روش های کشف و اکسپلویت کردن آسیب پذیری SSRF
https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-1-29d034c27978
https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-2-a085ec4332c0
https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-3-b0f5997e3739
#web
#pentest
#ssrf
@sec_nerd
https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-1-29d034c27978
https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-2-a085ec4332c0
https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-3-b0f5997e3739
#web
#pentest
#ssrf
@sec_nerd
Medium
SSRF - Server Side Request Forgery (Types and ways to exploit it) Part-1
(Please ignore mistakes if any!)
unc0ver
The most advanced jailbreak tool
unc0ver jailbreak for iOS 11.0 - 11.4b3
https://github.com/pwn20wndstuff/Undecimus/releases
#ios
#apple
#jailbreak
@sec_nerd
The most advanced jailbreak tool
unc0ver jailbreak for iOS 11.0 - 11.4b3
https://github.com/pwn20wndstuff/Undecimus/releases
#ios
#apple
#jailbreak
@sec_nerd
GitHub
Releases · pwn20wndstuff/Undecimus
unc0ver jailbreak for iOS 11.0 - 12.4. Contribute to pwn20wndstuff/Undecimus development by creating an account on GitHub.
وبسایتهای وردپرسی تحت حمله هکرها!
اخیرا هکرها با کشف آسیب پذیری در پلاگین Total Donations اقدام به نفوذ به وبسایتهای وردپرسی میکنند.
از ادمین ها خواسته شده تا اطلاع ثانوی این پلاگین را حذف کنند زیرا هنوز آپدیتی برای آن منتشر نشده است.
این آسیب پذیری به هکرها اجازه میدهد هر تنظیمی از هسته وردپرس یا پلاگین ها و یا مقصد پرداختهای این پلاگین را نیز تغییر دهند.
اطلاعات بیشتر:
https://www.zdnet.com/article/wordpress-sites-under-attack-via-zero-day-in-abandoned-plugin/
#news
#wp
#wordpress
#exploit
@sec_nerd
اخیرا هکرها با کشف آسیب پذیری در پلاگین Total Donations اقدام به نفوذ به وبسایتهای وردپرسی میکنند.
از ادمین ها خواسته شده تا اطلاع ثانوی این پلاگین را حذف کنند زیرا هنوز آپدیتی برای آن منتشر نشده است.
این آسیب پذیری به هکرها اجازه میدهد هر تنظیمی از هسته وردپرس یا پلاگین ها و یا مقصد پرداختهای این پلاگین را نیز تغییر دهند.
اطلاعات بیشتر:
https://www.zdnet.com/article/wordpress-sites-under-attack-via-zero-day-in-abandoned-plugin/
#news
#wp
#wordpress
#exploit
@sec_nerd
ZDNET
WordPress sites under attack via zero-day in abandoned plugin
Developers of Total Donations plugin have gone missing, leaving former customers open to attacks.
اکسپلویت جدید مربوط به Cisco RV320 وRV325 که منجر به اجرای دستور در روترهای وی پی ان میشود
https://github.com/0x27/CiscoRV320Dump
#exploit
#network
#cisco
#rce
@sec_nerd
https://github.com/0x27/CiscoRV320Dump
#exploit
#network
#cisco
#rce
@sec_nerd
GitHub
GitHub - 0x27/CiscoRV320Dump: CVE-2019-1652 /CVE-2019-1653 Exploits For Dumping Cisco RV320 Configurations & Debugging Data AND…
CVE-2019-1652 /CVE-2019-1653 Exploits For Dumping Cisco RV320 Configurations & Debugging Data AND Remote Root Exploit! - 0x27/CiscoRV320Dump
نکات تست نفوذ اینترانت
https://github.com/Ridter/Intranet_Penetration_Tips
(زبان چینی)
#network
#pentest
#windows
#linux
#privesc
@sec_nerd
https://github.com/Ridter/Intranet_Penetration_Tips
(زبان چینی)
#network
#pentest
#windows
#linux
#privesc
@sec_nerd
GitHub
GitHub - Ridter/Intranet_Penetration_Tips: 2018年初整理的一些内网渗透TIPS,后面更新的慢,所以整理出来希望跟小伙伴们一起更新维护~
2018年初整理的一些内网渗透TIPS,后面更新的慢,所以整理出来希望跟小伙伴们一起更新维护~. Contribute to Ridter/Intranet_Penetration_Tips development by creating an account on GitHub.
This media is not supported in your browser
VIEW IN TELEGRAM
امنیت اطلاعات
وب سایت https://webstresser.org که به ارائه خدمات DDOS در اینترنت شهرت داشت، با همکاری پلیس کشورهای کانادا، هلند، بریتانیا، صربستان، کرواسی، اسپانیا، ایتالیا، آلمان، استرالیا، هنگ کنگ، امریکا و اینترپل این وبسایت با حکم دادگاه شرقی ویرجینیا، توسط دپارتمان دفاع…
پس از اینکه سال گذشته وبسایت webstresser.org توسط پلیس اروپا مصادره و عوامل آن دستگیر شدند، حالا یوروپل حسابهای بیش از ۱۵۱ هزار نفر که در این وبسایت ثبت نام کرده و خدمات DDOS دریافت کرده بودند را بدست آورده و بیش از ۲۵۰ نفر از آنان تحت تعقیب قرار گرفته اند!
تاکنون چندین یوزر این وبسایت به ادارات پلیس احضار شده اند.
https://thehackernews.com/2019/01/ddos-for-hire-services.html
#news
#ddos
#europe
@sec_nerd
تاکنون چندین یوزر این وبسایت به ادارات پلیس احضار شده اند.
https://thehackernews.com/2019/01/ddos-for-hire-services.html
#news
#ddos
#europe
@sec_nerd
وبسایت xDedic که محل خرید و فروش سرورهای هک شده و اطلاعات شهروندان امریکایی بود توسط امریکا و چند کشور اروپایی مصادره شد.
در این خصوص سه فرد اوکراینی نیز دستگیر شده اند. بیش از ۱۷۶ هزار سرور که اغلب آنان ویندوزی و دارای نام کاربری و پسورد RDP بوده اند،برای خریداران فراهم شده بود.
https://thehackernews.com/2019/01/cyber-criminal-marketplace.html
#news
#us
#europe
@sec_nerd
در این خصوص سه فرد اوکراینی نیز دستگیر شده اند. بیش از ۱۷۶ هزار سرور که اغلب آنان ویندوزی و دارای نام کاربری و پسورد RDP بوده اند،برای خریداران فراهم شده بود.
https://thehackernews.com/2019/01/cyber-criminal-marketplace.html
#news
#us
#europe
@sec_nerd
ساخت پیلود meterpreter به نحوی که با ساین جعلی گوگل دیده شود
https://medium.com/forensicitguy/making-meterpreter-look-google-signed-using-msi-jar-files-c0a7970ff8b7
#msf
#pentest
#bypass
@sec_nerd
https://medium.com/forensicitguy/making-meterpreter-look-google-signed-using-msi-jar-files-c0a7970ff8b7
#msf
#pentest
#bypass
@sec_nerd
هکرها سال گذشته معادل 1.7 میلیارد دلار ارز دیجیتال دزدیده اند!
این میزان از ارز دیجیتال از روش های مختلف از جمله کمپین های اسکم، بدافزار، اخاذی و هک بدست آمده است.
منبع:
https://www.bleepingcomputer.com/news/security/hackers-stole-17-billion-in-cryptocurrency-last-year/
#news
#cryptocurrency
#btc
@sec_nerd
این میزان از ارز دیجیتال از روش های مختلف از جمله کمپین های اسکم، بدافزار، اخاذی و هک بدست آمده است.
منبع:
https://www.bleepingcomputer.com/news/security/hackers-stole-17-billion-in-cryptocurrency-last-year/
#news
#cryptocurrency
#btc
@sec_nerd
BleepingComputer
Hackers Stole $1.7 Billion in Cryptocurrency Last Year
Cybercriminals going after digital coins had a good 2018, stealing a whopping $1.7 billion in cryptocurrency from exchange services, users, or investors. Different forms of scamming, extortion, hacking, and malware were the main methods used to get the money.
دفاع در برابر حملات بالا بردن سطح دسترسی در ویندوز
https://medium.com/palantir/windows-privilege-abuse-auditing-detection-and-defense-3078a403d74e
#windows
#security
#privesc
@sec_nerd
https://medium.com/palantir/windows-privilege-abuse-auditing-detection-and-defense-3078a403d74e
#windows
#security
#privesc
@sec_nerd
اجرای دستور از راه دور در Libreoffice با کمک macro
CVE-2018-16858
https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html
#linux
#libreoffice
#rce
@sec_nerd
CVE-2018-16858
https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html
#linux
#libreoffice
#rce
@sec_nerd
تعدادی اسکریپت پاورشل و روشهای دور زدن محدودیت های ویندوز پس از نفوذ به ماشین ویندوزی
https://github.com/kmkz/Pentesting
#windows
#pentest
#Ps
@sec_nerd
https://github.com/kmkz/Pentesting
#windows
#pentest
#Ps
@sec_nerd
GitHub
GitHub - kmkz/Pentesting: Tricks for penetration testing
Tricks for penetration testing. Contribute to kmkz/Pentesting development by creating an account on GitHub.
PoC MSSQL RCE exploit using Resource-Based Constrained Delegation #PoC #RCE #MSSQL
https://gist.github.com/3xocyte/0dc0bd4cb48cc7b4075bdc90a1ccc7d3
@sec_nerd
https://gist.github.com/3xocyte/0dc0bd4cb48cc7b4075bdc90a1ccc7d3
@sec_nerd
Gist
PoC MSSQL RCE exploit using Resource-Based Constrained Delegation
PoC MSSQL RCE exploit using Resource-Based Constrained Delegation - bad_sequel.py
امنیت اطلاعات
پیش از این در مورد سیستم اطلاعاتی کشور امارات که ارتباطاتی با ماموران CIA دارد مطلبی منتشر کردیم. (https://t.iss.one/sec_nerd/1461) اخیرا اسنادی از ارتباط امارات با گروه های هکرهای دولتی اسراییلی نیز منتشر شده است. در ماه جولای مصاحبه ای با یک شرکت امنیت سایبری…
اماراتی ها از ابزار سایبری KARMA برای هک کردن برخی مسئولان کشورهای ترکیه، قطر و یمن استفاده میکنند.
این ابزار برای نفوذ به گوشی های موبایل بکار میرود و قابلیت دزدیدن ایمیلها، تصاویر، پیامکها، مکانها و پسوردها را دارد.
این کمپین از سال ۲۰۱۶ آغاز شده و Raven نام دارد و ابزار کارما برای نفوذ به گوشی های آیفون از راه دور در این کمپین بکار رفته است.
این آژانس امنیتی اماراتی DarkMatter نام دارد و با برخی ماموران اطلاعاتی امریکایی در ارتباط است.
گفته میشود عملیات Raven یک عملیات مشترک بین عربستان و امارات برای هدف قراردادن حامیان گروه اخوان المسلمین است که ترکیه و قطر جزو این اهداف می باشند.
اطلاعات بیشتر:
https://www.hackread.com/hackers-used-karma-tool-to-hack-iphones-of-govt-officials/
#news
#uae
#usa
#ksa
#iphone
#turkey
#qatar
@sec_nerd
این ابزار برای نفوذ به گوشی های موبایل بکار میرود و قابلیت دزدیدن ایمیلها، تصاویر، پیامکها، مکانها و پسوردها را دارد.
این کمپین از سال ۲۰۱۶ آغاز شده و Raven نام دارد و ابزار کارما برای نفوذ به گوشی های آیفون از راه دور در این کمپین بکار رفته است.
این آژانس امنیتی اماراتی DarkMatter نام دارد و با برخی ماموران اطلاعاتی امریکایی در ارتباط است.
گفته میشود عملیات Raven یک عملیات مشترک بین عربستان و امارات برای هدف قراردادن حامیان گروه اخوان المسلمین است که ترکیه و قطر جزو این اهداف می باشند.
اطلاعات بیشتر:
https://www.hackread.com/hackers-used-karma-tool-to-hack-iphones-of-govt-officials/
#news
#uae
#usa
#ksa
#iphone
#turkey
#qatar
@sec_nerd
HackRead
Hackers used Karma tool to hack iPhones of prominent Govt officials
EX-NSA operatives in action.
در این لینک به بررسی فعالیت ها و مکانهای جغرافیایی گروه های APT دولتی (State Sponsored) پرداخته شده است.
این دولتها شامل چین، روسیه، لبنان، اسراییل، امریکاو انگلیس هستند.
(خداروشکر تا حالا مکانی از گروه های ایرانی بدست نیومده!)
https://0xffff0800.blogspot.com/2019/02/the-homes-of-cyber-spies.html
#apt
#russia
#usa
#china
#uk
#israel
@sec_nerd
این دولتها شامل چین، روسیه، لبنان، اسراییل، امریکاو انگلیس هستند.
(خداروشکر تا حالا مکانی از گروه های ایرانی بدست نیومده!)
https://0xffff0800.blogspot.com/2019/02/the-homes-of-cyber-spies.html
#apt
#russia
#usa
#china
#uk
#israel
@sec_nerd
روز گذشته رقم جوایز وبسایت HackerOne به ۴۵ میلیون دلار رسید!
این وبسایت که میزبانی رقابت های کشف باگ در سرویسهای شرکتها، توسط هکرهای داوطلب را به عهده دارد تا کنون ۴۵ میلیون دلار از جوایز را به هکرهای کلاه سفید پرداخت کرده و امیدوار است که این راه را تا به رکورد ۵۰ میلیون دلار ادامه دهد.
در پیام این وبسایت به برخی هکرهای برتر شرکت کننده در رقابت ها نیز اشاره شده است.
منبع:
https://www.hackerone.com/blog/Brace-yourself-50-Million-Bounties-Coming-and-we-are-celebrating-whole-way-there
#news
#hackerone
#bugbounty
@sec_nerd
این وبسایت که میزبانی رقابت های کشف باگ در سرویسهای شرکتها، توسط هکرهای داوطلب را به عهده دارد تا کنون ۴۵ میلیون دلار از جوایز را به هکرهای کلاه سفید پرداخت کرده و امیدوار است که این راه را تا به رکورد ۵۰ میلیون دلار ادامه دهد.
در پیام این وبسایت به برخی هکرهای برتر شرکت کننده در رقابت ها نیز اشاره شده است.
منبع:
https://www.hackerone.com/blog/Brace-yourself-50-Million-Bounties-Coming-and-we-are-celebrating-whole-way-there
#news
#hackerone
#bugbounty
@sec_nerd
کاور وبکم ارائه شده توسط NSA آنطور که باید، دوربین را پوشش نمیدهد!
ابزار بهبود کیفیت تصویر و کاهش نویز:
https://github.com/google/burst-denoising
منبع:
https://twitter.com/EFF/status/1091449476613468160
#news
#nsa
#privacy
#fun
@sec_nerd
ابزار بهبود کیفیت تصویر و کاهش نویز:
https://github.com/google/burst-denoising
منبع:
https://twitter.com/EFF/status/1091449476613468160
#news
#nsa
#privacy
#fun
@sec_nerd