Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
Try Hack Box
Відкрити в Telegram
1 Nov 2020 1399/08/11 آموزش تست نفوذ و ردتیم https://linkedin.com/company/tryhackbox-org/ یوتیوب https://youtube.com/@tryhackbox کانال ها : @TryHackBoxOfficial ( نقشه راه ) @TryHackBoxStory ( اخبار و داستانهای هک ) پشتیبانی : @ThbxSupport
Показати більше6 215
Підписники
-724 години
+47 днів
+5730 день
Архів дописів
6 216
به زودی آموزش هایی در خصوص اسکن عمیق
و دسترسی اولیه خواهیم داشت .
اگر مشکلی پیش نیاد آموزش های تئوری و عملی محور راجب این موضوع خواهیم داشت .
این آموزش را با هشتگ زیر دنبال کنید :
#DSIA
6 216
به زودی آموزش هایی در خصوص اسکن عمیق
و دسترسی اولیه خواهیم داشت .
اگر مشکلی پیش نیاد آموزش های تئوری و عملی محور راجب این موضوع خواهیم داشت .
این آموزش را با هشتگ زیر دنبال کنید :
#DSIA
6 216
Repost from P.F.K Security
https://aadapt.mitre.org/
MITRE AADAPT™
(اقدامات مخرب در فناوری های پرداخت دارایی دیجیتال) یک پایگاه دانش جامع است که تاکتیک ها و تکنیک های مهاجمان علیه سامانه های مدیریت دارایی دیجیتال را بر اساس حملات واقعی، مشاهدات و آسیب پذیری ها مستند میکند.
ساختار AADAPT مشابه فریم ورک معروف MITRE ATT&CK طراحی شده و تاکتیک ها و تکنیک هایش مکمل ATT&CK هستند.
در ماتریس AADAPT، هر ستون نمایانگر یک تاکتیک حمله است و تکنیک های مرتبط با دارایی دیجیتال زیر هر تاکتیک قرار دارند. مواردی که با نماد & مشخص شده اند، تکنیک ها یا زیرتکنیک های ATT&CK هستند که در زمینه دارایی دیجیتال نیز کاربرد دارند و جزئیات این ارتباط در ضمیمه های AADAPT توضیح داده شده است. با کلیک روی هر مورد، میتوانید توضیحات بیشتری بخوانید یا از طریق نوار بالا، تاکتیک ها و تکنیک های AADAPT را مرور کنید.
@PfkSecurity
6 216
⭕️ دیگر کانال ها و شبکه های اجتماعی ما را دنبال کنید :
💠 کانال های تلگرام ما
🔶 آموزش تست نفوذ و Red Team
🆔 @TryHackBox
🔶 رودمپ های مختلف
🆔 @TryHackBoxOfficial
🔶 داستان های هک
🆔 @TryHackBoxStory
🔶 آموزش برنامه نویسی
🆔 @TryCodeBox
🔶 رادیو زیروپاد ( پادکست ها )
🆔 @RadioZeroPod
🔶 کانال PFKSecurity از جمله پوشش APT , CVE , Exploit و موارد دیگر :
🆔 @PfkSecurity
➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
👥 گروه های پرسش و پاسخ
🔷 هک و امنیت
🆔 @TryHackBoxGroup
🔷 برنامه نویسی
🆔 @TryCodeBoxGroup
➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
🔴 اینستاگرام :
🔗 http://www.instagram.com/TryHackBox
🔵 یوتیوب :
🔗 https://youtube.com/@tryhackbox
🟠 گیت هاب ما :
🔗 https://github.com/TryHackBox/
6 216
🔖 TryHackMe Course - Pre Security | قسمت 00
💢 قسمت ۰۰ – معرفی دوره TryHackMe
🔴 درود به همه علاقهمندان امنیت سایبری!
در این مسیر آموزشی، ما قدم به قدم با استفاده از محتوای رسمی سایت TryHackMe پیش میرویم؛ یک پلتفرم آموزشی معتبر و بسیار کاربردی در حوزه هک اخلاقی و امنیت سایبری.
تمام مفاهیم و چالشهایی که در این دوره میبینید دقیقاً مطابق با آنچه در سایت TryHackMe ارائه شده است، طراحی شدهاند.
هدف ما این است که با تمرین و آموزش عملی روی محیطهای واقعی و چالشهای کاربردی، مهارتهای شما را در زمینه امنیت سایبری به شکل چشمگیری ارتقا دهیم.
پس اگر آمادهاید، همراه ما باشید تا این مسیر جذاب را با هم طی کنیم و قدم در دنیای حرفهای امنیت سایبری بگذاریم!
📌 برای دیدن ویدئو روی لینک زیر کلیک کنید :
🧩 https://youtu.be/jvSC8GJ3MWQ?si=0EE3mKY4CQtXlSEF
➖➖➖➖➖➖➖➖
🆔 @TryHackBox
6 216
🔖 آسیب پذیری تصاحب حساب (Account Takeover) که بیش از ۴۰۰ هزار نصب را تحت تأثیر قرار داده بود، در افزونه Post SMTP برطرف شد.
افزونه Post SMTP که بیش از ۴۰۰ هزار نصب دارد، یک افزونه ارسال ایمیل برای وردپرس است. این افزونه به مدیران سایت اجازه میدهد سرویس های ایمیل سفارشی را تنظیم کنند و ابزارهایی مثل لاگ برداری ایمیل، اعتبارسنجی DNS و پشتیبانی از OAuth را برای راحت تر کردن ارسال ایمیل در وردپرس ارائه میدهد. توسعه دهنده این افزونه از تیم WPExperts است.
@TryHackBox
6 216
🔖 اینبار درباره ی Adaptive Authentication Explained بخوانید ...
روشهای احراز هویت رایج مانند رمزهای عبور و پینها به اعتبارهای ثابت وابسته هستند که آنها را در برابر حملاتی مانند پر کردن اعتبار (credential stuffing)، فیشینگ و حملات بروتفورس آسیبپذیر میکند. از آنجا که این روشها به حملات بروتفورس و خطاهای کاربری حساس هستند، عوامل احراز هویت اضافی (برای مثال، رمزهای عبور یکبارمصرف از برنامههای احراز هویت) و اعتبارسنجیها برای مقابله با تهدیدات مدرن مرتبط با حسابها ظهور کردهاند.
@TryHackBox
6 216
دوستان، آمادهاید پا به دنیای واقعی هک اخلاقی بذاریم؟
قراره مسیر آموزشی TryHackMe رو با هم شروع کنیم!
نظرتون چیه؟ میخواید همراه ما این چالشها و تمرینهای جذاب رو تجربه کنید؟
6 216
دوستان، آمادهاید پا به دنیای واقعی هک اخلاقی بذاریم؟
قراره مسیر آموزشی TryHackMe Plus رو با هم شروع کنیم!
نظرتون چیه؟ میخواید همراه ما این چالشها و تمرینهای جذاب رو تجربه کنید؟
6 216
🎯 واقعاً چطور باید امنیت سایبری رو یاد گرفت؟
✅ دیدن دورههای ویدیویی، گذروندن دورههای امنیتی مختلف، مطالعه کتابهای حوزه امنیت لازم هست ...
اما کافی نیست.
🧠 توی دنیای واقعی، وقتی با یک سیستم نفوذ شده روبهرو میشی یا می خوای تست نفوذ انجام بدی، ویدیویی پخش نمیشه که بگه "الان باید چه کار کنی"!
🔍 باید بتونی فکر کنی، تحلیل کنی، و توی لحظات مهم تصمیم درست بگیری.
و این فقط با تمرین روی سناریوهای واقعی و حل چالشهای عملی بهدست میاد — دقیقاً مثل یاد گرفتن رانندگی، با خوندن کتاب راننده نمیشی!
👨💻 الان منابع زیادی هستن که چالشهای امنیتی و حل چالش امنیتی در اختیارت میذارن. نمونه هایی مثل HackTheBox رو بررسی کن.
از همین لحظه میتونی شروع کنی فقط کافیه یه جست و جوی ساده انجام بدی.
6 216
🔖 نگاهی به آموزش های قبل :
🟢 کنترل دسترسی مبتنی بر ویژگی (ABAC) چیست؟
⚪️ لیست جامع از همه پلتفرمهای باگبانتی
🔴 JSON Code Cheatsheet (in cybersecurity terms)
🟢 هوش مصنوعی و مهندسی اجتماعی
⚪️ ماژول 01 از اسلایدهای دوره CEHv13
بخش هوشمصنوعی
🔴 مقدمه ای بر گوگل هکینگ
🟢 مقاله Agentic Ai
⚪️ مقاله AI SIEM
🔴 فرآیند بوت لینوکس به زبان ساده
🟢 50 اصطلاح مهم دنیای امنیت سایبری که در 2025 باید بلد باشید!
⚪️ برترین روشهای احراز هویت برای دسترسی امن
🔴 راهنمای جامع John the Ripper
🟢 چگونه یک فریم ورک C2 انتخاب کنیم ؟
⚪️ دسترسی شبکه با (Zero Trust (ZTNA
🔴 کنترل دسترسی چیست؟
🟢 عملگرهای پیشرفته جستجوی گوگل - سرفصل های گوگل هکینگ
6 216
🔍 عملگرهای پیشرفته جستجوی گوگل - سرفصل های کتاب گوگل هکینگ
گوگل هکینگ (Google Hacking) یعنی استفاده از جستجوی پیشرفته گوگل برای پیدا کردن اطلاعات حساس، آسیبپذیریها یا اشتباهات امنیتی وبسایتها و سرورها، این کار معمولا با استفاده از ( دورک یا Google Dork ) انجام میشود . مثلا میتوان فایلهای مخفی، پسوردها، تنظیمات ناامن و حتی سورسکدها را داخل وب پیدا کرد یا نسخههای آسیبپذیر نرمافزارها را شناسایی کرد.
این تکنیک یکی از روشهای محبوب جمعآوری اطلاعات برای تست نفوذ، ردتیم و حتی هکرهاست.
ما را به دوستانتان معرفی کنید .
#GoogleHacking
@TryHackBox
6 216
🔖 مروری بر آموزش های گذشته کانال :
🔴 آموزش Proxies (پارت 0)
🔴 آموزش Proxies (پارت 1)
🔴 تفاوت Proxy و Gateway در یک نگاه
🔴 آموزش Proxies (پارت 3)
🔴 آموزش Proxies (پارت 4)
🔴 آموزش Proxies (پارت 5)
🔴 آموزش Proxies (پارت 6)
🔴 پایان بخش مقدماتی آموزش پراکسی
#Proxies
@TryHackBox
6 216
🔖 کنترل دسترسی چیست؟
📌 کنترل دسترسی در امنیت SaaS به روشها و سیاستهایی اشاره دارد که برای تنظیم دسترسی کاربران به برنامههای SaaS و دادههای مرتبط با آنها پیادهسازی میشوند.این فرآیند شامل مدیریت مجوزها، نقشها و مکانیسمهای احراز هویت است تا اطمینان حاصل شود که تنها افراد مجاز و حسابهای غیرانسانی (مانند سرویسها) که مجوز دارند میتوانند به پلتفرم SaaS و منابع آن دسترسی پیدا کنند.
«کنترل دسترسی در امنیت SaaS معمولاً از تکنیکهایی مانند احراز هویت چندعاملی (MFA)، کنترل دسترسی مبتنی بر نقش (RBAC) و تنظیمات دقیق مجوزها استفاده میکند تا ریسکهای مرتبط با دسترسی غیرمجاز، نقض دادهها و تهدیدات داخلی را کاهش دهد.با پیادهسازی مؤثر اقدامات کنترل دسترسی، سازمانها میتوانند از دادههای حساس خود محافظت کرده و انطباق با الزامات نظارتی را در محیط SaaS حفظ کنند.
@TryHackBox
6 216
🔖 دسترسی شبکه با Zero Trust (ZTNA) که گاهی محیط نرمافزارمحور (SDP) نامیده میشود یک راهکار فناوری اطلاعات با مدل انطباقپذیر است. این سیستم از تمام کاربران (داخل/خارج شبکه) میخواهد پیش از دسترسی به دادهها و برنامهها، احراز هویت، مجوزدهی و اعتبارسنجی مستمر امنیتی شوند. دسترسی در این مدل صرفاً بر اساس اصل حداقل حقوق لازم و مطابق سیاستهای کنترل دسترسی سازمان اعطا میگردد.
@TryHackBox
6 216
🔖 چگونه یک فریم ورک C2 انتخاب کنیم ؟
پس از اتمام این کتاب، ممکن است سوالاتی براتون پیش بیاد و امیدواریم یکی از آنها این باشد: «چگونه بدونم کدوم فریم ورک C2 رو برای عملیاتهای تیم قرمز خود انتخاب کنم؟» پاسخ درست یا غلطی برای این سوال وجود ندارد، فقط چند سوال کلی که ابتدا باید به آنها پاسخ بدید :
اهداف شما چیست؟
آیا بودجهای دارید؟
آیا به چیزی بسیار قابل تنظیم نیاز دارید؟
آیا از Evasion آنتیویروسهای آماده (Off-the-shelf AV Evasion) ضروری است؟
آیا نیاز دارید که بتوانید ماژولها/اسکریپتهای خودتان را ایجاد کنید؟
آیا گزارشگیری داخلی برای شما ضروری است؟
سپس باید این اطلاعات را به فایل xlsx گسترده C2 Matrix ببرید و انتخاب خود را بر اساس سوالات بالا محدود کنید. اگر یک فریم ورک C2 پریمیوم پیدا کردید که معیارهای شما را برآورده میکند، به شدت توصیه میشود که درخواست یک نسخه آزمایشی/ارزیابی کنید تا ببینید آیا آن فریم ورک C2 برای شما بهترین گزینه است یا خیر.
مطالب بخشی از کتاب ردتیم ما که در حال آماده شدن است .
@TryHackBox | #RedTeam
6 216
👂 به نجواها گوش دهید: حملات زمانبندی وب که واقعاً کار میکنند
جیمز کتِل بالاخره گزارشی درباره موضوع تحقیق خود ارائه داد که مربوط به مفاهیم جدید حملات است. این حملات امکان کشف اسرار سرور، از جمله پیکربندیهای نادرست ،مسیرهای مخفی به مناطق ممنوعه و حوزه وسیعی از سطوح نامرئی حمله را فراهم میکنند.
https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work
#bugbounty #research
@TryHackBox
6 216
Rule-Based سفارشی در John the Ripper
یکی از ویژگی های جالب این ابزار ساخت rule های سفارشی برای حملات هستش که در ادامه بررسی می کنیم
KoreLogic
جان یه فایل پیکربندی داره که یه سری مجموعه قوانین توش تعریف شده. این فایل معمولا تو مسیرهای زیر قرار داره:
/etc/john/john.conf
یا
/opt/john/john.conf
برای دیدن لیست قوانین موجود میتونید از این کامند استفاده کنید :
cat /etc/john/john.conf | grep "List.Rules:" | cut -d"." -f3 | cut -d":" -f2 | cut -d"]" -f1 | awk NF
حالا چجوری می تونیم Rule سفارشی بسازیم؟
قوانین رو با فرمت زیر تعریف میکنیم:
[List.Rules:<نام_قانون>]
مثال:
[List.Rules:PoloPassword]
cAz"[0-9] [!£$%@]"
در مثال بالا
✅ c → اولین حرف رو به حروف بزرگ تبدیل میکنه
✅ Az → پسوند اضافه میکنه (append)
✅ "[0-9]" → عدد ۰ تا ۹
✅ "[!£$%@]" → یکی از این نمادها رو در ادامه اضافه میکنه
پس مثلاً اگه کلمه polopassword توی wordlist باشه، این Rule میتونه پسوردهای مثل این رو تولید کنه:
Polopassword1!
Polopassword3£
Polopassword9%
...
توضیح انواع پترن ها در ساخت Rule اختصاصی :
[0-9] اعداد ۰ تا ۹
[A-Z] حروف بزرگ
[a-z] حروف کوچک
[A-z] حروف بزرگ و کوچک
[!£$%@] نمادهای خاص
[a] فقط حرف a
[0] فقط عدد ۰
بعد از ساخت Rule دلخواه، با کامند زیر می تونیم ازش استفاده کنیم :
john --wordlist=wordlist.txt --rules=PoloPassword hashes.txt
نویسنده
@TryHackBox | arian seyed momen
