نصيحة يوم الجمعة
بعد حماسك في مؤتمر بلاك هات، لا تتعلم CTF مباشرة بدون خلفية مُسبقة وصحيحة في مجال السايبر
تعلم الصبر وعدم الاستسلام
تعلم اساسيات الشبكات Network+
تعلم اساسيات اللينكس Linux+
تعلم اساسيات امن المعلومات Security+
تعلم القليل من البرمجة Python/php
تعلم إدارة
انتهيت ��ن مكالمة مع ولد عمره 14 سنة , امّه خايف عليه بسبب ان الولد كل شوي يقوله اخترقت وفعلت و سويت
كلمت الولد طلع يستخدم njRAT ويستخدم Torshammer ومسوي موقع wordpress ومستغل ثغرات SQL Injection , ويقول تعلمت كل هذا من اليوتيوب والشروحات
هذا لو وصل عمره 20 وش بيسوي ؟
الغرض من هذا الثريد :
حتى لو مستواك مُبتدئ تقدر تكتشف ثغرات في أضخم الشركات العالمية
الناس اللي تكتشف ثغرات و تربح مبالغ مالية او شهادات شكر وانت جالس تشوف انجازاتهم على تويتر ، ترا تقدر تصير مثلهم وافضل منهم بعد .. تابع معي
كل الأحداث في هذا الثريد كانت عبر استخدام الجوال فقط:
صممت لاب جديد لتحدي متوسط الصعوبة
المطلوب :
- فحص المنافذ
- اكتشاف الثغرة
- الوصول للـ Windows
- الوصول الى باسورد Administrator
- قراءة : local.txt
- قراءة proof.txt
Challenge Name : 🔥
Challenge IP : 82.167.218.87
صممت لاب جديد لتحدي متوسط الصعوبة
المطلوب :
- فحص المنافذ
- اكتشاف الثغرة
- الوصول للـ Windows
- الوصول الى باسورد Administrator
- قراءة : local.txt
- قراءة proof.txt
Challenge Name : 🔥
Challenge IP : 82.167.218.87
صممت لاب لتحدي خفيف وممتع
المطلوب :
- فحص المنافذ
- اكتشاف الثغرة
- الوصول للـ Windows
- رفع صلاحياتك الى Administrator
- قراءة : local.txt
- قراءة proof.txt
Challenge Name : PewPew
Challenge IP : 87.101.219.134
( أي شخص تعمق في تحليل تطبيق التيك توك راح يسهل عليه فهم هذا الثريد )
زيادة مشاهدات
زيادة مشاهدات البث
زيادة اللايكات
زيادة المتابعين
هذي كلها تعتمد على خوارزمية في التيك توك بحيث اول ما تفتح التطبيق ينتج device_id ( ثابت ) خاص فيك ويعتمد عليه في كل تحركاتك داخل التطبيق
سكربت RIPS
أحد افضل واسرع الطرق لـ تحليل واكتشاف ثغرات المواقع المبرمجة بالـ php
من خلاله تقدر تحط مسار ملفات الـ php وهو راح يفحص الأكواد داخلياً وينبهك بوجود الثغرات الأمنية مع شرح لكيفية التعامل معها
رابط السكربت :
نروح للتجربة ..
صممت لاب لتحدي جديد Linux
المستوى : 5/10
المطلوب :
- اكتشاف الثغرة code review
- الحصول على reverse shell
- رفع صلاحياتك الى root
- قراءة : local.txt
- قراءة proof.txt
Challenge Name : exit ? Or exif
Challenge IP : 82.167.218.87
هذا النوع من الهجمات يُسمى Evil Twin
- Aireplay-ng
- Access Point
- DNS/Webserver
بمعنى
- الهجوم على الشبكة المستهدفه حتى انقطاع الأنترنت
- إنشاء شبكة وهمية بنفس اسم الشبكة المستهدفة
- إنشاء صفحة وهمية للمطالبة بكلمة مرور الشبكة الرئيسية
صممت لاب لتحدي خفيف وممتع
المطلوب :
- فحص المنافذ
- اكتشاف الثغرة
- الوصول للـ Windows
- رفع صلاحياتك الى Administrator
- قراءة : local.txt
- قراءة proof.txt
Challenge Name : PewPew
Challenge IP : 87.101.219.134
ثريد يتطرق للنقاط التالية
Laravel debug mode = disclosing sensitive information
JWT public key/private key:RS256
سيناريو جديد لإختبار اختراق الأنظمة
اقرأ بهدوء فضلاً ☕️
صباح الخير للطيبين والطيبات
برمجة مشروع بسيط للتعليم
عبارة عن فايرول , وضيفته يحمي ملفات الـ PHP من بعض المخاطر الأمنية , خلوني استعرض لكم التجربة لعلها تفتح لنا آفاق جديدة ☕️
خصائص المشروع :
صباح الخير
هذا الموقع دخلت عليه قبل سنة وكان بسيط
اليوم دخلت عليه لقيت فيه كميّة كبيييرة من الدورات في مجالات البرمجة والأمن السيبراني وبشكل مرتب, أنبهرت صراحة
إذا تبي تبدأ في اي مجال, يناسبك جداً الموقع
@CoursatOrg
Simple Linux x86 Buffer Overflow
Target : ezbof application
من أفضل المواضيع اللي شفتها لشرح إستغلال ثغرة buffer overflow حتى الوصول إلى أعلى صلاحيه في السيرفر root
#buffer
#security
مشروع افوكادو - Avocado 🥑
برمجناه انا و زميلي
@yxs
قبل فترة و تم تطويره بحيث يكون ص��لح للتجربة
هو عبارة عن منصة تنتج لك ملف تنفيذي تقدر من خلاله تسحب بيانات متصفح قوقل كروم بالكامل للجهاز المُستهدف .. ويتم عرض النتائج على حسابك في المنصة
يتبع..
لي ٤ سنين ما برمجت بالـ VB .NET الحمدلله ما فقدت مهاراتي المتواضعه، سويت برنامج يتصل بمواقع الـ leak database ويسحب البيانات ويجمعها بشكل مرتب مع اضافة بعض المميزات ..
الـ .NET يحبونها جيل الطيبين 👀
هذا المقال يوضح طريقة استخدام Frida لتتبع الـ Classes و Methods المسؤولة عن عملية كشف Jailbreak في الآيفون ، الجدير بالذكر بالنسبة لي بعد البحث ، وجدت ان هذا الأمر ينطبق ايضاً على تهكير الألعاب مثل Pubg mobile وغيرها الكثير .. يتبع
في كثير مثل اخوي خالد عندهم نفس التساؤل، نصيحتي لك وان شاء الله أكون أهل للنصيحة، دائماً اعتمد على الدورات المجانية بالذات في المسارات التقنيّة كأول خطوة ..
في التغريدة الثانية بحط لك مصادر ممتازة و قويه بتفيدك في اول مرحلة لك من البرمجة الى اختبار الأختراق
>>
صممت لاب لتحدي جديد Linux
المستوى : 5/10
المطلوب :
- اكتشاف الثغرة code review
- الحصول على reverse shell
- رفع صلاحياتك الى root
- قراءة : local.txt
- قراءة proof.txt
Challenge Name : exit ? Or exif
Challenge IP : 82.167.218.87
قبل اسبوعين اختبرت CySA من compTIA ونجحت الحمدلله الموضوع مو هنا
بوسط الإختبار عمي دخل المجلس يصلي وقال بصوت عالي ( الله أكبر ) والمسؤول عن الإختبار سمعه و سكت فجأه ثم قالي Are you fine !
واضح انه قمط يحسب عمي ارهابي وبيفجر بيتنا
إجابة على بعض الأسئلة اللي في المنشن + الخاص
مجموع عدد الأسئلة : 79
سعر الإختبار تقريباً : 1300 ريال
الإختبار عبارة عن : خيارات و ثلاث إلى اربع Simulations
رفعت لكم الأسئلة آخر تحديث
شكراً
@B1231o
🤍
قبل اسبوعين اختبرت CySA من compTIA ونجحت الحمدلله الموضوع مو هنا
بوسط الإختبار عمي دخل المجلس يصلي وقال بصوت عالي ( الله أكبر ) والمسؤول عن الإختبار سمعه و سكت فجأه ثم قالي Are you fine !
واضح انه قمط يحسب عمي ارهابي وبيفجر بيتنا
صباح الخير
كتبت شرح بسيط لتجربتي في تحليل أحد الإضافات المسؤولة عن التحقق بخطوتين وتجاوز الحد المسموح ..
Bypass Multi-Factor Authentication ( MFA ) - Moodle Plugin
ايام المعسكر سويت قروب بأسم و صورة معسكر طويق للأمن السيبراني لدرجة انا حسبته القروب الرسمي لهم
وبعد ما انتهى CTF المعسكر مباشرة اطلقت دورة مدفوعة بنفس اليوم عشان تستغل كل الموجودين في القروب ( علماً ان الدورة والمدرب غير مُعتمدين في المؤسسة العامة للتدريب التقني والمهني )
اول مره بديت فيها التجارة الإلكترونية كان صافي الربح 46,000 ريال خلال شهرين فقط
هنا ادركت اني دخلت عالم جديد 🤝
اذا عندك مشروع انصحك بالتنفيذ مباشرة بدون خوف او كلل او ملل
لكل شخص يحاول يتعلم شي جديد بحياته
أنك تقول: *على الأقل حاولت* أخف وطأة على النفس من قول: *يا ليتني حاولت* وهذا معناه أن شرف المحاولة هو إكتفاء حقيقي لا مُحال .
مرحبا اصدقاء تويتر 🫱🏻🫲🏼
تحدي جديد بعنوان: piece of the puzzle
شرحته سابقًا في أحد ورش العمل مع
@EFT_SA
المطلوب: الوصول لـ اسم المستخدم وكلمة المرور الصحيحة بعد تخطي الـ Captcha، تم وضع الـ wordlists
رابط التحدي:
تقدر تحله بطريقتين
1- الطريقة المرنه
فاوتشرات خصم 100% لـ CompTIA Project+
مقدمة من
@EFT_SA
@a_alrohaimi
اتمنى يستخدمها الشخص الي محتاج لهذا الاختبار فقط عشان يستفيد منها، وكل التوفيق للجميع
————————
CMPR123F3E89
CMPR110B8B7F
CMPR15670E2D
CMPR132A3219
CMPR61793096
CMPR64815451
CMPR615B1276
CMPR1A243577
منصة Gumroad
هي منصة تقدر من خلالها تعرض منتجاتك او خدماتك بمقابل مادي, عرضت فيها بعض البرمجيات ولكن يبقى السؤال: كيف انشر منتجاتي واخلي الناس تشتريها ؟
مساء الخير
قبل فترة حملت API للرسائل النصيّة SMS بحيث اربطها في احد المنصات الي اشتغل عليها بالشركة، سويت code review وانا واثق ان شغلهم نظيف، ولاحظت للأسف انو في backdoor من 2011 موجود من ضمن الملفات، وكثير من القطاعات تتعامل معهم
يا كثر الأسئلة الي جات في بالي بس
قبل فترة مو بعيده , اكتشفت ثغرة في Bitdefender antivirus من نوع account takeover لجميع المستخدمين في نظامهم
فكرتها كانت بسيطة جداً ومضحكة
لما سويت نسيت كلمة المرور ظهر لي الـ token اللي يتم إرساله لإيميل المستخدم , بس كانت المشكلة انه يرسل ايضاً رمز مكون من 6 خانات !
كل الدورات الي تشوفها في تويتر هي بالأساس مالها قيمة ( اذا انت ما عندك النيّه للتطوير والتعليم )
مرات ندخل دورة ونقول Wow الدورة رهيبة واستفدنا كثيير !
لكن في الحقيقة الدورة عادية جداً بس انت تشوفها رهيبة ( لأنك بديت تهتم وتبحث عن المعلومة ولكن بطريقة جاهزة وسهله )
قبل لا تفتح الـ Notepad editor
فكر وش الشي اللي راح تبرمجة و أرسم المنطق البرمجي بعقلك , بعدها ابدأ في كتابة الكود البرمجي و راح تلاحظ انك بتوفر نص الوقت والجهد ✅
اخيرااا خلصت من موقعي الخاص مره مبسوطه 🤩
انتظر رسايلكم في اخر خانه بالموقع 💜🖤🧡
وهذي اول رسالة وصلتني من اختي الحلوه
#html
#css
#javascript
رابط الموقع:
اللي لفت انتباهي ان الولد ( ما عنده حدود ) وهذا النوع من الأشخاص محد راح يقدر يوقفه , وبيوصل للشي اللي يبيه مهما كان مستحيل ..
عموماً كانت مكالمة جميلة ذكرتني بالماضي , وهذا الولد صار صديقي وبكره بيركض في التقنيين كلهم اللي بتويتر ☕️
في مثل هذا الأسلوب من الحماية تقدر تستخدم كلمة ثانية غير alert وتستغل ثغرة xss
بس انا استخدمت alert باسلوب مختلف شوي لتجاوز قاعدة دالة str_replace
عمل الدالة هو استبدال كلمة alert ب فراغ
وعشان نكسر القاعدة نقدر نكتب
alalertert مرتين داخل بعض بحيث يحذف alert وحده ويترك الثانيه
أهلاً
اسلوب من اساليب الحماية هو تحديد موقع تسجيل الدخول, بحيث لو وصل المخترق لليوزر والباسورد, يجب التحقق من احداثيات تسجيل الدخول اذا كان من نفس المنشأة او مكان آخر
هذا اللي صار في التحدي, و مكان تسجيل الدخول كان احداثيات معهد الخبراء على google map