securityworld

نحوه اتصال و بدست آوردن IP ماشین اضافه گردید.

🚨 اولین چالش با محوریت Splunk 🔎 در این سناریو، شما در نقش یک تحلیلگر امنیتی قرار می‌گیرید و باید با استفاده از Splunk ردپای یک مهاجم را در لاگ‌های سیستم و شبکه دنبال کنید. مهاجم ابتدا با انجام Network Reconnaissance شروع کرده، سپس با اجرای Brute Force موفق به ورود به یکی از سیستم‌ها شده است. 👀 اما داستان اینجا تمام نمی‌شود… 🔐 پس از ورود، مهاجم به Credentialها دسترسی پیدا کرده، سطح دسترسی خود را افزایش داده و در نهایت با دسترسی ادمین یک اسکریپت مخرب روی سیستم اجرا کرده است. 🎯 در این چالش باید با جستجو و تحلیل لاگ‌ها در Splunk، مراحل مختلف حمله را شناسایی کنید و زنجیره کامل حمله (Attack Chain) را از مرحله شناسایی تا اجرای اسکریپت بازسازی کنید. 🔎 آیا می‌توانید تمام سرنخ‌ها را در میان لاگ‌ها پیدا کنید؟ 💻 مهارت‌های Threat Hunting و Log Analysis خود را به چالش بکشید! 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/splunk-warm-up با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🔐 چالش WSTG‑CRYPST‑002 در این چالش با وب‌سایتی به نام GreenVault روبه‌رو می‌شوید که از یک مکانیزم قدیمی برای مدیریت Session کاربران استفاده می‌کند. توکن نشست در سمت کاربر ذخیره شده و با AES‑CBC + PKCS#7 Padding رمزنگاری می‌شود. 🔎 مواردی که باید بررسی کنید: تحلیل ساختار و رفتار Session Token بررسی نحوه Decrypt و پردازش داده‌ها در سرور ارزیابی تعامل CBC، Padding و پیام‌های خطا تلاش برای تغییر سطح دسترسی کاربر دسترسی به بخش‌های محافظت‌شده سیستم 🎯 هدف: شناسایی ضعف‌های رمزنگاری و درک عملی حملاتی مثل Padding Oracle در تست نفوذ وب. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/wstg-crypst-002 📚 ابتدا مستند مربوط به این تست را مطالعه کنید و سپس برای حل چالش وارد آزمایشگاه شوید. 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 چالش WSTG-CRYPST-001 در این سناریو باید یک وب‌سرویس را از نظر پیاده‌سازی HTTPS/TLS بررسی کنید. هدف پیدا کردن ضعف‌هایی است که معمولاً در مهاجرت ناقص از HTTP به HTTPS یا در پیکربندی TLS باقی می‌مانند. 🔎 مواردی که بررسی می‌کنید: دسترسی همزمان سرویس از طریق HTTP و HTTPS مقایسه پاسخ‌های هر دو پروتکل بررسی دامنه‌ها و ساب‌دامنه‌ها از طریق TLS Certificate تحلیل هدرهای امنیتی مثل HSTS شناسایی Mixed Content پیدا کردن مسیرهای مخفی یا APIهای داخلی 🎯 هدف نهایی: کشف ضعف‌های امنیتی در لایه انتقال و درک مشکلات رایج در پیاده‌سازی TLS در وب‌اپلیکیشن‌ها. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/wstg-crypst-001 📚 ابتدا مستند مربوط به این تست را مطالعه کنید و سپس برای حل چالش وارد آزمایشگاه شوید. 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🎖 معرفی برترین کاربر هفته - Top Challenger of Week 📊 ما در چلنجینو، هر هفته کاربری که بیشترین امتیاز را کسب کند به‌عنوان Top Challenger هفته معرفی خواهیم کرد. به‌علاوه، به عنوان پاداش، ۲۰۰ CP به اعتبار او افزوده می‌شود. 💡برای اطلاع از اینکه CP چی هست به پروفایل خود و بخش "اعتبار شما" مراجعه نمایید. 🏆 در هفته دوم خرداد ماه 1405، کاربر zerobits01 با کسب مجموع 151 امتیاز، موفق شد عنوان Top Challenger را از آن خود کند. امتیازات کسب شده توسط ایشان: 🔴 19 امتیاز برای چالش های تیم قرمز 🔵 132 امتیاز برای چالش های تیم آبی به او تبریک می‌گوییم و منتظر عملکرد درخشان سایر کاربران در هفته‌های آینده هستیم 💪 همچنین منتظر معرفی Top Challenger ماه نیز باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 چالش امنیتی PCAPass 🕵️‍♂️️️ نقش شما در این چالش به عنوان یک تحلیل‌گر امنیت شبکه می باشد و یک فایل ترافیک مشکوک به دستتان رسیده است. 📡 آیا می‌توانید از دل بسته‌های شبکه، حقیقت را بیرون بکشید؟ 🏁 فقط با طی کردن دقیق مراحل مختلف، تحلیل دقیق هر مرحله و دقت در داد های بدست آمده است که می‌توانید به Flag نهایی برسید. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/pcapass با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🛡 مجموعه چالش های Leaky ⚠️ سطح چالش: متوسط تا پیشرفته (Medium-Advanced) 🔍 اگر به دنبال چالشی هستید که مهارت‌های شما را در تست نفوذ به چالش بکشد، ماشین های Leaky یکی از بهترین گزینه‌هاست. این سناریو صرفاً یک نفوذ ساده نیست؛ بلکه یک سفر هیجان‌انگیز در میان لایه‌های مختلف امنیت است. در این چالش، با یک سناریوی نفوذ چندمرحله‌ای مواجه هستید که از شناسایی زیرساخت آغاز شده و به تحلیل دقیق ردپاهای دیجیتال منتهی می‌شود. مسیر چالش ها: 🔗 شناسایی و Enumeration پیشرفته: فراتر از اسکن‌های سطحی. 📂 تحلیل Git: تحلیل عمیق مخازن و بازیابی اطلاعاتی که تصور می‌شد برای همیشه حذف شده‌اند. 🔄 بخش Lateral Movement: عبور بین کاربران مختلف و استفاده از وابستگی‌های پروتکل‌ها (FTP, Samba, SSH). 🔑 ارتقای دسترسی: حل معماهای رمزنگاری و رسیدن به سطح نهایی (Root). 🔗 لینک چالش ها: 🌐 https://challenginno.ir/challenge/leaky 🌐 https://challenginno.ir/challenge/leaky-peaky 🌐 https://challenginno.ir/challenge/leaky-peaky-ban با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🧩 چالش Leaky 👀 در این چالش، در نگاه اول با سیستمی روبه‌رو می‌شید که سطح حمله‌ی خیلی محدودی داره و همین باعث می‌شه تمرکز اصلی از همون ابتدا روی بخش وب باشه 🔎 در بررسی اولیه سایت، چیز خاصی به چشم نمیاد؛ اما بعضی نشونه‌ها می‌گن که نباید فقط به صفحات عادی بسنده کرد و لازمه عمیق‌تر دنبال سرنخ‌ها رفت 📂 با کمی جست‌وجوی بیشتر در ساختار سایت، به بخشی می‌رسید که نشون می‌ده ردپاهایی از روند توسعه پروژه هنوز روی سرور باقی مونده 💻 در ادامه، با دنبال کردن همین سرنخ‌ها به اطلاعاتی می‌رسید که امکان دسترسی اولیه به سیستم رو فراهم می‌کنه 🎯 این ماشین، نمونه خوبی از ترکیب دقت در Enumeration، توجه به ردپاهای توسعه، و پیدا کردن مسیر درست برای Privilege Escalation هست 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/leaky با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🧩 چالش BadSigner 🌐 در این چالش، همه‌چیز از یک ضعف در بخش وب شروع می‌شه؛ جایی که دسترسی‌ای فراتر از چیزی که باید، در اختیارت قرار می‌گیره 💻 با کمی بررسی و دستکاری، این دسترسی از «فقط مشاهده» خارج می‌شه و کم‌کم به اجرای فرمان روی سرور می‌رسه. 🔎 بعد از گرفتن شل اولیه، نوبت به گشتن بین فایل‌ها و ردپاهای باقی‌مونده روی سیستم می‌رسه در مجموع، این ماشین ترکیبیه از: ضعف وب 🌐 + افشای اطلاعات 🕵️‍♂️️️ + مجوزدهی اشتباه ⚠️ + سرنخ‌های ساده اما دقیق 🎯 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/violet با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 گزارش‌های The DFIR Report در چلنجینو 🚨 🛡از این به بعد در بخش مقالات سایت چلنجینو، قصد داریم گزارش‌های تحلیلی و فنی سایت The DFIR Report رو منتشر کنیم 🔍 🔹 در دهمین گزارش رفتیم سراغ بررسی یک حمله باج افزاری با که از طریق RDP وارد شده و اقدام به آلوده کردن سیستم نموده است. ⚔️ تحلیل زنجیره حمله، تکنیک‌ها و نکات DFIR که برای تیم‌های آبی‌ و قرمز خیلی کاربردی هست. 📌 لینک گزارش: 🔗 https://challenginno.ir/blog/dfir-report-10 📈 به مرور گزارش‌های بعدی هم اضافه می‌شن، پس اگر به Threat Hunting، Incident Response و تحلیل حملات واقعی علاقه‌مندید، حتماً ما رو دنبال کنید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚀 رایت‌آپ ویدیویی: حل چالش جذاب جمع‌آوری اطلاعات از وب (Web Recon) توی این ویدیوی جدید، سراغ حل یک چالش بسیار کاربردی و جذاب رفتیم که تمرکز اصلی اون روی مبحث جمع‌آوری اطلاعات (Information Gathering) و OSINT در دنیای وب هست. 😎 اگر می‌خوای بدونی چطور می‌شه با سناریو روبرو شد، سرنخ‌ها رو کنار هم گذاشت و به اطلاعات هدف دست پیدا کرد، این ویدیو دقیقاً برای تو ساخته شده! 📌 توی این ویدیو چه چیزهایی یاد می‌گیریم؟ این چالش توسط آقای کوبانی تهیه شده است. 🌐 برای تماشای ویدیو روی لینک زیر کلیک کنید: https://www.aparat.com/v/jeht3md با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🧩 چالش BadSigner 🔐 در این چالش باید یک مسیر نفوذ چندمرحله‌ای را طی کنید 🔎 ابتدا با شناسایی سرویس‌های فعال و جستجوی مسیرهای حساس، ساختار وب‌اپلیکیشن را کشف می‌کنید. 🎫 بعد از ساخت یک حساب عادی، نوبت به تحلیل توکن احراز هویت می‌رسد؛ جایی که با دستکاری هوشمندانه‌ی کوکی، سطح دسترسی خود را به Admin ارتقا می‌دهید. 🚩 پس از ورود به پنل مدیریت، با بررسی فایل‌های پیکربندی به اطلاعات دیتابیس می‌رسید و از آنجا اولین فلگ را به‌دست می‌آورید. 🐧در ادامه، با ورود به سیستم‌عامل و شناسایی فایل‌های دارای مجوز خاص، یک فراخوانی ناامن را پیدا کرده و از آن برای رسیدن به سطح Root سوءاستفاده می‌کنید. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/badsigner با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 چالش جدید LoosBind 🐧 در چالش شما با یک سیستم Linux روبه‌رو هستید که در ظاهر فقط چند سرویس معمولی در دسترس دارد. 🔎 اما با Recon و Enumeration دقیق (بررسی پورت‌ها، سرویس‌ها و جزئیاتشان) کم‌کم سرنخ‌هایی از ساختار داخلی و نقاط ضعف احتمالی پیدا می‌کنید. 👤بعد از آن، با تحلیل وب‌سایت و انجام Enumeration روی سرویس دایرکتوری، اطلاعات ارزشمندی مثل نام کاربران، مسیرها یا داده‌هایی که برای ورود اولیه لازم است جمع‌آوری می‌شود 🗂 پس از ورود به سیستم، با بررسی ردپاهای کاربران و فایل‌های پیکربندی، متوجه افشای اطلاعات حساس یا استفاده مجدد از اعتبارنامه‌ها می‌شوید. ⚙️ در نهایت، یک پیکربندی اشتباه در مجوزهای مدیریتی پیدا می‌کنید و با سوءاستفاده از یک سرویس systemd، مسیر ارتقای دسترسی کامل شده و به سطح root می‌رسید. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/loosbind با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno

🎖 معرفی برترین کاربر هفته - Top Challenger of Week 📊 ما در چلنجینو، هر هفته کاربری که بیشترین امتیاز را کسب کند به‌عنوان Top Challenger هفته معرفی خواهیم کرد. به‌علاوه، به عنوان پاداش، ۲۰۰ CP به اعتبار او افزوده می‌شود. 💡برای اطلاع از اینکه CP چی هست به پروفایل خود و بخش "اعتبار شما" مراجعه نمایید. 🏆 در هفته اول خرداد ماه 1405، کاربر luecof با کسب مجموع 58 امتیاز، موفق شد عنوان Top Challenger را از آن خود کند. 🔵 جالبه که بدونید تمام امتیازات کسب شده توسط ایشون در این هفته، مربوط به چالش‌های آبی بوده. به او تبریک می‌گوییم و منتظر عملکرد درخشان سایر کاربران در هفته‌های آینده هستیم 💪 همچنین منتظر معرفی Top Challenger ماه نیز باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🎥 آموزش استفاده از چالش‌های دارای ماشین مجازی (VM) در بسیاری از چالش‌های پلتفرم Challenginno، فایل ماشین مجازی (Virtual Machine) برای شما فراهم شده تا بتونید محیط واقعی تمرین رو روی سیستم خودتون اجرا کنید. توی این ویدیو یاد می‌گیرید: ✅ نحوه دانلود و اجرای فایل VM ✅ تنظیمات پیشنهادی و نحوه تعامل با ماشین برای انجام چالش ✅ نحوه بدست آوردن آدرس IP ماشین مجازی ✅ آشنایی با راهنمایی های مربوط به وارد نمودن فلگ در چالش 💡 این آموزش برای افرادیست که تازه به جمع ما اضافه شدند و یا در استفاده از ماشین های مجازی با مشکل روبرو هستند. 📺 تماشای ویدیو: https://www.aparat.com/v/mxh6f5z

🚨 چالش جدید Dusty Service 🕸🖥 در اعماق شبکه، یک سرور قدیمی و فراموش‌شده پیدا شده… 🏚🔓اسم این ماشین رو گذاشتیم “Dusty Service” یا سرویس غبارآلود! چون سال‌هاست کسی بهش دست نزده و پر از حفره‌های امنیتی قدیمی و جاافتاده‌ست. آیا می‌تونی: 1️⃣ با یک اسکن دقیق، درب پشتی (Backdoor) پنهان رو پیدا کنی؟ 🔍:) 2️⃣ از اشتباهات پیکربندی سیستم استفاده کنی و به کاربر دسترسی پیدا کنی؟ 👤 3️⃣ و در نهایت با سوءاستفاده از ابزارهای سیستمی، پرچم Root رو به دست بیاری؟ 🚩👑 این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/dustyservice با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🎖 معرفی Top Challenger ماه – برترین‌های چلنجینو 📊 از این پس در چلنجینو، علاوه بر معرفی Top Challenger هفته، هر ماه نیز برترین کاربر ماه را معرفی خواهیم کرد. این کاربران براساس بیشترین امتیاز کسب شده از چالش‌ها انتخاب می‌شوند و جوایزی نیز برای آن‌ها در نظر گرفته شده است. 🏆نفر برتر و Top Challenger ماه (این ماه) این ماه، کاربر solcoteh با عملکرد فوق‌العاده توانست عنوان Top Challenger ماه را کسب کند. امتیازات کسب شده توسط ایشان: 🔵 1179 امتیاز برای چالش های تیم آبی 🔴 10 امتیاز برای چالش های تیم قرمز 🌟 به عنوان هدیه، مبلغ ۱,۳۳۷,۰۰۰ تومان تقدیم ایشان می‌شود. گرچه این مبلغ زیاد نیست، اما هدف اصلی ما تقویت مهارت‌ها، ایجاد انگیزه، رشد فردی و حرفه‌ای در حوزه امنیت سایبری است؛ نه رقابت مالی. 🌟 نحوه دریافت هدیه: از کاربران گرامی که عنوان کاربر برتر ماه را کسب می کنند، خواهشمندیم برای هماهنگی دریافت هدیه از طریق آیدی ما در پیام‌رسان «بله» با تیم پشتیبانی در ارتباط باشند. 👀 منتظر معرفی برترین‌های هفته‌ها و ماه‌های آینده باشید… 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚀 یک بخش جدید به سایت چلنجینو اضافه شد! در این بخش، استاندارد OWASP WSTG به‌صورت ساختاریافته قرار گرفته و برای هر قسمت: 🔹 توضیحات مربوط به آن بخش ارائه شده 🔹 Test Case‌های مرتبط برای بررسی همان بخش آورده شده است 🧪💻 همچنین در هر بخش، بر اساس لابراتوارهای طراحی‌شده در چلنجینو، لینک چالش مرتبط قرار داده شده تا بتوانید همان مفاهیم را به‌صورت عملی تمرین کنید. 📌 این بخش به‌صورت مستمر به‌روزرسانی خواهد شد و: تست‌کیس‌ها تکمیل‌تر می‌شوند. چالش‌های جدید اضافه می‌شوند. 🔔 هر زمان بروزرسانی جدیدی انجام شود، اطلاع‌رسانی خواهد شد. 🛡 اگر در حوزه Web Security و تست نفوذ وب فعالیت می‌کنید، این بخش می‌تواند یک مرجع کاربردی برای مطالعه و تمرین باشد. لینک صفحه آزمایشگاه OWASP - WSTG: 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🎉 تغییرات جدید چلنجینو؛ تجربه‌ای تازه و حرفه‌ای‌تر با خوشحالی اعلام می‌کنیم که قالب و ساختار سایت چلنجینو بازطراحی شده تا تجربه‌ای روان‌تر، زیباتر و قدرتمندتر در اختیار شما قرار بگیرد. علاوه بر تغییرات ظاهری، چندین قابلیت مهم نیز به سایت اضافه شده است تا مسیر یادگیری و فعالیت‌های شما شفاف‌تر و جذاب‌تر شود. ✨ مهم‌ترین تغییرات و قابلیت‌های جدید: 🎨 تغییر کامل ظاهر سایت و بهبود تجربه کاربری 👤 بازطراحی پروفایل کاربر + افزودن آمار دقیق برای مشاهده مسیر حل چالش‌ها و دسته‌بندی آن‌ها 📊 اضافه شدن بخش فعالیت‌های کاربری برای پیگیری عملکرد روزانه و تاریخچه فعالیت‌ها 🏅 بهینه‌سازی بخش مدارک و افتخارات برای نمایش بهتر دستاوردها 🔐 افزوده شدن تاریخچه امنیتی حساب کاربری جهت مشاهده رخدادهای امنیتی 🗺 افزوده شدن نقشه راه آموزشی که به مرور کامل‌تر و غنی‌تر خواهد شد ما همچنان در حال توسعه امکانات جدید هستیم و تلاش می‌کنیم تجربه‌ای حرفه‌ای‌تر و کارآمدتر برای شما ایجاد کنیم. با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno