Try Hack Box

لینک گروه جدید ما : https://t.me/+XPV3S0tygl1lZGE0

لینک گروه ما : https://t.me/+XPV3S0tygl1lZGE0

Credential (اعتبارنامه) چیست؟ به اطلاعاتی گفته می‌شود که برای اثبات هویت (Authentication) یک کاربر یا سیستم استفاده می‌شوند. این اطلاعات معمولاً شامل ترکیبی از نام کاربری (Username) و رمز عبور (Password) یا سایر روش‌های احراز هویت مانند توکن‌ها، کلیدهای رمزنگاری یا بیومتریک (مانند اثر انگشت یا تشخیص چهره) هستند. انواع Credential 1. نام کاربری و رمز عبور:    - رایج‌ترین نوع Credential که شامل یک نام کاربری و رمز عبور مرتبط با آن است.    - مثال: Username: admin, Password: P@ssw0rd. 2. هش‌های رمز عبور:    - در سیستم‌عامل‌هایی مانند ویندوز، رمزهای عبور به صورت هش‌شده (مثلاً NTLM یا SHA1) ذخیره می‌شوند.    - مثال: NTLM Hash: 1234567890ABCDEF1234567890ABCDEF. 3. توکن‌های دسترسی (Access Tokens):    - توکن‌هایی که پس از احراز هویت موفق ایجاد می‌شوند و برای دسترسی به منابع سیستم استفاده می‌شوند. 4. کلیدهای رمزنگاری:    - کلیدهای عمومی و خصوصی که برای احراز هویت و رمزنگاری استفاده می‌شوند.    - مثال: کلیدهای SSH یا کلیدهای مورد استفاده در پروتکل TLS. 5. بیومتریک:    - اطلاعات بیومتریک مانند اثر انگشت، تشخیص چهره یا اسکن عنبیه. کاربرد Credential - ورود به سیستم: برای دسترسی به سیستم‌عامل، برنامه‌ها یا سرویس‌های آنلاین. - دسترسی به شبکه: برای اتصال به شبکه‌های محلی یا اینترنت. - احراز هویت دو مرحله‌ای (2FA): استفاده از Credential دوم (مانند کد ارسال‌شده به موبایل) برای افزایش امنیت. - دسترسی به منابع اشتراکی: مانند فایل‌ها، پایگاه‌های داده یا سرویس‌های ابری. ذخیره‌سازی Credential - در حافظه سیستم: Credential ها ممکن است در حافظه پروسس هایی مانند LSASS (در ویندوز) ذخیره شوند. - در پایگاه‌های داده: سیستم‌های مدیریت هویت (مانند Active Directory) Credential ها را در پایگاه‌های داده ذخیره می‌کنند. - در فایل‌ها: برخی برنامه‌ها Credential ها را در فایل‌های پیکربندی یا رمزنگاری‌شده ذخیره می‌کنند. خطرات مرتبط با Credential 1. سرقت Credential:    - مهاجمان می‌توانند با استفاده از ابزارهایی مانند Mimikatz، Credential ها را از حافظه سیستم استخراج کنند.    - مثال: استفاده از دستور `sekurlsa::logonpasswords` در Mimikatz. 2. حمله Brute Force:    - تلاش برای حدس زدن رمز عبور با استفاده از روش‌های brute force یا dictionary attack. 3. فیشینگ:    - فریب کاربران برای افشای Credential های خود از طریق صفحات جعلی یا ایمیل‌های فیشینگ. 4. استفاده مجدد از Credential:    - استفاده از یک Credential سرقت‌شده برای دسترسی به چندین سیستم یا سرویس. راه‌های محافظت از Credential 1. استفاده از رمزهای عبور قوی:    - رمزهای عبور باید طولانی، پیچیده و منحصر به فرد باشند. 2. فعال‌سازی احراز هویت دو مرحله‌ای (2FA):    - اضافه کردن لایه امنیتی دوم برای جلوگیری از دسترسی غیرمجاز. 3. مدیریت Credential ها:    - استفاده از ابزارهای مدیریت رمز عبور (Password Manager) برای ذخیره‌سازی امن Credential ها. 4. به‌روزرسانی سیستم‌عامل و نرم‌افزارها:    - نصب آخرین وصله‌های امنیتی برای جلوگیری از سوءاستفاده از آسیب‌پذیری‌ها. 5. آموزش کاربران:    - افزایش آگاهی کاربران درباره خطرات فیشینگ و اهمیت محافظت از Credential ها. نتیجه‌گیری Credential ها نقش حیاتی در امنیت سیستم‌ها و شبکه‌ها دارند. محافظت از آن‌ها در برابر سرقت و سوءاستفاده یکی از مهم‌ترین اقدامات امنیتی است. با رعایت بهترین روش‌های امنیتی، می‌توان از Credential ها به طور مؤثر محافظت کرد. #Credential @TryHackBox

دوستانی که دوره سکوریتی پلاس مارو میگذرونند ، ما یک گروه ایجاد کردیم که فایل تمرینی یا اگر سوالی یا مشکلی داشتید بپرسید و فایل ها رو در اختیارتون قرار بدیم اگر مایل بودید به گروه بپیوندید به ما پیام دهید لینک گروه رو ارسال کنیم برای شما : @Unique_exploitbot

دوستانی که دوره سکوریتی پلاس مارو میگذرونند ، ما یک گروه ایجاد کردیم که فایل تمرینی یا اگر سوالی یا مشکلی داشتید بپرسید و فایل ها رو در اختیارتون قرار بدیم اگر مایل بودید به گروه بپیوندید به ما پیام دهید لینک گروه رو ارسال کنیم برای شما : @Unique_exploitbot

#جلسه_دوم دوره #رایگان سکوریتی پلاس | Security + دوره Security+ یک دوره معتبر و پایه‌ای در زمینه امنیت سایبری است که توسط CompTIA ارائه می‌شود. این دوره به شما مهارت‌های لازم برای شناسایی و مدیریت تهدیدات امنیتی و مقابله با حملات، پیاده‌سازی راهکارهای امنیتی،اصول رمزنگاری و درک اصول امنیت شبکه را آموزش می‌دهد. قسمت اول :   https://youtu.be/Hn5qheOVz6Q قسمت دوم : https://youtu.be/R8Qzq0qQm3Q

انتقادی داشتید حتما اطلاع بدید، تا بتونیم آموزش با کیفیت‌تری ارائه بدیم،امیدواریم از آموزش لذت ببرید.

---------- 🆔 @TryHackBox ----------

Active Directiry , Kerberos , LDAP , Group Policy , IIS , DNS , DHCP , file server دوستان میخواستم یک دوره راجب این سرویس ها داشته باشیم ولی چون فعلا کسی توانایی انجام و رکورد یا بهتره بگیم وقتشو نداره اینم بعد از میمیکتز حتما توی فایل pdf آماده میکنم میزارم واستون .

دوستان ما برای تکمیل تیم خود از شما دعوت میکنیم به جمع ما بپیوندید . 1 . جذب مدرس برای برگزاری دوره های مختلف مثل شبکه ، لینوکس ، امنیت دفاعی و تهاجمی . 2 . عضویت در تیم ترجمه ما در خصوص کتاب ها و مقالات مختلف امنیت سایبری 3. کسانی که علاقه مند به ایجاد پادکست هستند ،از جمله پادکست های مختلف این حوزه راه ارتباطی با ما : @Unique_exploitbot

#جلسه_پنجم دوره #رایگان Network + دوره Network، به عنوان مقدماتی‌ترین دوره در زمینه آموزش شبکه، به بررسی مفاهیم بنیادی و اساسی این حوزه می‌پردازد. اگر شما هم به دنبال ورود به یکی از حوزه‌های شبکه، به ویژه CyberSecurity هستید، این دوره می‌تواند اولین و بهترین قدم شما باشد.آموزش Network+ یک دوره کاربردی و جامع است که به شما بینش عمیقی نسبت به شبکه و لایه‌های مختلف آن ارائه می‌دهد. با توجه به اهمیت روزافزون شبکه‌های کامپیوتری در دنیای امروز،هر فردی که قصد دارد وارد حوزه شبکه، امنیت شبکه یا تست نفوذ شود، باید با مفاهیم ابتدایی شبکه آشنا باشد.دوره Network+ نه تنها این مفاهیم را آموزش می‌دهد،بلکه تمام دانش و مهارت‌های لازم برای راه‌اندازی و مدیریت یک شبکه را در اختیارتان قرار می‌دهد. جلسه اول : https://youtu.be/qewzpztXL-I جلسه دوم : https://youtu.be/yJWn1PkDJ_g جلسه سوم : https://youtu.be/dex3KzoBp1A جلسه چهارم : https://youtu.be/011kxpind9o جلسه پنجم : https://youtu.be/5QUfjUwfRHc

انتقادی داشتید حتما اطلاع بدید، تا بتونیم آموزش با کیفیت‌تری ارائه بدیم،امیدواریم از آموزش لذت ببرید.

🆔 @TryHackBox

⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️ 💠 تست نفوذ را رایگان یاد بگیر . ⭕️ @TryHackBox 📖 کتاب ها و منابع Cyber Security 📚 @LibrarySecOfficial 💠 رودمپ های مختلف از جمله ردتیم بلوتیم تست نفوذ و ... ⭕️ @TryHackBoxOfficial 💠 منابع BlueTeam : ⭕️ @BlueTeamKit 💠 ابزارها و دوره های OSINT ⭕️ @OsintGit 💠 برگزاری دوره های امنیت سایبری ⭕️ @kasraone_com 💠 تمامی منابع Red Team اینجاست! 💠 آموزش توسعه بدافزار (رایگان) ⭕️ @RedTeamVillageRTV 💠 منابع CTF و رایت آپ ها و دوره های HackTheBox  : ⭕️ @PfkCTF 💠پنتست وب رو یاد بگیر ⭕️ @GitBook_s 💠 دوره های آموزشی - CVE-Exploit ⭕️ @HackTheBox_Academy 💠 برای اضافه شدن در لیست تبادلات پیام دهید : 🤖 @Unique_exploitbot ⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️⚜️

میمیکتز یکی از پرکاربردترین این ابزارهاست که اولین‌بار توسط یک برنامه‌نویس فرانسوی به نام Benjamin DELPY توسعه داده شد. این ابزار امکان دستکاری مستقیم object و پروسس ها و اجرای آن‌ها را از طریق تکنیک‌های مختلف فراهم می‌کند. میمیکتز به طور گسترده‌ای برای دور زدن مکانیزم‌های امنیتی، از جمله نرم‌افزارهای EDR (Endpoint Detection and Response و ابزارهای آنتی‌ویروس استفاده می‌شود. این ابزار دارای ویژگی‌هایی است که برای تست نفوذ و exploitation طراحی شده‌اند. ○ پروژه‌های مرتبط با میمیکتز: ■ _kekeo : Kerberos attack tool (mimlib) ■ mimidrive ○ حملات پشتیبانی شده: ■ Pass-the-Hash ■ LSASS Mini Dump ■ Pass-the-Hash (over) ■ Kerberos ■ Zero Logon ■ TGT Generation ■ Pass-the-Ticket ■ Golden Ticket ■ Silver Ticket ■ DC Sync ■ DC Shadow ■ _kekeo میمیکتز از تکنیک‌های متنوعی برای اجرا استفاده می‌کند، از جمله برخی از آن‌ها که در متااسپلویت یافت می‌شود. همچنین با ابزارهایی مانند "Kiwi" برای عملیات‌های پیشرفته سازگار است. منبع https://github.com/9STsu/Mimikatz-AllTheThings اگر موافق هستید به زبان فارسی بزاریم توی کامنت ها اعلام کنید . @TryHackBox

دوستان ما قصد داریم این داستان ها رو به صورت پادکست قرار بدیم تا راحت تر باشید گوش بدید در هرجایی که هستید و فرصت یا موقعیت خوندن نیست از علاقه مندان درخواست می شود در صورت تمایل به درست کردن پادکست در این خصوص به ما پیام دهند : @TryHackBoxStorybot

داستان واقعی... هکر Pompompurin • BreachForums به عنوان بزرگ‌ترین انجمن هکری در زمینه نشت داده‌ها شناخته می‌شد و این انجمن توسط هکرها و باج‌گیرها برای «نشت» اطلاعات استفاده می‌شد. کنور برایان فیتزپاتریک (Pompompurin) مالک و بنیان‌گذار این سایت بود. • در بهار سال ۲۰۲۳، این انجمن توسط مقامات قانونی تعطیل شد و Pompompurin که ۲۰ سال داشت، دستگیر شد. بعداً مقامات اعلام کردند که توانسته‌اند به پایگاه داده این سایت دسترسی پیدا کنند و در ژوئن، دامنه‌های BreachForums و سایت شخصی Fitzpatrick مصادره شدند. • ما یک مقاله کوتاه را ترجمه کرده‌ایم که شامل تاریخچه شکل‌گیری BreachForums و توضیح روش‌های مختلف OSINT است که مقامات قانونی برای پیدا کردن مدیر سایت و دیگر اطلاعات از آن‌ها استفاده کردند... مطالعه @TryHackBoxStory

دوستانی که دوره سکوریتی پلاس مارو میگذرونند ، ما یک گروه ایجاد کردیم که فایل تمرینی یا اگر سوالی یا مشکلی داشتید بپرسید و فایل ها رو در اختیارتون قرار بدیم اگر مایل بودید به گروه بپیوندید به ما پیام دهید لینک گروه رو ارسال کنیم برای شما : @Unique_exploitbot

#جلسه_اول دوره #رایگان سکوریتی پلاس | Security + دوره Security+ یک دوره معتبر و پایه‌ای در زمینه امنیت سایبری است که توسط CompTIA ارائه می‌شود. این دوره به شما مهارت‌های لازم برای شناسایی و مدیریت تهدیدات امنیتی و مقابله با حملات، پیاده‌سازی راهکارهای امنیتی،اصول رمزنگاری و درک اصول امنیت شبکه را آموزش می‌دهد. قسمت اول :   https://youtu.be/Hn5qheOVz6Q

انتقادی داشتید حتما اطلاع بدید، تا بتونیم آموزش با کیفیت‌تری ارائه بدیم،امیدواریم از آموزش لذت ببرید.

---------- 🆔 @TryHackBox ----------

🧩 DetectIQ این پلتفرم مبتنی بر هوش مصنوعی به مدیریت قوانین امنیتی کمک می‌کند و امکان ایجاد، تحلیل و بهینه‌سازی قوانین تشخیص را در سیستم‌های امنیتی مختلف فراهم می‌سازد. هدف اصلی DetectIQ بهبود کارایی و دقت در مدیریت قوانین امنیتی است. با استفاده از این پلتفرم، تیم‌های امنیتی می‌توانند به‌سرعت قوانین جدیدی ایجاد کرده، قوانین موجود را تحلیل کنند و آن‌ها را برای بهبود تشخیص تهدیدات بهینه‌سازی نمایند. ➡️https://github.com/slincoln-aiq/DetectIQ?tab=readme-ov-file تیم سورین

#جلسه_اول دوره #رایگان سکوریتی پلاس | Security + دوره Security+ یک دوره معتبر و پایه‌ای در زمینه امنیت سایبری است که توسط CompTIA ارائه می‌شود. این دوره به شما مهارت‌های لازم برای شناسایی و مدیریت تهدیدات امنیتی و مقابله با حملات، پیاده‌سازی راهکارهای امنیتی،اصول رمزنگاری و درک اصول امنیت شبکه را آموزش می‌دهد. معرفی دوره : https://youtu.be/4jKmZnOtp5c قسمت اول : به زودی تا ساعتی دیگر در یوتیوب

انتقادی داشتید حتما اطلاع بدید، تا بتونیم آموزش با کیفیت‌تری ارائه بدیم،امیدواریم از آموزش لذت ببرید.

---------- 🆔 @TryHackBox ----------