امنیت اطلاعات
@sec_nerd
850 subscribers
2.38K photos
153 videos
156 files
2.58K links
آخرین اخبار هک، ابزارها و روش های تست نفوذ را در این کانال دنبال کنید

بخش انگلیسی :
https://t.iss.one/sec_nerd_en


برای عضویت در گروه پیام بدید:
@rect00
Download Telegram
About
Blog
Apps
Platform
Join
امنیت اطلاعات
850 subscribers
امنیت اطلاعات
رایت آپی با موضوع SSRF

https://medium.com/a-bugz-life/exploiting-an-ssrf-trials-and-tribulations-14c5d8dbd69a


#ssrf
#writeup
#bugbounty


@sec_nerd
552 views
امنیت اطلاعات
یک شرح مفصل که از شناسایی هدف آغاز و به اجرای دستور بر روی سرور یکی از بزرگترین شرکتهای ارتباطی جهان ختم میشود

از دست ندید:
https://medium.com/bugbountywriteup/from-recon-to-optimizing-rce-results-simple-story-with-one-of-the-biggest-ict-company-in-the-ea710bca487a

#writeup
#recon
#rce
#bugbounty



@sec_nerd
641 views
امنیت اطلاعات
رایت آپ سه چالش از Vulnhub

1- Symfonos5

https://medium.com/@valesteve91/vulnhub-writeup-symfonos5-63bcf455dbde


2- Me and My Girlfriend

https://medium.com/@valesteve91/vulnhub-write-up-me-and-my-girlfriend-a0280139f693


3-Five86–1

https://medium.com/@valesteve91/vulnhub-write-up-five86-1-3deb7aa513cb



#writeup
#vulnhub


@sec_nerd
Vulnhub
symfonos: 5.2
symfonos: 5.2, made by Zayotic. Download & walkthrough links are available.
420 views
امنیت اطلاعات
امنیت اطلاعات
cve-2020-0688 Outlook Web Access (owa) https://github.com/Ridter/cve-2020-0688 authenticated rce #owa #outlook #Exchange @sec_nerd
ماژول متاسپلویت برای آسیب پذیری اجرای دستور در مایکروسافت exchange

cve-2020-0688


https://raw.githubusercontent.com/zeroSteiner/metasploit-framework/feat/cve-2020-0688/modules/exploits/windows/http/exchange_ecp_viewstate.rb


توضیحات و خروجی آزمایش
https://github.com/rapid7/metasploit-framework/pull/13014


برای اجرای دستور با سطح دسترسی SYSTEM نیازمند به یک یوزر دارای میل باکس در دامنه ی هدف هستید


#owa
#outlook
#Exchange
#msf
#windows
#privesc

@sec_nerd
GitHub
Add an exploit for Exchange ECP ViewState deserialization (CVE-2020-0688) by zeroSteiner · Pull Request #13014 · rapid7/metasploit…
This PR adds an exploit module for CVE-2020-0688 (Exchange ECP ViewState Deserialization). The viewstate must be transfered via a GET request which means there's some size restrictions, 450...
470 views
امنیت اطلاعات
امنیت اطلاعات
مایکروسافت که به روشهای مختلف سعی در افزایش کاربران مرورگر edge خود دارد در اقدامی عجیب به کسانی که از فایرفاکس استفاده میکنند پیشنهاد نصب اج را میدهد!‌ (😂😂😂) https://www.bleepingcomputer.com/news/microsoft/windows-10-start-menu-suggests-firefox-users-switch…
شاهکار جدید مرورگر Edge!

Yes i want coronavirus
😂😂


#corona
#microsoft
#windows


@sec_nerd
397 views
امنیت اطلاعات
داستان دو دوست که در طی یک ماه بیش از ۲۰ هزار دلار جایزه برای کشف آسیب پذیری های IDOR و XSS و CSRF دریافت کرده اند:

https://medium.com/bugbountywriteup/a-simple-bypass-of-registration-activation-that-lead-to-many-bug-a-story-about-how-my-friend-5df0889f1062


#bugbounty
#writeup
#xss
#idor
#csrf


@sec_nerd
701 views
امنیت اطلاعات
رایت آپ بررسی اپ اندرویدی و استخراج اطلاعات API نظیر یوزرنیم، پسورد و برخی جزییات مخفی از سورس برنامه


https://blog.securitybreached.org/2020/02/19/hacking-sms-api-service-provider-of-a-company-android-app-static-security-analysis-bug-bounty-poc/


#android
#writeup
#bugbounty


@sec_nerd
756 views
امنیت اطلاعات
اجرای پایتون در MSSQL!!!


https://gist.github.com/james-otten/63389189ee73376268c5eb676946ada5


#mssql
#rce
#python

@sec_nerd
Gist
Executing Python inside MSSQL using sp_execute_external_script
Executing Python inside MSSQL using sp_execute_external_script - sp_execute_external_script_in_python.md
460 views
امنیت اطلاعات
برخی راهکارهای اجرای دستور در MSSQL

https://github.com/SofianeHamlaoui/Pentest-Notes/blob/master/Security_cheatsheets/databases/sqlserver/3-command-execution.md


#mssql
#rce
#windows


@sec_nerd
GitHub
Pentest-Notes/Security_cheatsheets/databases/sqlserver/3-command-execution.md at master · SofianeHamlaoui/Pentest-Notes
Collection of Pentest Notes and Cheatsheets from a lot of repos (SofianeHamlaoui,dostoevsky,mantvydasb,adon90,BriskSec) - SofianeHamlaoui/Pentest-Notes
458 views
امنیت اطلاعات
دور زدن احراز هویت در NoSql با بکارگیری یک regex در سشن توکن

https://github.com/advisories/GHSA-h4mf-75hf-67w4


#nosql
#injection
#bypass


@sec_nerd
GitHub
CVE-2020-5251 - GitHub Advisory Database
Information disclosure in parse-server
659 views
امنیت اطلاعات
استخراج لینک ها از فایل js

regex:
(https?://)?/?[{}a-z0-9A-Z_\.-]{2,}/[{}/a-z0-9A-Z_\.-]+


#tips
#js


@sec_nerd
609 views
امنیت اطلاعات
شرکت رسانه ای virgin media توسط هکرها مورد نفوذ قرار گرفت و اطلاعات برخی از مشتریانش به سرقت رفت.
طبق اعلام این شرکت، اطلاعات به سرقت رفته حاوی پسوردها و جزییاتی از کارتهای اعتباری نبوده است.


https://www.virginmedia.com/help/data-incident/important-information


#breach
#virginmedia
#news


@sec_nerd
391 views
امنیت اطلاعات
بایپس های جدید XSS برای عبور از سندباکس و CSP

Reflected:
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#angularjs-sandbox-escapes-reflected

DOM:
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#dom-based-angularjs-sandbox-escapes

CSP bypasses:
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#angularjs-csp-bypasses



#xss
#bugbounty


@sec_nerd
696 views
امنیت اطلاعات
Extended XSS Searcher and Finder

https://github.com/Damian89/extended-xss-search

#xss
#bugbounty


@sec_nerd
713 views
امنیت اطلاعات
آسیب پذیری 0day کشف شده در manageEngine که بدون نیاز به احراز هویت، هکرها را قادر به اجرای دستور بر روی سرور میکند

بیش از دو هزار سیستم آسیب پذیر در دنیا شناسایی شده اند


توضیحات فنی:
https://srcincite.io/advisories/src-2020-0011/


اکسپلویت:
https://srcincite.io/pocs/src-2020-0011.py.txt


#manageengine
#zoho
#rce


@sec_nerd
468 viewsedited  
امنیت اطلاعات
This media is not supported in your browser
VIEW IN TELEGRAM
اون از وضعیت احتکار ماسک و دستکش...
این از وضعیت جاده های منتهی به شمال...


چی باید گفت!

فکر بقیه نیستید، فکر عزیزای خودتون باشید اقلا، کرونا فقط واسه همسایه نیست، سراغ شما هم میاد!


از ماست که بر ماست...


#offtopic
#shame 🔔

@sec_nerd
430 views
امنیت اطلاعات
رایت آپ چالش HTB با نام Bart

شامل مراحلی از نفوذ به وب و استفاده از باگ LFI و نیز بالابردن سطح دسترسی در ویندوز


https://medium.com/@ranakhalil101/hack-the-box-bart-writeup-w-o-metasploit-446fe80b82ee


#htb
#writeup


@sec_nerd
424 views
امنیت اطلاعات
حساب توییتر وزیر جنگ رژیم اسراییل برای دقایقی هک شد و پرچم های ترکیه و فلسطین در آن پست شد


https://www.jpost.com/Israel-News/Defense-Minister-Naftali-Bennetts-Twitter-account-hacked-620083


#israel
#turkey
#twitter
#news


@sec_nerd
454 views
امنیت اطلاعات
بالاخره یه خبر خوب بشنویم!

امیدوارم اجرا بشه....


#iran
#news
#ict
#coronavirus


@sec_nerd
490 views
امنیت اطلاعات
امنیت اطلاعات
بالاخره یه خبر خوب بشنویم! امیدوارم اجرا بشه.... #iran #news #ict #coronavirus @sec_nerd
به نظر میرسه شاتل به این وعده عمل کرده!

#iran
#shatel
#coronavirus
#ict


@sec_nerd
459 views
امنیت اطلاعات
امنیت اطلاعات
به نظر میرسه شاتل به این وعده عمل کرده! #iran #shatel #coronavirus #ict @sec_nerd
و همچنین آسیاتک و پارس آنلاین

مخابرات هم گویا در برخی شهرها فعال شده

و خورشیدنت و مبین نت هم ظاهرا اهمیت ندادن به درخواست مردم




در حال بروزرسانی ....


#iran
#coronavirus
#ict


@sec_nerd
446 viewsedited