متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
Try Hack Box
الذهاب إلى القناة على Telegram
1 Nov 2020 1399/08/11 آموزش تست نفوذ و ردتیم https://linkedin.com/company/tryhackbox-org/ یوتیوب https://youtube.com/@tryhackbox کانال ها : @TryHackBoxOfficial ( نقشه راه ) @TryHackBoxStory ( اخبار و داستانهای هک ) پشتیبانی : @ThbxSupport
إظهار المزيد6 223
المشتركون
لا توجد بيانات24 ساعات
+157 أيام
+6230 أيام
جاري تحميل البيانات...
جذب المشتركين
يونيو '26
يونيو '26
+105
في 6 قنوات
مايو '26
+55
في 0 قنوات
Get PRO
أبريل '26
+61
في 0 قنوات
Get PRO
مارس '26
+31
في 0 قنوات
Get PRO
فبراير '26
+357
في 15 قنوات
Get PRO
يناير '26
+105
في 8 قنوات
Get PRO
ديسمبر '25
+298
في 19 قنوات
Get PRO
نوفمبر '25
+371
في 14 قنوات
Get PRO
أكتوبر '25
+358
في 12 قنوات
Get PRO
سبتمبر '25
+165
في 11 قنوات
Get PRO
أغسطس '25
+242
في 8 قنوات
Get PRO
يوليو '25
+380
في 14 قنوات
Get PRO
يونيو '25
+151
في 10 قنوات
Get PRO
مايو '25
+191
في 15 قنوات
Get PRO
أبريل '25
+167
في 9 قنوات
Get PRO
مارس '25
+193
في 10 قنوات
Get PRO
فبراير '25
+94
في 6 قنوات
Get PRO
يناير '25
+169
في 8 قنوات
Get PRO
ديسمبر '24
+389
في 7 قنوات
Get PRO
نوفمبر '240
في 11 قنوات
Get PRO
أكتوبر '24
+2 095
في 11 قنوات
Get PRO
سبتمبر '240
في 7 قنوات
Get PRO
أغسطس '240
في 3 قنوات
Get PRO
يوليو '240
في 0 قنوات
Get PRO
يونيو '240
في 54 قنوات
Get PRO
مايو '240
في 1 قنوات
Get PRO
أبريل '240
في 196 قنوات
Get PRO
مارس '240
في 250 قنوات
Get PRO
فبراير '240
في 194 قنوات
Get PRO
يناير '240
في 0 قنوات
Get PRO
ديسمبر '230
في 1 قنوات
Get PRO
نوفمبر '230
في 0 قنوات
Get PRO
أكتوبر '230
في 0 قنوات
Get PRO
سبتمبر '23
+14
في 0 قنوات
Get PRO
أغسطس '23
+10
في 0 قنوات
Get PRO
يوليو '23
+20
في 0 قنوات
Get PRO
يونيو '23
+20
في 0 قنوات
Get PRO
مايو '23
+9
في 0 قنوات
Get PRO
أبريل '23
+20
في 0 قنوات
Get PRO
مارس '23
+33
في 0 قنوات
Get PRO
فبراير '23
+223
في 0 قنوات
Get PRO
يناير '23
+133
في 0 قنوات
Get PRO
ديسمبر '22
+193
في 0 قنوات
Get PRO
نوفمبر '22
+365
في 0 قنوات
Get PRO
أكتوبر '22
+158
في 0 قنوات
Get PRO
سبتمبر '22
+226
في 0 قنوات
Get PRO
أغسطس '22
+170
في 0 قنوات
Get PRO
يوليو '22
+14
في 0 قنوات
Get PRO
يونيو '22
+8
في 0 قنوات
Get PRO
مايو '22
+20
في 0 قنوات
Get PRO
أبريل '22
+90
في 0 قنوات
Get PRO
مارس '22
+9
في 0 قنوات
Get PRO
فبراير '22
+1
في 0 قنوات
Get PRO
يناير '22
+9
في 0 قنوات
Get PRO
ديسمبر '21
+86
في 0 قنوات
Get PRO
نوفمبر '210
في 0 قنوات
Get PRO
أكتوبر '210
في 0 قنوات
Get PRO
سبتمبر '210
في 0 قنوات
Get PRO
أغسطس '210
في 0 قنوات
Get PRO
يوليو '210
في 0 قنوات
Get PRO
يونيو '210
في 0 قنوات
Get PRO
مايو '21
+147
في 0 قنوات
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 19 يونيو | 0 | |||
| 18 يونيو | +2 | |||
| 17 يونيو | +3 | |||
| 16 يونيو | +3 | |||
| 15 يونيو | +2 | |||
| 14 يونيو | +4 | |||
| 13 يونيو | +7 | |||
| 12 يونيو | +8 | |||
| 11 يونيو | +5 | |||
| 10 يونيو | +3 | |||
| 09 يونيو | +3 | |||
| 08 يونيو | +6 | |||
| 07 يونيو | +9 | |||
| 06 يونيو | +5 | |||
| 05 يونيو | +12 | |||
| 04 يونيو | +6 | |||
| 03 يونيو | +2 | |||
| 02 يونيو | +21 | |||
| 01 يونيو | +4 |
منشورات القناة
| 2 |  +3📚 کتابچه "Mimikatz: تسلط عملی بر تکنیکهای پیشرفته حملات Active Directory" از مقدماتی تا پیشرفته.
اگر در حوزه امنیت سایبری و تست نفوذ Active Directory فعالیت میکنید، این کتابچه ضروریترین منبعی است که میتوانید داشته باشید!
منبعی کامل برای تیمهای قرمز (Red Team)، شامل دستورات عملی، اسکریپتهای آماده، و تکنیکهای evasion است که مستقیماً در تستهای نفوذ استفاده میشوند.
همین حالا این کتاب تخصصی را به زبان فارسی بخوانید.
🔥 تخفیف
💰 قیمت اصلی: ۲۵۰,۰۰۰ تومان
💥 با تخفیف : ۲۰۰,۰۰۰ تومان
⚠️ مهلت تخفیف: ۲ روز
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
@TryHackBox | 595 |
| 3 | بررسی عمیق یک سیستم کشف و پاسخ الکترونیکی که توسط سازمانهای امنیتی چین به کار گرفته شده است
https://netaskari.substack.com/p/chinas-guardian-of-secrets
@pfksecurity | 359 |
| 4 | دوستان تصمیم گرفتیم مطالب مربوط به Ai Security و استفاده از اون رو در حوزه های تست نفوذ و ردتیم ، در این کانال قرار بدیم :
اگه علاقه مند به مطالب Ai Security هستید :
@TryHackBoxStory | 353 |
| 5 | در اینجا یک LLM-honeypot از Beelzebub برای گرفتار کردن کریپتوجکرها آوردم.
این یک تلهٔ سادهٔ SSH است که به جای پاسخ های ایستا با قالب های ثابت، به مهاجم با متنی واقعی نما پاسخ می دهد که توسط یک LLM تولید میشود. بدین ترتیب رفتار سرور طبیعی به نظر میرسد، اپراتور پاسخ های قابل باور به دستورات را میگیرد و لاگ تمام نشست های جعلی ذخیره می شود.
ساختار پایهٔ تله (YAML):
apiVersion: "v1"
protocol: "ssh"
address: ":2222"
description: "SSH LLM Honeypot"
commands:
- regex: "^(.+)$"
plugin: "LLMHoneypot"
serverVersion: "OpenSSH"
serverName: "ubuntu"
passwordRegex: "^(root|qwerty|Smoker666|123456|jenkins|minecraft|sinus|alex|postgres|Ly123456)$"
deadlineTimeoutSeconds: 120
plugin:
llmProvider: "openai"
llmModel: "gpt-4o"
openAISecretKey: "sk-proj-1234567890"
ویژگی های پیکربندی:
◾️ پروتکل SSH (یکی از رایج ترین بردارهای حمله) + پورت غیرمرسوم 2222 (برای کاهش نویز اسکنرها).
regex: "^(.+)$"
◾️ هر دستور/رشتهٔ وارد شده را میگیرد و به پلاگین LLM می فرستد.
serverVersion / serverName
بنر/نام میزبان را شبیه سازی می کنند تا کریپتوجکر هنگام اتصال آن را ببیند.
passwordRegex
چند ترکیب نام کاربری/رمز عمداً ضعیف پیش تعریف شده.
deadlineTimeoutSeconds
اگر نشست بیش از 120 ثانیه بیکار بماند، قطع می شود.
◾️پارامترهای plugin ادغام با LLM شرکت OpenAI، در این مثال مدل gpt-4o و کلید دسترسی.
می توانید بخش plugin را دقیق تر بنویسید؛ مثلاً مقدار temperature برای تنوع/خلاقیت پاسخ ها اضافه کنید و با contextMemory تاریخچهٔ دستورات را نگهداری کنید تا تولید متن بهتر شود. پیاده سازی و قابلیت ها بسته به نیاز شماست.
در این تله، Beelzebub با دقت مسیر نشست کریپتوجکر را ثبت کرده: شناسایی میزبان (uname, uptime, nproc)، بررسی GPU (lspci, nvidia-smi)، جمع آوری اطلاعات CPU/شبکه، تلاش برای ایجاد persistence و حذف رقبا (دستورات مانند chpasswd، pkill xmrig|cnrig|kswapd0 و غیره)، دانلود و اجرای اسکریپت نصب با curl … | bash. در مثال شرحدادهشده، اسکریپت xmrig را برای ماینینگ Monero تنظیم میکرد و به C3Pool متصل می شد.
@TryHackBox
@TryHackBoxOfficial
@RadioZeroPod
@TryHackBoxStory
#هوش_مصنوعی #امنیت_سایبری | 298 |
| 6 | بزهکاران اجرای از طریق پراکسی را دوست دارند. آنها میتوانند از ابزارهای مورد اعتماد توسعه دهنده برای انجام این کار استفاده کنند. امروز به نمونهای از اجرای پراکسی ابزارهای توسعه دهنده مورد اعتماد: MSBuild (T1127.001) نگاه میکنیم.
همانطور که همیشه، به یک نمونه نیاز داریم. بزهکار یک کار زمان بندی شده ایجاد کرده است تا یک فایل XML مخرب را با استفاده از msbuild.exe اجرا کند:
schtasks /create /tn \Microsoft\Windows\Ras\Outbound /tr "CSIDL_WINDOWS\microsoft.net\framework\v4.0.30319\msbuild.exe c:\programdata\microsoft\rac\outbound\outbound.xml" /sc minute /mo 60 /ru system
ما میتوانیم به دنبال اجرای msbuild.exe باشیم که در آن فایل ها از پوشه های مشکوک یا با پسوندهای مشکوک اجرا می شوند، برای مثال:
event_type: "processcreatewin"
AND
proc_file_path: "msbuild.exe"
AND
cmdline: "programdata"
نظر شما چیست ؟
@TryHackBox | 845 |
| 7 | دوستان تصمیم گرفتیم مطالب مربوط به Ai Security و استفاده از اون رو در حوزه های تست نفوذ و ردتیم ، در این کانال قرار بدیم :
اگه علاقه مند به مطالب Ai Security هستید :
@TryHackBox | 919 |
| 8 | دوستان بخاطر شرایط ناپایدار مجبورا و ناخواسته مجبور شدیم یک کانال توی بله بالا بیاریم ، برای اینکه از آموزش و خرید کتابهای جدید جا نمونید اگه این بله دارید ما را دنبال کنید فعلا فعالیت همینجاست ولی از جایی که شرایط کشور معلوم نیست چی به چیه اجتمال قطعی اینترنت هست .
کانال ما در بله
https://ble.ir/TryHackBox | 389 |
| 9 | 🔖 بررسی تهدیدها : OWASP Top 10 برای LLM
⭕ مدل های زبانی بزرگ (LLM) را در سیستم های production پیادهسازی میکنند، اما با آن ها مانند کتابخانه های معمولی رفتار میشود API را متصل کنید و فراموش کنید. مشکل اینجاست که مدل زبانی دستورات موجود در ورودی کاربر را اجرا میکند، کد تولید می نماید و به پایگاه های داده دسترسی پیدا میکند. اگر ویژگی های خاص این سیستم ها در نظر گرفته نشود، ممکن است منجر به نشت داده ها یا compromise کل برنامه شود. OWASP 10 vulnerabilitie بحرانی در برنامه های مبتنی بر LLM را شناسایی کرده است در ادامه هر کدام را با مثال های حمله و روش های حفاظت بررسی میکنیم.
LLM01: Prompt Injection
LLM02: Sensitive Information Disclosure
LLM03: Supply Chain Vulnerabilities
LLM04: Data and Model Poisoning
LLM05: Improper Output Handling
LLM06: Excessive Agency
LLM07: System Prompt Leakage
LLM08: Vector and Embedding Weaknesses
LLM09: Misinformation
LLM10: Unbounded Consumption
➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod
#هوش_مصنوعی #امنیت_سایبری | 1 850 |
| 10 |  🔐 بخش اول: معرفی پروژه CVE Lite CLI از OWASP
اگر توسعهدهنده جاوااسکریپت هستید و از npm، pnpm یا Yarn استفاده میکنید، حتماً میدانید که وارد کردن پکیجهای شخص ثالث، ریسک امنیتی بزرگی به همراه دارد.
بسیاری از این پکیجها و وابستگیهای پنهان آنها، حاوی آسیبپذیریهای شناخته شدهاند، اما بیشتر توسعهدهندگان از وجود آنها بیخبرند.
🔧ابزار CVE Lite CLI یک ابزار خط فرمان سبک، رایگان و متنباز است که بهتازگی به عنوان پروژه انکوباتور OWASP پذیرفته شده.
این ابزار در عرض چند ثانیه، فایل قفل (lockfile) پروژه شما را اسکن میکند و دقیقاً نشان میدهد:
کدام پکیجها آسیبپذیری دارند
چه دستوری باید اجرا کنید تا جایگزین امن و بدون مشکل جایگزین شود
✅ برخلاف اسکنرهای سنتی که فقط یک لاگ بزرگ از خطاها نشان میدهند، CVE Lite CLI با الگوریتم اختصاصی خود، دستور دقیق جایگزینی را پیشنهاد میکند که برنامه شما را خراب نمیکند.
✅ در بخش بعدی: مقایسه با اسکنرهای CI/CD و مشکل فرسودگی ذهنی توسعهدهندگان.
✍️نویسنده
@TryHackBoxStory | The Chaos | 1 191 |
| 11 | دوستان بخاطر شرایط ناپایدار مجبورا و ناخواسته مجبور شدیم یک کانال توی بله بالا بیاریم ، برای اینکه از آموزش و خرید کتابهای جدید جا نمونید اگه این بله دارید ما را دنبال کنید فعلا فعالیت همینجاست ولی از جایی که شرایط کشور معلوم نیست چی به چیه اجتمال قطعی اینترنت هست .
کانال ما در بله
https://ble.ir/TryHackBox | 1 |
| 12 | سوال : prefix Ke در APIهای کرنل ویندوز معمولاً به چه چیزی اشاره دارد؟ | 321 |
| 13 | چه کسی برای تو چهرهای نمادین و مهم در امنیت سایبری جهانی است؟ به چه کسی الگو می دهی؟ دنبال چه کسی هستی، چه کسی را میخوانی؟ دوست داری شبیه چه کسی باشی؟ این فرد چه چیزی در تو الهام می بخشد؟ | 1 385 |
| 14 | دوستان بخاطر شرایط ناپایدار مجبورا و ناخواسته مجبور شدیم یک کانال توی بله بالا بیاریم ، برای اینکه از آموزش و خرید کتابهای جدید جا نمونید اگه این بله دارید ما را دنبال کنید فعلا فعالیت همینجاست ولی از جایی که شرایط کشور معلوم نیست چی به چیه اجتمال قطعی اینترنت هست .
کانال ما در بله
https://ble.ir/TryHackBox | 470 |
| 15 | دوستان بخاطر شرایط ناپایدار مجبورا و ناخواسته مجبور شدیم یک کانال توی بله بالا بیاریم ، برای اینکه از آموزش و خرید کتابهای جدید جا نمونید اگه این بله دارید ما را دنبال کنید فعلا فعالیت همینجاست ولی از جایی که شرایط کشور معلوم نیست چی به چیه اجتمال قطعی اینترنت هست .
کانال ما در بله
https://ble.ir/TryHackBox | 473 |
| 16 | 🔖 درک معماری های سندباکس ( ابری vs درون سازمانی {On-prem} )
📦 سندباکس چیست؟
سندباکس یک محیط اجرای کنترل شده است که فایل ها، آدرس های URL یا پروسس های مشکوک در آن «انفجار» (detonate) شده و مورد مشاهده قرار میگیرند.
انواع سند باکس
معماری معمول سندباکس
اثرانگشت های رفتاری سند باکس
اهداف تحلیل سند باکس
نقاط ضعف سند باکس های ابری
نقاط ضعف سند باکس های درون سازمانی
استراتژی های شناسایی سندباکس
نویسنده : کاوه میر
توییتر : https://www.x.com/kavehxnet
@TryHackBox
#سندباکس #سند_باکس #sandbox | 2 192 |
| 17 | دوستان عزیز
با توجه به وضعیت فعلی اینترنت، تصمیم داریم هرچه سریع تر سایت مجموعه را راهاندازی کنیم تا بتوانیم آموزشها و برنامه های خود را به طور منظم در آن قرار دهیم.
اگر شما علاقهمند به همکاری در این پروژه هستید و با DevOps آشنا هستید، لطفاً به ما پیام دهید. برای داوطلبان گرامی مزایایی در نظر گرفته خواهد شد.
برای کسب اطلاعات بیشتر و توضیحات تکمیلی، با ما در ارتباط باشید.
@ThbxSupport | 2 571 |
| 18 | 📖 شکار عملی باگ بانتی : از Recon تا Bounty واقعی : متدولوژی و شناسایی و آسیب پذیری های دنیای واقعی
این کتاب معرفی کامل و کاربردیای به دنیای «باگ بانتی» ارائه میدهد. این برنامه برای علاقهمندان به امنیت سایبری، پنتسترها، و توسعهدهندگانی طراحی شده که میخواهند کشف آسیب پذیری ها در برنامه های واقعی را بیاموزند؛ تمرکز آن بر مهارت های عملی، متدولوژی های تست مدرن، و اصول هک اخلاقی است.
توضیحات کتاب
نمونه کتاب
💰 قیمت : ۳۶۰,۰۰۰ تومان
🔥 با تخفیف : ۳۱۰،۰۰۰ تومان
📌 جهت خرید، به ایدی زیر پیام دهید:
@THBxSupport | 5 041 |
| 19 | +3 📚 کتابچه "Mimikatz: تسلط عملی بر تکنیکهای پیشرفته حملات Active Directory" از مقدماتی تا پیشرفته.
اگر در حوزه امنیت سایبری و تست نفوذ Active Directory فعالیت میکنید، این کتابچه ضروریترین منبعی است که میتوانید داشته باشید!
منبعی کامل برای تیمهای قرمز (Red Team)، شامل دستورات عملی، اسکریپتهای آماده، و تکنیکهای evasion است که مستقیماً در تستهای نفوذ استفاده میشوند.
همین حالا این کتاب تخصصی را به زبان فارسی بخوانید.
🔥 عرضه ویژه اولین فروش:
💰 قیمت اصلی: ۲۵۰,۰۰۰ تومان
💥 با تخفیف: فقط ۲۱۰,۰۰۰ تومان
⚠️ مهلت تخفیف: تنها ۴۸ ساعت !
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport | 622 |
| 20 | 🔖 کجا می توان به صورت قانونی LLM را هک کرد: ۵ پلتفرم آنلاین و آزمایشگاههای محلی
تزریق پرامپت فقط یک ترفند برای «وادار کردن ربات به گفتن رمز عبور» نیست. در لیست ۱۰ تهدید برتر OWASP برای برنامههای LLM این مورد LLM01:2025 است، یعنی یک ریسک پایه برای برنامههای LLM.
در ادامه محیطهای قانونی CTF/آزمایشگاهی برای تمرین آمده است.
۱. HackAPrompt
پلتفرم رقابتی هک هوش مصنوعی: تزریق پرامپت، جیلبریک، پرومپت خصمانه، جدول امتیازات، مسیرها. در بخش پشتیبانی HackAPrompt بیش از ۱۰۰ هزار دلار جایزه اعلام شده است.
نکته منفی: قالب بیشتر مسابقهای/بازیوار است تا آزمایشگاه تست نفوذ سازمانی.
۲. Lakera Gandalf
کلاسیک برای استخراج اسرار و نشت پرامپت. هدف ساده است: وادار کردن Gandalf به افشای رمز عبور در هر سطح. سپس محافظتها سختتر میشوند و به سرعت مشخص میشود چرا یک پرامپت سیستمی مرز امنیتی نیست.
نکته منفی: بیشتر روی استخراج/نشت تمرکز دارد.
۳. PortSwigger Web Security Academy: حملات وب LLM
عملیترین گزینه اگر هدف باگ بانتی هوش مصنوعی یا تست نفوذ است. PortSwigger LLM را به عنوان بخشی از برنامه وب بررسی میکند: دسترسی به دادهها، API، فراخوانی ابزار/تابع، تزریق پرامپت غیرمستقیم، مدیریت ناامن خروجی.
نکته منفی: نیاز به زمینه امنیت وب و گاهی Burp Suite دارد. اما این بیشتر یک مزیت است اگر نمیخواهید امنیت هوش مصنوعی را به صورت جداگانه بررسی کنید.
۴. Tensor Trust
بازی حمله/دفاع: پرامپت خود را محافظت میکنید و سعی میکنید پرامپت دیگران را بشکنید. به عنوان یک محیط تحقیقاتی مفید است، اما ارسال ها ممکن است منتشر شوند، پس دادههای خصوصی را وارد نکنید.
۵. Prompt Airlines by Wiz
چلنچ (CTF) هوش مصنوعی درباره چتبات پشتیبانی مشتری یک شرکت هواپیمایی ساختگی. باید ربات را دستکاری کنید تا بلیط رایگان ساختگی بگیرید. شروع خوبی برای دور زدن منطق کسبوکار از طریق LLM است.
نکته منفی: یک سناریوی کسبوکار بدون زیرساخت عمیق.
آزمایشگاههای محلی
اصلی - AIGoat: محیط بازی متن باز برای تیم قرمز LLM که تزریق پرامپت، poisoning RAG، زنجیرههای جیلبریک و ۱۰ تهدید برتر OWASP LLM را پوشش میدهد.
مهم است که اشتباه نگیرید: چند نسخه مختلف با نام AIGoat وجود دارد:
➡️ AISecurityConsortium/AIGoat
⬅️ محیط کامل با آزمایشگاههای حمله، چالشهای CTF و دفاعهای پیشرفته.
➡️ orcasecurity-research/AIGoat
⬅️ زیرساخت هوش مصنوعی عمداً آسیبپذیر از Orca Security.
➡️ dhammon/ai-goat
⬅️ چالشهای CTF LLM آسیبپذیر محلی.
در زندگی واقعی LLM معمولاً به خودی خود خطرناک نیست، بلکه وقتی به API، دادهها و عملیات دسترسی دارد خطرناک میشود.
@TryHackBox
#هوش_مصنوعی #امنیت | 5 096 |
