🔬 آزمایشگاه های رایگان برای تمرین عملیات SSRF
این لیست شامل آزمایشگاههای آنلاین و آزمایشگاههایی است که میتوانید در محیط آزمایشی خودتان اجرا کنید.
🗄 PortSwigger SSRF Labs
🗄 Server-Side Request Forgery (SSRF) vulnerable Lab
🗄 Vulnado SSRF Lab
🗄 Snyk SSRF Lab
🗄 Kontra SSRF Lab
#Web #SSRF
@TryHackBox
@TryHackBoxOfficial
این لیست شامل آزمایشگاههای آنلاین و آزمایشگاههایی است که میتوانید در محیط آزمایشی خودتان اجرا کنید.
🗄 PortSwigger SSRF Labs
🗄 Server-Side Request Forgery (SSRF) vulnerable Lab
🗄 Vulnado SSRF Lab
🗄 Snyk SSRF Lab
🗄 Kontra SSRF Lab
#Web #SSRF
@TryHackBox
@TryHackBoxOfficial
👍3
This media is not supported in your browser
VIEW IN TELEGRAM
🔎 روش های جستجو برای پنل های مدیریت شرکت
1. استفاده از Google Dorks:
⏺ https://github.com/the-c0d3r/admin-finder
⏺ https://github.com/RedVirus0/Admin-Finder
⏺ https://github.com/mIcHyAmRaNe/okadminfinder3
⏺ https://github.com/penucuriCode/findlogin
⏺ https://github.com/fnk0c/cangibrina
#Web #Dorks #Recon
@TryHackBox
@TryHackBoxOfficial
1. استفاده از Google Dorks:
site:target.com inurl:admin | administrator | adm | login | l0gin | wp-login
intitle:"login" "admin" site:target.com
intitle:"index of /admin" site:target.com
inurl:admin intitle:admin intext:admin
2. استفاده از httpx و لیست کلمات :httpx -l hosts.txt -paths /root/admin-login.txt -threads 100 -random-agent -x GET,POST -tech-detect -status-code -follow-redirects -title -content-length
httpx -l hosts.txt-ports 80,443,8009,8080,8081,8090,8180,8443 -paths /root/admin-login.txt -threads 100 -random-agent -x GET,POST -tech-detect -status-code -follow-redirects -title -content-length
3. استفاده از برنامه های کاربردی:⏺ https://github.com/the-c0d3r/admin-finder
⏺ https://github.com/RedVirus0/Admin-Finder
⏺ https://github.com/mIcHyAmRaNe/okadminfinder3
⏺ https://github.com/penucuriCode/findlogin
⏺ https://github.com/fnk0c/cangibrina
#Web #Dorks #Recon
@TryHackBox
@TryHackBoxOfficial
❤1👍1
👩💻
Fsociety - محیط پنتستینگ
Fsociety
یک محیط تست نفوذ و تست پس از بهره برداری است که تمام ابزارهای مورد استفاده در برنامه تلویزیونی مستر ربات را فراهم می کند.
— برخی از ابزارهای ویژه شامل: Nmaр, Setoolkit, WPScan, XSStrike, Cupp, Reaver, sqlmap, Arachni و ... .
فریم ورک را می توان بر روی گنو/لینوکس، ویندوز نصب کرد یا با داکر استفاده کرد.
https://github.com/Manisso/fsociety #Tools #Web #Mrrobot
@TryHackBox
@TryHackBoxOfficial
Fsociety - محیط پنتستینگ
Fsociety
یک محیط تست نفوذ و تست پس از بهره برداری است که تمام ابزارهای مورد استفاده در برنامه تلویزیونی مستر ربات را فراهم می کند.
— برخی از ابزارهای ویژه شامل: Nmaр, Setoolkit, WPScan, XSStrike, Cupp, Reaver, sqlmap, Arachni و ... .
فریم ورک را می توان بر روی گنو/لینوکس، ویندوز نصب کرد یا با داکر استفاده کرد.
https://github.com/Manisso/fsociety #Tools #Web #Mrrobot
@TryHackBox
@TryHackBoxOfficial
🔥3
📝 HackerOne: مجموعه ای از گزارش ها
خواندن گزارشهای سایر محققان اغلب به شما کمک میکند چیز جدیدی بیاموزید، به عنوان مثال، گزینههایی برای بهرهبرداری از یک آسیبپذیری خاص یا پیدا کردن بردار حملهای که قبلاً استفاده نکردهاید.
در زیر یک مخزن حاوی برترین گزارشهای باز از HackerOne است که بر اساس انواع آسیبپذیریها و برنامههایی که این آسیبپذیریها در آنها پیدا شدهاند، مرتب شدهاند.
⏺ GitHub
⏺ Google Docs
#Web #Report
@TryHackBox
@TryHackBoxOfficial
خواندن گزارشهای سایر محققان اغلب به شما کمک میکند چیز جدیدی بیاموزید، به عنوان مثال، گزینههایی برای بهرهبرداری از یک آسیبپذیری خاص یا پیدا کردن بردار حملهای که قبلاً استفاده نکردهاید.
در زیر یک مخزن حاوی برترین گزارشهای باز از HackerOne است که بر اساس انواع آسیبپذیریها و برنامههایی که این آسیبپذیریها در آنها پیدا شدهاند، مرتب شدهاند.
علاوه بر این، من لینکی به GoogleDocs ضمیمه کرده ام که حاوی بیش از 6200 گزارش مختلف است.
⏺ GitHub
⏺ Google Docs
#Web #Report
@TryHackBox
@TryHackBoxOfficial
🔥4
⚫️ بایپس فایروال برنامه وب (WAF) با استفاده از Globbing
بش میتواند بسط نام فایل را انجام دهد، پروسسی به نام globbing ، اما از مجموعه استاندارد عبارات منظم استفاده نمیکند.
اگر یک WAF (فایروال برنامه وب) وجود دارد که پیلودهای RCE (اجرای کد از راه دور) و LFI (شامل فایل محلی) را فیلتر می کند، می توانید با استفاده از جایگزینی آن را بایپس کنید.
در اینجا یک مثال است:
#Web #WAF
@TryHackBox
@TryHackBoxOfficial
بش میتواند بسط نام فایل را انجام دهد، پروسسی به نام globbing ، اما از مجموعه استاندارد عبارات منظم استفاده نمیکند.
اگر یک WAF (فایروال برنامه وب) وجود دارد که پیلودهای RCE (اجرای کد از راه دور) و LFI (شامل فایل محلی) را فیلتر می کند، می توانید با استفاده از جایگزینی آن را بایپس کنید.
در اینجا یک مثال است:
/usr/bin/cat /etc/passwd == /???/???/c?t$IFS/?t?/p?s?wdبه عنوان مثال، تمام ورودی های زیر باید "
? = هر واحد
* = هر رشته ای، از جمله رشته های با طول صفر!
$IFS = جداکننده فیلد داخلی در سیستم های یونیکس = فضا، تب یا خط جدید
/bin/cat /etc/passwd" را در یک سیستم لینوکس معمولی اجرا کنند:/*/?at$IFS/???/???swdمی تونی امتحانش کنی!
/****/?at$IFS/???/*swd
/****/?at$IFS/???/*******swd
#Web #WAF
@TryHackBox
@TryHackBoxOfficial
👍1
⚙ همه در یک. ابزارهای هک
• Hackingtool
یک ابزار هک جامع است که شامل تمامی ابزارهای اصلی برای نفوذگران و هکرها می باشد.
• مخزن دارای 29.6 هزار ستاره است و دائماً به روز می شود. شامل ابزارهایی از دسته های زیر است:
- Anonymously Hiding Tools;
- Information gathering tools;
- Wordlist Generator;
- Wireless attack tools;
- SQL Injection Tools;
- Phishing attack tools;
- Web Attack tools;
- Post exploitation tools;
- Forensic tools;
- Payload creation tools;
- Exploit framework;
- Reverse engineering tools;
- DDOS Attack Tools;
- Remote Administrator Tools (RAT);
- XSS Attack Tools;
- Steganograhy tools;
- SocialMedia Bruteforce;
- Android Hacking tools;
- IDN Homograph Attack;
- Email Verify tools;
- Hash cracking tools;
- Wifi Deauthenticate;
- SocialMedia Finder;
- Payload Injector;
- Web crawling;
- Mix tools.
#Hack #tools
@TryHackBox
@TryHackBoxOfficial
• Hackingtool
یک ابزار هک جامع است که شامل تمامی ابزارهای اصلی برای نفوذگران و هکرها می باشد.
• مخزن دارای 29.6 هزار ستاره است و دائماً به روز می شود. شامل ابزارهایی از دسته های زیر است:
- Anonymously Hiding Tools;
- Information gathering tools;
- Wordlist Generator;
- Wireless attack tools;
- SQL Injection Tools;
- Phishing attack tools;
- Web Attack tools;
- Post exploitation tools;
- Forensic tools;
- Payload creation tools;
- Exploit framework;
- Reverse engineering tools;
- DDOS Attack Tools;
- Remote Administrator Tools (RAT);
- XSS Attack Tools;
- Steganograhy tools;
- SocialMedia Bruteforce;
- Android Hacking tools;
- IDN Homograph Attack;
- Email Verify tools;
- Hash cracking tools;
- Wifi Deauthenticate;
- SocialMedia Finder;
- Payload Injector;
- Web crawling;
- Mix tools.
➡️ https://github.com/Z4nzu/hackingtool
#Hack #tools
@TryHackBox
@TryHackBoxOfficial
👍3🔥1
Media is too big
VIEW IN TELEGRAM
🏃♂️ روش SSRF .
جریانی از KathanP19 ، اختصاص داده شده به روش جستجوی آسیبپذیریهای SSRF در حالت دستی و خودکار.
جعل درخواست سمت سرور (SSRF) نوعی آسیب پذیری برنامه وب است که به مهاجم اجازه می دهد درخواست های HTTP دلخواه را از یک برنامه وب آسیب پذیر به یک سرور خارجی ارسال کند. یک برنامه را می توان فریب داد تا درخواست های مخرب را به سیستم های داخلی ارسال کند که می تواند منجر به افشای داده های حساس یا سایر مسائل امنیتی شود.
#SSRF #Web
@TryHackBox
@TryHackBoxOfficial
جریانی از KathanP19 ، اختصاص داده شده به روش جستجوی آسیبپذیریهای SSRF در حالت دستی و خودکار.
جعل درخواست سمت سرور (SSRF) نوعی آسیب پذیری برنامه وب است که به مهاجم اجازه می دهد درخواست های HTTP دلخواه را از یک برنامه وب آسیب پذیر به یک سرور خارجی ارسال کند. یک برنامه را می توان فریب داد تا درخواست های مخرب را به سیستم های داخلی ارسال کند که می تواند منجر به افشای داده های حساس یا سایر مسائل امنیتی شود.
#SSRF #Web
@TryHackBox
@TryHackBoxOfficial
👍5
🗂 مجموعه ای از ویدئوها در مورد سوء استفاده از آسیب پذیری های برنامه های وب
مخزن زیر شامل مجموعه ای از ویدیوها در مورد آزمایش برنامه های وب برای آسیب پذیری های مختلف است.
- برای راحتی، محتوا بسته به نوع حملات و آسیب پذیری ها به دسته بندی ها تقسیم می شود.
#Web #Vulnerability
https://github.com/xalgord/Massive-Web-Application-Penetration-Testing-Bug-Bounty-Notes
@TryHackBox
مخزن زیر شامل مجموعه ای از ویدیوها در مورد آزمایش برنامه های وب برای آسیب پذیری های مختلف است.
- برای راحتی، محتوا بسته به نوع حملات و آسیب پذیری ها به دسته بندی ها تقسیم می شود.
#Web #Vulnerability
https://github.com/xalgord/Massive-Web-Application-Penetration-Testing-Bug-Bounty-Notes
@TryHackBox
🔎 CloudSploit
- ابزاری برای هک کردن پلتفرم های ابری
- این یک پروژه منبع باز است، حاوی اسکریپت هایی برای تشخیص خطاهای پیکربندی، خطاهای رایج و تهدیدات امنیتی است.
قابل ارتقا با افزونه ها می تواند هم Docker و هم SelfHost را انجام دهد. این کیت شامل یک کتابچه راهنمای آموزشی روز است که نقطه به نقطه چیستی و چرایی آن را توضیح می دهد.
#Web #Recon
https://github.com/aquasecurity/cloudsploit
@TryHackBox
- ابزاری برای هک کردن پلتفرم های ابری
- این یک پروژه منبع باز است، حاوی اسکریپت هایی برای تشخیص خطاهای پیکربندی، خطاهای رایج و تهدیدات امنیتی است.
قابل ارتقا با افزونه ها می تواند هم Docker و هم SelfHost را انجام دهد. این کیت شامل یک کتابچه راهنمای آموزشی روز است که نقطه به نقطه چیستی و چرایی آن را توضیح می دهد.
طراحی شده برای نفوذ به سیستم عامل های ابری مانند:
1. Amazon Web Services
2. Microsoft Azure
3. Google Cloud Platform
4. Oracle Cloud Infrastructure
5. GitHub
#Web #Recon
https://github.com/aquasecurity/cloudsploit
@TryHackBox
OWASP Amass
- ابزار تجزیه و تحلیل وب سایت
OWASP Amass
ابزاری است که برای خودکارسازی پروسس جمع آوری اطلاعات در مورد شبکه های تارگت به منظور تست نفوذ طراحی شده است.
— این ابزار طیف گسترده ای از توابع، از جمله جستجو برای زیر دامنه ها، جستجو برای هاست های فعال، تجزیه و تحلیل سوابق DNS و بیشتر ارائه می دهد.
#OWASP #Web
https://github.com/owasp-amass/amass
@TryHackBox
- ابزار تجزیه و تحلیل وب سایت
OWASP Amass
ابزاری است که برای خودکارسازی پروسس جمع آوری اطلاعات در مورد شبکه های تارگت به منظور تست نفوذ طراحی شده است.
— این ابزار طیف گسترده ای از توابع، از جمله جستجو برای زیر دامنه ها، جستجو برای هاست های فعال، تجزیه و تحلیل سوابق DNS و بیشتر ارائه می دهد.
#OWASP #Web
https://github.com/owasp-amass/amass
@TryHackBox
🖥 مخزن: Vuls – اسکنر آسیب پذیری
Vuls
یک اسکنر آسیبپذیری منبع باز برای Linux، FreeBSD، Container، WordPress، کتابخانههای زبان برنامهنویسی، دستگاههای شبکه است که در Go نوشته شده است.
- این ابزار تجزیه و تحلیل آسیب پذیری های نرم افزار نصب شده بر روی سیستم را خودکار می کند ، که انجام دستی در یک محیط تولید بسیار دشوار است.
https://github.com/future-architect/vuls?tab=readme-ov-file
#Web #Redteam #Recon
@TryHackBox
Vuls
یک اسکنر آسیبپذیری منبع باز برای Linux، FreeBSD، Container، WordPress، کتابخانههای زبان برنامهنویسی، دستگاههای شبکه است که در Go نوشته شده است.
- این ابزار تجزیه و تحلیل آسیب پذیری های نرم افزار نصب شده بر روی سیستم را خودکار می کند ، که انجام دستی در یک محیط تولید بسیار دشوار است.
https://github.com/future-architect/vuls?tab=readme-ov-file
#Web #Redteam #Recon
@TryHackBox
GitHub
GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language…
Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language libraries, Network devices - future-architect/vuls