APT

رفتن به کانال در Telegram

This channel discusses: — Offensive Security — RedTeam — Malware Research — OSINT — etc Disclaimer: t.me/APT_Notes/6 Chat Link: t.me/APT_Notes_PublicChat

نمایش بیشتر

روسيا45 631 فناوری و برنامه‌ها8 841...

📈 تحلیل کانال تلگرام APT

کانال APT (@apt_notes) در بخش زبانی انگلیسی بازیگری فعال است. در حال حاضر جامعه شامل 14 658 مشترک است و جایگاه 8 841 را در دسته فناوری و برنامه‌ها و رتبه 45 631 را در منطقه روسيا دارد.

📊 شاخص‌های مخاطب و پویایی

از زمان ایجاد در невідомо، پروژه رشد سریعی داشته و 14 658 مشترک جذب کرده است.

بر اساس آخرین داده‌ها در تاریخ 12 ژوئن, 2026، کانال فعالیت پایداری دارد. در ۳۰ روز گذشته تغییر اعضا برابر 406 و در ۲۴ ساعت گذشته برابر 7 بوده و همچنان دسترسی گسترده‌ای حفظ شده است.

وضعیت تأیید: تأیید نشده
نرخ تعامل (ER): میانگین تعامل مخاطب 49.89% است و در ۲۴ ساعت نخست پس از انتشار، محتوا معمولاً N/A% واکنش نسبت به کل مشترکان کسب می‌کند.
دسترسی پست‌ها: هر پست به طور میانگین 7 313 بازدید دریافت می‌کند. در اولین روز معمولاً 0 بازدید جمع‌آوری می‌شود.
واکنش‌ها و تعامل: مخاطبان به‌طور فعال حمایت می‌کنند؛ میانگین واکنش به هر پست 20 است.

📝 توضیح و سیاست محتوایی

نویسنده این فضا را محل بیان دیدگاه‌های شخصی توصیف می‌کند:
“This channel discusses: — Offensive Security — RedTeam — Malware Research — OSINT — etc Disclaimer: t.me/APT_Notes/6 Chat Link: t.me/APT_Notes_PublicChat”

به لطف به‌روزرسانی‌های پرتکرار (آخرین داده در تاریخ 13 ژوئن, 2026)، کانال همواره به‌روز و دارای دسترسی بالاست. تحلیل‌ها نشان می‌دهد مخاطبان به‌طور فعال با محتوا تعامل دارند و آن را به نقطه اثرگذاری مهم در دسته فناوری و برنامه‌ها تبدیل کرده‌اند.

14 658

مشترکین

+724 ساعت

+1007 روز

+40630 روز

7 313

نمایش های پست

اطلاعاتی وجود ندارد24 ساعت

اطلاعاتی وجود ندارد48 ساعت

49.89%

نرخ مشارکت

اطلاعاتی وجود ندارد

پست های در روز

Ads index

beta

آرشیو پست ها

14 658

📞 Persistence on Skype for Business This article provides a tool for Red Teams helping to achieve persistence on the latest patched version of Skype for Business 2019 server using a new method. https://frycos.github.io/vulns4free/2022/09/22/skype-audit-part1.html #ad #skype #persistence #redteam

14 658

Repost from 1N73LL1G3NC3

Just another Windows Local Privilege Escalation from Service Account to System. Full details at https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/ POC: https://github.com/antonioCoco/JuicyPotatoNG

14 658

🎲 Fileless Remote PE Loading Fileless Remote PE from URI to memory with argument passing and ETW patching and NTDLL unhooking and No New Thread technique https://github.com/D1rkMtr/FilelessRemotePE #maldev #evasion #fileless #pe

14 658

🤤 LDAP Nom Nom Stuck on a network with no credentials? No worry, you can anonymously bruteforce Active Directory controllers for usernames over LDAP Pings (cLDAP) using new tool - with parallelization you'll get 10K usernames/sec. No Windows audit logs generated. Features: — Tries to autodetect DC from environment variables on domain joined machines or falls back to machine hostname FDQN DNS suffix — Reads usernames to test from stdin (default) or file — Outputs to stdout (default) or file — Parallelized (defaults to 8 connections) — Shows progressbar if you're using both input and output files https://github.com/lkarlslund/ldapnomnom #ad #ldap #userenum #tools

14 658

#meme

14 658

Azure Threat Research Matrix The purpose of the Azure Threat Research Matrix is to conceptualize the known TTP that adversaries may use against Azure https://microsoft.github.io/Azure-Threat-Research-Matrix/ #azure #ttp #blueteam

14 658

🦊 CloudFox Security firm BishopFox has open-sourced on Tuesday a new security tool named CloudFox that can find exploitable attack paths in cloud infrastructure. Blog: https://bishopfox.com/blog/introducing-cloudfox Tool: https://github.com/BishopFox/cloudfox #cloud #aws #pentest #tools

14 658

⚔️ Microsoft Teams C2 — Covert Attack Chain Utilizing GIFShell Seven different insecure design elements/vulnerabilities present in Microsoft Teams, can be leveraged by an attacker, to execute a reverse shell between an attacker and victim, where no communication is directly exchanged between an attacker and a victim, but is entirely piped through malicious GIFs sent in Teams messages, and Out of Bounds (OOB) lookups of GIFs conducted by Microsoft’s own servers. This unique C2 infrastructure can be leveraged by sophisticated threat actors to avoid detection by EDR and other network monitoring tools. Particularly in secure network environments, where Microsoft Teams might be one of a handful of allowed, trusted hosts and programs, this attack chain can be particularly devastating. https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7 #c2 #teams #gifshell #edr #redteam

14 658

Repost from Ralf Hacker Channel

Курс Red Team Ops II - Defence Evasion Tactics Основное внимание уделяется OPSEC и стратегиям обхода защиты: - создание безопасной и отказоустойчивой локальной инфраструктуры C2; - написание пользовательских инструментов для различных наступательных действий; - очистка индикаторов памяти Cobalt Strike и использование обфускации памяти; - стратегии для перечисления, выявления и использования слабых мест в технологиях ASR; - обход AV и EDR. #course #redteam #pentest

14 658

🔎 GEOINT Protip Landmark identification and pinpointing locations where an image or video was taken is a very good skill when investigating current and past events. — geohints.com — landmark.toolpie.com — brueckenweb.de/2content/suchen/suche.php #geoint #osint #tips

14 658

MSSQL Analysis Services — Coerced Authentication New technique to coerce an SMB authentication on Windows SQL Server as the machine account PoC: https://github.com/p0dalirius/MSSQL-Analysis-Coerce #ad #mssql #smb #relay

14 658

📡 NTLMv1 vs NTLMv2: Digging into an NTLM Downgrade Attack This article discusses the NTLM specifications to better understand how various aspects of the NTLM protocol function. As well as bypassing the SMB signature, relaying SMB to LDAP, and relaying NTLMv1 authentication attempts to the ADFS service. https://www.praetorian.com/blog/ntlmv1-vs-ntlmv2/ #ad #ntlm #smb #relay

14 658

⚙️ Hackers No Hashing: Randomizing API Hashes to Evade Cobalt Strike Shellcode Detection If you utilise API hashing in your malware or offensive security tooling. Try rotating your API hashes. This can have a significant impact on detection rates and improve your chances of remaining undetected by AV/EDR. Blog: https://www.huntress.com/blog/hackers-no-hashing-randomizing-api-hashes-to-evade-cobalt-strike-shellcode-detection Source: https://github.com/matthewB-huntress/APIHashReplace #maldev #evasion #hinvoke #cobaltstrike #redteam

14 658

🎭 Masky This tool does not exploit any new vulnerability and does not work by dumping the LSASS process memory. Indeed, it only takes advantage of legitimate Windows and Active Directory features (token impersonation, certificate authentication via kerberos & NT hashes retrieval via PKINIT). Blog: https://z4ksec.github.io/posts/masky-release-v0.0.3/ Source: https://github.com/Z4kSec/Masky #ad #adcs #lsass #redteam

14 658

🤖 BBOT: OSINT automation for hackers This tools is capable of executing the entire OSINT process in a single command, including subdomain enumeration, port scanning, web screenshots (with its gowitness module), vulnerability scanning (with nuclei), and much more. BBOT currently has over 50 modules and counting. Features — Recursive; — Graphing; — Modular; — Multi-Target; — Automatic Dependencies; — Smart Dictionary Attacks; — Scope Distance; — Easily Configurable via YAML. Blog: https://blog.blacklanternsecurity.com/p/bbot Source: https://github.com/blacklanternsecurity/bbot #external #recon #osint #redteam #bugbounty

14 658

😈 EDRSandBlast This is a tool written in C that weaponize a vulnerable signed driver to bypass EDR detections and LSASS protections. Multiple userland unhooking techniques are also implemented to evade userland monitoring. — User-mode (API hooking) evasion; — Kernel-mode (callbacks and ETW ThreatIntel events) evasion; — Successively tested on market-leading EDR products. https://github.com/wavestone-cdt/EDRSandblast/tree/DefCon30Release #maldev #edr #lsass #evasion #redteam

14 658

😈 EDRSandBlast: Update — User-mode (API hooking) evasion; — Kernel-mode (callbacks and ETW ThreatIntel events) evasion; — Successively tested on market-leading EDR products. https://github.com/wavestone-cdt/EDRSandblast/tree/DefCon30Release #maldev #edr #lsass #evasion #redteam

14 658

Repost from Пост Импакта

#api #params > Ничего не могу найти на сайте, может ещё что-то посмотреть? Иногда встречается сайт, на котором всего лишь несколько конечных точек. Казалось, все параметры были проверены на уязвимости, а в чек-листе отмечены любые возможные проверки на инъекции и логику. Однако, бывают уязвимости, которые не видны с первого взгляда. Например (CAPEC-460) HTTP Parameter Pollution или (CWE-472) External Control of Assumed-Immutable Web Parameter. Данные ошибки возникают из-за неожиданного поведения в функциях обработки параметров. Давайте рассмотрим первую атаку HTTP Parameter Pollution, она состоит из возможности добавления повторяющихся параметров с помощью специальных разделителей запроса. Например, у нас открыт сайт по продаже арбузов в браузере

🌐 example.com/profile.jsp?client_id=1

Для кнопки "Открыть профиль" устанавливается динамически в ответе от сервера html:

<a href="profile.jsp?client_id=1&action=view

А теперь изменим запрос добавив в него параметр и закодировав разделитель & как %26: 🌐

example.com/profile.jsp?client_id=1%26action%3Ddelete

В результате для кнопки "Открыть профиль" задаётся html:

<a href="profile.jsp?client_id=1&action=delete&action=view

При нажатии на кнопку — профиль пользователя будет удалён. Для того чтобы заставить жертву удалить свой аккаунт, нам нужно отправить ей ссылку и подождать. Это происходит, потому что Apache Tomcat 🐈 при анализе двух одинаковых параметров (action) берёт значение первого:

&action=delete&action=view

Вот так выглядит код на стороне сервера:

String client_id = request.getParameter("client_id");
GetMethod get = new GetMethod("https://example.com/profile");
get.setQueryString("client_id=" + client_id + "&action=" + action);

href_link=get.URL;

Разработчик должен был учесть такое поведение и проверить возможность внедрения параметра action в

client_id

Вообще, приоритет и процесс обработки параметров можно взять из этой таблицы ниже:

Technology/HTTP backend        | Parsing Result    | Example         |
---------------------------------------------------------------------
ASP.NET/IIS                    | All occurrences   | par1=val1,val2  |
ASP/IIS                        | All occurrences   | par1=val1,val2  |
PHP/Apache                     | Last occurrence   | par1=val2       |
JSP Servlet/Apache Tomcat      | First occurrence  | par1=val1       |
JSP Servlet/Oracle Application | First occurrence  | par1=val1       |
IBM HTTP Server                | First occurrence  | par1=val1       |

Так, для Server: Apache Tomcat будет взято значение из первого совпадения

action=delete

А для Server: Apache значение уже будет action=view — последний параметр Но не все сервера используют приоритет порядка, так, например, ASP.NET/IIS конкатенирует значения. Поэтому в случаях, когда выполнению XSS мешает санитизация или WAF, можно составить следующий payload:

example.com/search?param=<audio/n="&param="src/onerror=alert()>

В результате на странице html будет <audio n="," src/onerror=alert()> и XSS успешно сработает 💣 Помимо приоритетов, нужно также вспомнить о разделителях для параметров. Существует не только привычный & (амперсанд) и , (запятая) но и ряд других символов, тут нужно обратиться к стандартам и поискать реализации. Если открыть (rfc6570) URI Template можно найти Path-Style Parameter Обычный URL будет следующим:

example.com/users?role=admin&firstName=N

А теперь преобразуем его в вид Path-Style:

example.com/users;role=admin;firstName=N

Использование в качестве разделителя ; (точки с запятой) не повсеместно. Это приводит к различиям обработки во фреймворках и как следствие к уязвимостям, в частности, на микросервисных архитектурах: • CVE-2021-23336 — Python библиотека urllib.parse.parse_qsl не игнорирует точку с запятой. • ParseThru — Go библиотека net/url не игнорирует точку с запятой и выводит предупреждение

http: URL query contains semicolon...

Следует помнить, что уязвимость HTTP Parameter Pollution может возникать не только в URL, но и в любой части POST/GET запроса, а также в теле JSON. {"client_id":4, "client_id":17, "action":"delete"}

14 658

📌 Save the Environment Many applications appear to rely on Environment Variables such as %SYSTEMROOT% to load DLLs from protected locations. By changing these variables on process level, it is possible to let a legitimate program load arbitrary DLLs. Research: https://www.wietzebeukema.nl/blog/save-the-environment-variables Source Code: https://github.com/wietze/windows-dll-env-hijacking #maldev #dll #hijacking #environment