🙏 ممنون از همه دوستانی که همراه بودن. از دیروز تا الان، باگ‌هایی که توسط شما از Watch Tower گزارش شد، برطرف شد.

🔍 تجربه‌ای که به‌دست اومد نشون داد که n8n محدودیت‌هایی داره و همین محدودیت‌ها باعث افزایش درصد خطا میشه. اما به عنوان یه ابزار موقت و برای طراحی سریع ایده‌ها، واقعاً کار راه‌اندازه.

⚡️ برای دقت بیشتر و کاهش خطا، کل ربات مجدداً با GoLang نوشته شد. سورس کد هم نهایتاً تا فردا روی گیتهاب منتشر میشه.

در ضمن این هم بگم الان امکان اضافه کردن تارگت از BugCrowd هم فراهم شده :)

خوشحال می‌شم شما هم در توسعه این پروژه که به صورت کاملاً متن‌باز جلو می‌بریم، همراه ما باشید 🙌

#BugBounty #Automation #WatchTower #n8n #GoLang #HackMeLocal

@HackMeLocal

🕹 یک مینی‌چالش جدید داریم!

این مدت احتمالاً دیدین که بعضی دیتاهای یه ربات تلگرام لیک شده.
اما این یعنی تلگرام آسیب‌پذیره؟
(فکررررررر نکنمممم)

برای همین یک شبیه‌سازی ساختیم تا خودتون ببینید دیتا‌هایی که از ربات‌ها لیک می‌شن به چه صورت به دست میان.

یک ربات مخصوص رای‌گیری ساختیم:

@HML_Simulation_BOT

تو این ربات سه شخصیت برای رأی‌گیری آماده هستن:

🦆 DuckMen
🐺 Wolfy
👴 Just a random old man

می‌تونید هر چند بار که بخواید رأی بدید.
ولی این همه ماجرا نیست…

⚠️ یه آسیب‌پذیری توی سیستم رأی‌گیری قایم شده که می‌تونه لیست ادمین‌ها رو لو می‌ده.
ما نمی‌دونیم دقیقاً چجوری ادمین‌هامون لو میرن، اما اولین نفری که آسیب‌پذیری رو پیدا کنه و گزارش بده، رایت‌آپش به اسم خودش داخل سایت و کانال منتشر .

#BugBounty #TelegramBot #Vulnrability #CTF #HackMeLocal

@HackMeLocal

🕹 فردا یک مینی‌چالش جدید داریم!

همونطور که قول داده بودیم، فردا ساعت ۱۱ یه نقطه‌ی جدید و جالب که می‌تونه منجر به آسیب‌پذیری در ربات‌های تلگرام بشه ( سناریو نزدیک به اتک واقعی ) رو داخل کانال منتشر می‌کنیم.

#BugBounty #TelegramBot #Vulnrability #CTF #HackMeLocal

@HackMeLocal

🕹 مینی‌چالش آغاز شد

یک ربات شبیه‌سازی شده ساخته‌ایم که هدفش بررسی دیتابیس‌های لو رفته و اطلاع‌رسانی به کاربر در صورت وجود اطلاعاتش است.

ما می‌دونیم به نحوی شخصی به تمام اطلاعات دیتابیس ما دسترسی داره تمام پیام‌های دریافتی از سمت کاربر را امن کردیم اما همچنان می‌تواند اطلاعات موجود در دیتابیس ما را مشاهده کند.

در کل می‌تونید از این ربات استفاده کنید
@HML_Simulation2_Bot


📌 طبق روال، هر کسی که First Blood بشه، رایت‌آپش داخل کانال منتشر میشه!

#BugBounty #TelegramBot #Vulnrability #CTF #HackMeLocal

@HackMeLocal

🕹 مینی‌چالش روی وردپرس!

همیشه لازم نیست از راه سخت دسترسی بگیریم!
بیشتر حمله‌هایی که صورت میگیره از یک دسترسی ساده شروع میشه که به خاطر یک اشتباه کوچیک اطلاعات اون دسترسی لو رفته. ( شب دارکی شد ... )

برای نشون دادن اهمیت این چالش طراحی شده ( لازم بگم با تغییرات جزئی مثل همین باگ روی یک پلتفرم باگ بانتی گزارش شده که بعد از کشف حتما داخل کانال توضیح میدیم ):

ما بروزترین نسخه وردپرس نصب کردیم، سپس یک WAF سر راه اون قرار دادیم اما در یک اقدامی عجیب بدون حتی یک خطا یک هکر وارد وبسایت ما شد.

⚠️ این حمله تقریبا چند دقیقه بعد از اینکه اولین ویدیو داخل وبسایت آپلود شد صورت گرفت نکته عجیب اینکه ما حتی این ویدیو را در پست‌هایمان استفاده نکردیم !!

🔗آدرس وبسایت ما:
https://wp1.hackmelocal.com


#BugBounty #Wordpress #Vulnrability #CTF #HackMeLocal #InformationLeak

@HackMeLocal

مدتی پیش چالشی راه اندازی شده بود که یک سایت وردپرس آخرین نسخه طراحی شده بود. متن چالش این بود که "همیشه لازم نیست از راه سخت دسترسی بگیریم!".
این چالش بر اساس تجربه خودم در یکی از تست‌نفوذ‌هایی که انجام داده بودم ساخته شده بود که نحوه دسترسی گرفتن از پنل ادمین و تو این بلاگ نوشتم:

https://medium.com/@e1l1ya/when-training-videos-leak-your-admin-credentials-a-real-wordpress-bug-experience-e5605c4a441c

#Wordpress #Vulnrability #HackMeLocal #InformationLeak

@HackMeLocal