آموزش هک و امنیت| UltraSec
81.9K subscribers
1.09K photos
164 videos
82 files
596 links
اشکان مقدس | اولترا سیکیوریتی

مرجع تخصصی هک و امنیت

تماس با ادمین :

@AmScan


دوره های هک و امنیت

Ultraamooz.com/shop

اینستاگرام

https://www.instagram.com/ultraamooz_
Download Telegram
💵 این پروژه مربوط میشه به چندین ماه پیش که یه پروژه RedTeam بود و هدف یه شخصی بود به شدت محتاط و چندین تیم روی این هدف کار کرده بودن و موفق نشده بودن ، پروژه رو ما انجام دادیم و به نتیجه رسید:) بابت این پروژه ۱۱۰ میلیون ما گرفتیم 💵

♦️ خیلی از بچه ها میترسن که هک و امنیت درآمد نداره تو گروه ها هم افرادی که خودشون درآمد و سوادی ندارن متاسفانه این حرفا رو میزنن ، در حالی که شما اگر تخصص داشته باشید و مسلط باشید قطعا درآمد خواهید داشت

🔴 اینم برای حوزه رد تیم که خیلی ها میپرسیدن :) البته ما تخفیف دادیم وگرنه قیمت پروژه حداقل ۲۰۰ میلیون بود
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2713👍1👎1
آموزش هک و امنیت| UltraSec
🔥سرفصل های دوره تست نفوذ دوربین های مداربسته : ⤵️ فصل ۱ — آشنایی با سیستم‌های نظارت تصویری (CCTV) ۱.۱ معرفی سیستم‌های نظارتی تاریخچه سیستم‌های نظارت تصویری معماری سیستم‌های CCTV ۱.۲ انواع دوربین‌ها Analog Camera HD Analog (AHD / TVI / CVI) IP Camera PTZ Camera…
🔴 کارت شبکه وايرلس با آنتن 8 دی بی هم رسید، که برای سناریو Wardriving قراره استفاده کنیم، برای دوره تست نفوذ دوربین های مداربسته

♦️ ثبت نام دوره دوربین های مداربسته تا آخر امشب برقراره
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥269
🔴 تیم هکری ترول (Troll Team) اعلام کرده که حمله هکری اخیر روی بانک صادرات کار این تیم بوده ، طبق گفته خودشون دسترسی کامل به اطلاعات بانک دارن و تهدید کردن که درصورتی که بانک صادرات این حمله رو قبول نکنه و اعلام نکنن تمامی اطلاعات و بک‌ آپ ها رو پاک میکنن


⭕️ از نظر فنی متنی که نوشته بودن درست بود اما صرفا کلمات فنی دلیلی بر درست بودن حرف این تیم نیست ، در متنی که نوشتن ادعا کردن دسترسی SYSADMIN دارن که توی متن نوشتن SYSADMIR که برای یه تیمی که ادعا حرفه ای بودن میکنه عجیبه اشتباه تایپی داشته باشن.

⭕️ تو کانالشون اعلام کرده بودن که حملات DDoS روی بانک انجام دادن از طریق IP Spoofing در لایه ۷ که توی لایه ۷ همونطور که میدونید IP Spoofing کاربرد نداره چون باید ارتباط کامل برقرار بشه


🔠 در نهایت منتظر میمونیم که این تیم اسناد دقیق تری رو ارائه کنن برای این هک که تا فردا مشخص میشه چون مهلت ۲۴ ساعته دادن


⭕️ اینا رو نگفتیم که یادمون بره چقدر تو امنیت سایبری ضعف داریم این همه نیرو خوب هست که به خاطر اینکه اهمیت نمیدن بهشون مجبور میشن مهاجرت کنن یا باگ میزنن پولشو نمیدن یا خیلی چیزای دیگه که همش باعث میشه همچین هک هایی اتفاق بیفته، هک با کسی شوخی نداره و امنیت رو نمیشه با چهار تا فایروال و سیستم امنیتی ایجاد کرد، هر چقدر اهمیت ندید به هکر ها دودش توی چشم خودتون میره :)

@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
71👍12👎3
آموزش هک و امنیت| UltraSec
🔴 تیم هکری ترول (Troll Team) اعلام کرده که حمله هکری اخیر روی بانک صادرات کار این تیم بوده ، طبق گفته خودشون دسترسی کامل به اطلاعات بانک دارن و تهدید کردن که درصورتی که بانک صادرات این حمله رو قبول نکنه و اعلام نکنن تمامی اطلاعات و بک‌ آپ ها رو پاک میکنن …
🔴 تیم هکری ترول که کلی تهدید کرده بود که توی مهلت ۲۴ ساعته تمامی اطلاعات رو پاک میکنه ، کلیپ گذاشتن با گوشی و ترموکس دارن اکسپلویت میکنن :)

💢 نکته ای که مهمه این اسکریپت تماما فیک هست به شدت مسخره هست که طرف اومده چهار تا متن با پایتون نشون میده اونم توی ترموکس و ادعا اینو داره که بانک هک کرده 😂


🔠 در نهایت اینایی که به خاطر دیده شدن هر کاری میکنن رو بزنید بلاکشون کنید و اعتبار ندید بهشون، به مرغ پخته تو دیگ اینا رو نشون بدی خنده اش می‌گیره 😂
Please open Telegram to view this post
VIEW IN TELEGRAM
😁12212👍7👎2🎉1
🌕 آسیب پذیری Prompt Injection در هوش مصنوعی Emily


🔴 یه شب در حال گشت زنی توی سایت Hackenproof.com بودم که چشمم خورد به یه سایتی که Agent هوش مصنوعی داشت به اسم Emily، شما میتونستی به عنوان کاربر سایت باهاش صحبت کنی و راجب کریپتو به شما اطلاعات میداد، برام جالب شد که تستی بزنم روی این هوش مصنوعی شروع کردم به Prompt Injection حدود دو ساعت ساختار های مختلف هوش مصنوعی رو بررسی کردم سیستم های امنیتی که داشت، اما خب نتیجه ای نگرفتم:(




🫆 داشتم نا امید میشدم که یهو دیدم بعد از اینکه پرامپ تزریق کردم هوش مصنوعی Emily شروع کرد تمامی ساختار خودشو بهم لو داد ، اینجا بود که هوش مصنوعی در برابر حمله Prompt Injection نتونست عملکرد خوبی داشته‌باشه ، اومدم و آسیب پذیری رو گزارش کردم اما..... جواب گزارش به شدت جالبه:)


👍 اگر تعداد لایک ها به ۶۰۰ تا برسه ویسش رو توی کانال قرار میدم 👍

@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍41518🔥5👎4
🌕 چطوری میشه با تکنولوژی های الان به آسیب پذیری OS Command Injection رسید؟

🔴 خیلی ها فکر میکنن  آسیب پذیری هایی مثل os command injection دیگه رخ نمیده یا خیلی کمه و به خاطر پیشرفت تکنولوژی های وب و فریمورک ها دیگه امکان نداره اینطور آسیب پذیری ها رو پیدا کنیم! اما خب این غلطه !


♦️ چیزی که مهمه اینه که به صورت مستقیم شاید ما به os command injection نرسیم اما با chain کردن و ساخت زنجیره حملات میشه بهش رسید نکته مهم اینه که آسیب پذیری ها همیشه از ورودی کاربر شروع نمیشن حالا یه مثال میزنم:


💢 یه محقق امنیتی اومده روی AWS CDK کار کرده و یه آسیب پذیری OS Command Injection پیدا کرده که روشش به شدت جالب هست زمانی که NodejsFunction برای Bundle کردن Lambda از Docker استفاده می‌کنه، AWS CDK چند فایل مثل package.json را داخل کانتینر تولید می‌کنه


🔺 برای اینکار از کلاس داخلی os command استفاده میکنه اما اینجا داده ها به صورت امن نوشته نمیشن و دستور زیر ساخته میشه:

echo '${data}' > package.json


🔺اگر داخل data یک ' وجود داشته باشه quoting شکسته میشه و Shell اون رو به عنوان یک دستور جدید تفسیر میکنه


♦️ سناریو هکر چی بوده اومده یک package منتشر کرده مثلا :
@evilcdk/helper

داخل پکیجی که منتشر کرده اینو مینویسه 👇

{
  "dependencies": {
    "lodash":
      "4.17.21' && touch /asset-input/pwned && echo '"
  }
}

کاربر پکیج رو نصب میکنه

npm install @evilcdk/helper

و بعد از اجرا بدون زدن دستور shell دستورات هکر اجرا میشه

Attacker


Malicious npm package



Victim installs package



Victim runs cdk synth



AWS CDK executes attacker command


🔴 پس متوجه شدیم که خیلی وقتا قرار نیست ما مستقیم به آسیب پذیری OS Command Injection برسیم در واقع این ترکیب کردن حملات هست که باعث میشه ما به همچین آسیب پذیری هایی برسیم

🔴 الان خیلی ها مثلا به XSS میرسن یا باگ های دیگه و اونو مستقیم گزارش میکنن در حالی که با supply chain کردن میشه آسیب پذیری رو ارتقاع داد و به دسترسی بالاتری رسید.

@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍339😁1
🔴 یکی از پروژه هایی که از دیروز درگیرش بودم و به شدت ناراحتم کرد :

🌕 یه عزیزی با من تماس گرفت و راجب این گفت که یک شخصی با خواهرش ارتباط گرفته و قول رفتن به خارج از کشور رو بهش داده، متاسفانه این دختر رو فریب میدن و خونه رو ترک میکنه و دیگه هیچ خبری ازش نداشتن


🔺 از طریق شماره هایی که ارسال کردن ما تونستیم اطلاعاتی از این اشخاص پیدا کنیم و امیدوارم که این دختر خانوم بزودی پیدا بشه و خانواده اش از نگرانی در بیان


♦️ خیلی مراقب اطرافیان خود باشید ، تیم های اینطوری زیاد هستن که کارشون قاچاق انسان هست که همه نوع سو استفاده ای از افراد فریب خورده میکنن.

@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4325😱10😁3👍2
🌕 یه موضوعی هست که چون خیلی از بچه ها بابتش پیام دادن لازمه راجبش بگم :


🔴 یه آکادمی که اسمشو ببریم نبریم فرقی نداره(RA) اومده و یه طرح راه انداخته برای بورسیه متخصصین حوزه سایبری، یک سال به صورت رایگان آموزش میدن بعدش اگر قبول بشید معرفی میشید برای بازار کار ، خب این خیلی خوبه دمشون هم گرم اما.........


🔺 اما الان حرفشون عوض شده و گفتن که کسانی که قبول نشدن باید هزینه دوره ها رو بدن نزدیک به ۲۰ میلیون، همچنین مجدد حرفشون عوض شده و گفتن که افراد رو از طریق لیدربرد انتخاب میکنن در حالی که قبلا نگفته بودن ، یعنی یه طرح به اسم بورسیه راه انداختن در حالی که هدف گرفتن پول از شرکت کننده ها بوده نه بورسیه واقعی


🔺 راجب این آکادمی خیلی ها به من پیام دادن واقعیت اینه که کسی که زیاد شو اف میکنه تبلیغ میکنه دلیلی بر خوب بودنش نیست و الان خیلی ها وقتشون رفته و بدون هیچ دلیلی میلیون ها بدهکار این آکادمی شدن در حالی که طرح بورسیه بوده :) شاید ما مفهموم بورسیه رو نمی‌فهمیم

♦️ یادتون باشه کسی که بخواد کمکی بکنه نیاز به این داستان ها و بازی ها نداره مشخصه هدف این طرح از اول فقط برای پر کردن جیب بوده نه چیز دیگه ای اونم با استفاده از بازی کلمات :) تنها راه اینکه بقیه درگیر این موارد نشن اینه که اطلاع رسانی کنید

@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26👍128
🖤 تسلیت به ایران ، واقعا خبر امروز حالمو خراب کرد 😔 به یاد سربازان ایرانشهر 🖤

#ایرانشهر
86👎3🤩2