intelligence platforms in order to gain important context and reputation data for IP addresses and/or domains.
Platforms Used:
API Keys Required for:
https://github.com/Pavornoc/PythonHunt
#OSINT #tools #python
@securation
Quick OSINT checks for IPs and Domains during triage and investigations:
This noscript queries APIs for various freely-available intelligence platforms in order to gain important context and reputation data for IP addresses and/or domains.
Platforms Used:
• WHOIS• VirusTotal• AlienVault OTX• Robtex• IBM X-Force• Shodan• ipinfo.ioAPI Keys Required for:
• VirusTotal• IBM X-Force• Shodanhttps://github.com/Pavornoc/PythonHunt
#OSINT #tools #python
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
Indra.rar
1.1 MB
#Malware #Malware_Analysis
به نظر بدافزارهایی که توسط تیم هکری ایرانی (Indra) که برای حمله به زیرساخت راهآهن ایران استفاده شده انتشار یافته و اینم فایلهاشه. بریم برای آنالیز بدافزارها.
@securation
به نظر بدافزارهایی که توسط تیم هکری ایرانی (Indra) که برای حمله به زیرساخت راهآهن ایران استفاده شده انتشار یافته و اینم فایلهاشه. بریم برای آنالیز بدافزارها.
@securation
⭕️ mindmap for Access Control Vulnerabilities
#infosec #bugbounty #cybersecurity #bugbountytip
@securation
#infosec #bugbounty #cybersecurity #bugbountytip
@securation
⭕️ وبسایت باج افزار جدید به نام mbc در وبلاگ خودشان مسئولیت هک سیستم های کامپیوتری راه آهن کشور را قبول کرده و گفته اند دیتاهای اون رو بزودی منتشر خواهد کرد.
#news
@securation
#news
@securation
This media is not supported in your browser
VIEW IN TELEGRAM
⭕️ سرهنگ حسین رمضانی معاون اجرایی پلیس راهور ناجا هرگونه نشت اطلاعات پلیس #راهور را تکذیب کرد.
#rahvar
@securation
#rahvar
@securation
⭕️ مهندس بختیاری روش های dump کردن credential در ویندوز و دور زدن LSA protection رو شرح داده که میتونید در لینک زیر بخونید و از تجربیات مفید ایشون استفاده کنید .
https://salarbakhtiari.medium.com/extracting-credentials-from-memory-with-lsa-protection-proctected-process-light-enabled-2064af4258bd
#dump #lsa
@securation
https://salarbakhtiari.medium.com/extracting-credentials-from-memory-with-lsa-protection-proctected-process-light-enabled-2064af4258bd
#dump #lsa
@securation
Medium
Extracting credentials from memory with LSA protection (Proctected Process Light) enabled
Introduction