💵 این پروژه مربوط میشه به چندین ماه پیش که یه پروژه RedTeam بود و هدف یه شخصی بود به شدت محتاط و چندین تیم روی این هدف کار کرده بودن و موفق نشده بودن ، پروژه رو ما انجام دادیم و به نتیجه رسید:) بابت این پروژه ۱۱۰ میلیون ما گرفتیم 💵
♦️ خیلی از بچه ها میترسن که هک و امنیت درآمد نداره تو گروه ها هم افرادی که خودشون درآمد و سوادی ندارن متاسفانه این حرفا رو میزنن ، در حالی که شما اگر تخصص داشته باشید و مسلط باشید قطعا درآمد خواهید داشت
🔴 اینم برای حوزه رد تیم که خیلی ها میپرسیدن :) البته ما تخفیف دادیم وگرنه قیمت پروژه حداقل ۲۰۰ میلیون بود
♦️ خیلی از بچه ها میترسن که هک و امنیت درآمد نداره تو گروه ها هم افرادی که خودشون درآمد و سوادی ندارن متاسفانه این حرفا رو میزنن ، در حالی که شما اگر تخصص داشته باشید و مسلط باشید قطعا درآمد خواهید داشت
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27❤13👍1👎1
آموزش هک و امنیت| UltraSec
♦️ ثبت نام دوره دوربین های مداربسته تا آخر امشب برقراره
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26❤9
⭕️ از نظر فنی متنی که نوشته بودن درست بود اما صرفا کلمات فنی دلیلی بر درست بودن حرف این تیم نیست ، در متنی که نوشتن ادعا کردن دسترسی SYSADMIN دارن که توی متن نوشتن SYSADMIR که برای یه تیمی که ادعا حرفه ای بودن میکنه عجیبه اشتباه تایپی داشته باشن.
⭕️ تو کانالشون اعلام کرده بودن که حملات DDoS روی بانک انجام دادن از طریق IP Spoofing در لایه ۷ که توی لایه ۷ همونطور که میدونید IP Spoofing کاربرد نداره چون باید ارتباط کامل برقرار بشه
⭕️ اینا رو نگفتیم که یادمون بره چقدر تو امنیت سایبری ضعف داریم این همه نیرو خوب هست که به خاطر اینکه اهمیت نمیدن بهشون مجبور میشن مهاجرت کنن یا باگ میزنن پولشو نمیدن یا خیلی چیزای دیگه که همش باعث میشه همچین هک هایی اتفاق بیفته، هک با کسی شوخی نداره و امنیت رو نمیشه با چهار تا فایروال و سیستم امنیتی ایجاد کرد، هر چقدر اهمیت ندید به هکر ها دودش توی چشم خودتون میره :)
@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤71👍12👎3
آموزش هک و امنیت| UltraSec
♦️ ثبت نام :
https://t.me/+M3e6liJGqcAxMGE0
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8
آموزش هک و امنیت| UltraSec
💢 نکته ای که مهمه این اسکریپت تماما فیک هست به شدت مسخره هست که طرف اومده چهار تا متن با پایتون نشون میده اونم توی ترموکس و ادعا اینو داره که بانک هک کرده 😂
Please open Telegram to view this post
VIEW IN TELEGRAM
😁122❤12👍7👎2🎉1
داشتم نا امید میشدم که یهو دیدم بعد از اینکه پرامپ تزریق کردم هوش مصنوعی Emily شروع کرد تمامی ساختار خودشو بهم لو داد ، اینجا بود که هوش مصنوعی در برابر حمله Prompt Injection نتونست عملکرد خوبی داشتهباشه ، اومدم و آسیب پذیری رو گزارش کردم اما..... جواب گزارش به شدت جالبه:)
👍 اگر تعداد لایک ها به ۶۰۰ تا برسه ویسش رو توی کانال قرار میدم 👍
@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍415❤18🔥5👎4
آموزش هک و امنیت| UltraSec
♦️ موضوع هک کردن هوش مصنوعی به شدت جدیده و خیلی از مدل ها در برابر حملات آسیب پذیر هستن ، میخوام پروسه کامل کشف آسیب پذیری تا گزارش رو کامل توی ویس توضیح بدم👍
🔥135👍31❤5🎉2😁1😱1
♦️ چیزی که مهمه اینه که به صورت مستقیم شاید ما به os command injection نرسیم اما با chain کردن و ساخت زنجیره حملات میشه بهش رسید نکته مهم اینه که آسیب پذیری ها همیشه از ورودی کاربر شروع نمیشن حالا یه مثال میزنم:
💢 یه محقق امنیتی اومده روی AWS CDK کار کرده و یه آسیب پذیری OS Command Injection پیدا کرده که روشش به شدت جالب هست زمانی که NodejsFunction برای Bundle کردن Lambda از Docker استفاده میکنه، AWS CDK چند فایل مثل package.json را داخل کانتینر تولید میکنه
🔺 برای اینکار از کلاس داخلی os command استفاده میکنه اما اینجا داده ها به صورت امن نوشته نمیشن و دستور زیر ساخته میشه:
echo '${data}' > package.json
🔺اگر داخل data یک ' وجود داشته باشه quoting شکسته میشه و Shell اون رو به عنوان یک دستور جدید تفسیر میکنه
♦️ سناریو هکر چی بوده اومده یک package منتشر کرده مثلا :
@evilcdk/helper
داخل پکیجی که منتشر کرده اینو مینویسه 👇
{
"dependencies": {
"lodash":
"4.17.21' && touch /asset-input/pwned && echo '"
}
}
کاربر پکیج رو نصب میکنه
npm install @evilcdk/helper
و بعد از اجرا بدون زدن دستور shell دستورات هکر اجرا میشه
Attacker
↓
Malicious npm package
↓
Victim installs package
↓
Victim runs cdk synth
↓
AWS CDK executes attacker command
@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍33❤9😁1
🔺 از طریق شماره هایی که ارسال کردن ما تونستیم اطلاعاتی از این اشخاص پیدا کنیم و امیدوارم که این دختر خانوم بزودی پیدا بشه و خانواده اش از نگرانی در بیان
♦️ خیلی مراقب اطرافیان خود باشید ، تیم های اینطوری زیاد هستن که کارشون قاچاق انسان هست که همه نوع سو استفاده ای از افراد فریب خورده میکنن.
@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥43❤25😱10😁3👍2
🔺 اما الان حرفشون عوض شده و گفتن که کسانی که قبول نشدن باید هزینه دوره ها رو بدن نزدیک به ۲۰ میلیون، همچنین مجدد حرفشون عوض شده و گفتن که افراد رو از طریق لیدربرد انتخاب میکنن در حالی که قبلا نگفته بودن ، یعنی یه طرح به اسم بورسیه راه انداختن در حالی که هدف گرفتن پول از شرکت کننده ها بوده نه بورسیه واقعی
🔺 راجب این آکادمی خیلی ها به من پیام دادن واقعیت اینه که کسی که زیاد شو اف میکنه تبلیغ میکنه دلیلی بر خوب بودنش نیست و الان خیلی ها وقتشون رفته و بدون هیچ دلیلی میلیون ها بدهکار این آکادمی شدن در حالی که طرح بورسیه بوده :) شاید ما مفهموم بورسیه رو نمیفهمیم
♦️ یادتون باشه کسی که بخواد کمکی بکنه نیاز به این داستان ها و بازی ها نداره مشخصه هدف این طرح از اول فقط برای پر کردن جیب بوده نه چیز دیگه ای اونم با استفاده از بازی کلمات :) تنها راه اینکه بقیه درگیر این موارد نشن اینه که اطلاع رسانی کنید
@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26👍12❤8
❤86👎3🤩2