Sorna

سلام خسته نباشید ممنون از مطلب خوبتون دراصل این بکدور نیستش ، این ریست پسورد ویندوز هست که فقط رو ویندوز سون هم نیست رو تمام نسخه هایی که دارای Utilman در قسمت User Login ویندوز هستند وجود داره . و من موضوع ایجاد شده رو کامل خوندم متوجه یک سری اشتباهات هم شدم : برای جابه جایی لازم نیست که شما کامند ویندوز رو از مسیر مورد نظر باز کنید ، کافیه بوت انجام بشه و برید توی X-Source Command و با دستور Ren و نه Rename اقدام به جابه جایی این دوتا فایل کنید و حتی رمز رو هم دور بزنید ! در نهایت هم باید بگم بخواید از Insecure File Permissions هم استفاده بکنید یکسری قواعد داره شما اومدید مجوز دادید به فایل ولی آیا این مجوز رو اجازه دارید بدید به فایل ؟ و یا یه همچین چیزی ... اگر خودش از قبل F ACC اون یه چیزه ولی اینکه بیاید بهش دسترسی بدید هم یه چیز که همیشه این اتقاق نمیوفته برای همین هم این دوستمون دسترسی نداره که کاری انجام بده پس دقت کنید 🌹

سلام و خسته نباشید خدمت همه دوستان عزیز ، آرین چهرقانی هستم و امروز میخوام بر خلاف موضوعاتی که قبلا ایجاد میکردم بعد از گذشت 2 ماه یا بیشتر یه داستان جذاب تعریف کنم باید بگم این داستان نمونه نداره و تا آخرش برید متوجه فرقش میشید قطعا قضیه برمیگرده به 4 سال پیش زمانی که داشتم توی لینوکس برای یک گوشی اندروید پیلود میساختم تا از اون گوشی دسترسی بگیرم ، سال ها قبل تر از اون زمانی که وارد وب حوزه وب هکینگ نشده بودم من هر پیلودی که با لینوکس میساختم یا مینوشتم حتی هیچ آنتی ویروسی بهش گیر نمیداد پیشرفت هایی تو امنیت وجود داشت و باید یه جوری جلوی مارو میگرفتن یه چالشی باید میومد این وسط قطعا شما تجربه دارید خودتون و میدونید که اون چیزایی که 1 درصد امنیت نداشتن الان به یک چالش برای هکر ها تبدیل شدند . و چالش من از اونجا شروع شد مقابله با یک انتی ویروس و دورزدنش ! تا اون زمان هیچ مشکلی نداشتم و وقتی که این مشکل پیش اومد تصمیم گرفتم که یه کاری بکنم چون واقعا جلوی کارم رو گرفته بود ! برای همین یه عالمه جست و جو کردم تو گوگل هیچی نبود ! هیچی نبود که برم بخونم فقط یکسری انجمن بودن که راهکاراشون برای من جوابگو نبود . بدون فکر کردن به راه هایی مثل بایند بسته مخرب خودم با یک برنامه سالم با خودم گفتم خب اقا بزار اصلا ببینم مکانیزم این گوگل پلی برای شناختن برنامه های مخرب چیه که من هرکاری میکنم نمیشه دورش زد برای همین رفتم سرچ کردم در این باره از این بپرس ، از اون بپرس بازم جوابی نگرفتم ! تقریبا نا امید شده بودم یکسری ها بودن که با همین تغییر امضا درامد داشتند ( میگفتن رت برای دورزدن گوگل پلی یه مبلغی هم میگرفتن : ) اینا بودن و منم داشتم میگشتم و میگشتم تا اینکه به یک آدرسی رسیدمم .... این آدرس : https://developer.android.com/google/play/requirements/target-sdk اومدم خوندم دیدم یه چیزی نوشته ( هر نسخه جدید اندروید تغییراتی ایجاد میکنه که باعث بهبود عملکرد و امنیت دستگاه میشه که برنامه پشتبانی خودش رو از طریق 'TsrgetSdkVersion' اعلام میکنه ) با خودم گفتم خدایا این داره خود اندروید رو میگه چی رو میگه با خودم گفتم بزار تو لیست برنامه های گوشیم یه برنامه رو بیارم و ورژن رو ادیت کنم ببینم چی میشه ، نهایت نصب نمیشه و دستگاه نمیزاره که نصب کنم .دیدم نه مشکلی نداشت برنامه هم رو گوشی نصب شد ، گفتم اگر منظورش این نیست پس چیه گیج شده بودم و گفتم این به کارم نمیاد ولی دیدم یه جا نوشته امنیت !! خب گفتم بزار بیام این سری اینو رو پیلود که هی بهش گیر میده تست کنم ببینم چی میشه دیگه ضرری که نداره ... اومدم تست کردم دیدم عجبا آنتی ویروس نمیتونه اینو شناسایی کنه ( بنظر میومد که با تغییر این ورژن آنتی ویروس کلا دایورت میشد : تو این لینک میتونید بخونید ) اینو من میدونستم ... تا همین پارسال ، طی این سال ها یه عالمه روش اومد برای دورزدن این آنتی ویروس مثل امضا ، بایند کردن ، و هزار و یک روش دیگه که به سادگی این نمیشن اما باید اشاره کنم که سالهاست یکسری واسط مثل Spynote , Spymax و بقیه موارد هرسال میان میگن که ما با یک روش خاص انتی ویروس ها رو دور میزنیم و از این راه پول در میارن ، که باید بگم همش کلاهبرداری و چرت و پرت هست . تا اینجا رسیدم گفتم بزار حالا اکسپلویتش رو بدیم بیرون بقیه هم استفاده کنن : ) برای همین توی سایت packetstormsecurity اینو ثبت کردم و شما میتونید از طریق این لینک بهش دسترسی داشته باشید در نهایت این اسیب پذیری بعد از گذشت چند سال منتشر شد حتی زمانی که راه های دیگه ای هم برای دورزدن این انتی ویروس بود . همه چیز اینجا تموم نشد و گفتم برای تنوع یه حالی بدیم به گوگل که برنامه های هانت رو بررسی کردم bughunters داشت خود گوگل روی برنامه Google Vrp تقریبا 1 سال با گوگل در ارتباط بودم ، وقتی فهمیدن قضیه چی هست 3 بار پشت سر هم به من ایمیل دادن که جزئیات بیشتری رو بهشون بدم همونطور که توی تصوی میبنید باگی که گزارش دادم تریاژ شد و بعد از پاسخ دادن به گوگل تو این مرحله : اکسپت شد 👇 امیدوارم از این داستان خوشتون اومده باشه و اخر این موضوع میخواستم بگم که خارج از جعبه نگاه کنید "خدانگهدار" با تشکر از گروه امنیتی ایران سایبر و دوستان عزیزم ❤️

سلام و خسته نباشید خدمت تمامی دوستان عزیز ، آرین چهرقانی هستم با بررسی آسیب پذیری کشف شده از روتر های Seowon-SLR-120 مبین نت . قبل از هر چیزی باید بگم خدارو شکر خودم از مشتری های مبین نت نیستم😂 اسیب پذیری که الان میخوام راجبش یه توضیح خیلی کوتاه بدم یه RCE از تمام نسخه های این محصول هست که روی تمامی شناسه های این روتر ثبت شده ، همچنین این اسیب پذیری با شناسه : CVE-2020-17456 ثبت شده ولی براش بهره برداری نبود تا الان که من ثبت کردم .. خب داریم میگیم RCE ولی از چه نوع @_@ از نوع بدون احرازهویتش 😃 یعنی چی : شما میرید توی فرم لاگین میکنید و اون باگ وجود داره شما کد از راه دور اجرا میکنید ، ولی اینجا نیاز نیست که اون لاگین رو هم بزنید فقط کافیه ip روتر رو داشته باشید وپورتش رو البته اگر پورت خاصی باز کرده باشن .. حالا من زیاد نمیرم تو جزئیات قبلا یک بهره برداری برای Seowon 130-SLC router ثبت کردم تو فرم ایران سایبر شما میتونید برید اونجا حالا یه مطالعه ای اونجا داشته باشید ... همینطوری که توی تصویر میبینید فقط با دادن ایپی و پورت به اسکریپت شروع به اجرای کد از راه دور توی روتر با کاربری ( root ) کردم 😃 در نهایت اینو بردم ثبتش کردم شما میتونید با این لینک بهش دسترسی داشته باشید : https://www.exploit-db.com/exploits/50821 ( فیلمش رو هم پیوست میکنم ) با تشکر از گروه امنیتی ایران سایبر و دوستان عزیزم 🌹

به نام خداوند بخشنده مهربان سلام و خسته نباشید خدمت دوستان عزیز ، آرین چهرقانی هستم امروز با بررسی آسیب پذیری " Cross-Origin Resource Sharing " از سایت مموری لیکس ما اینجا قصد داریم که بیایم یه توضیحی ابتدا راجب این آسیب پذیری بدیم ، بعدش بریم سراغ فیلم مربوط و تستی که گرفته شده و نتیجه ای که دریافت شده . برای سرعت بخشیدن در کارم از جاهای مختلفی متن ها رو کپی میکنم که هم شما روان تر بخونید هم من راحت تر باشم . آسیب پذیری CROS چیست : ( تعریف کلی ) آسیب پذیری CORS که مخفف عبارت Cross-origin resource sharing است یکی از اسیب پذیری های خطرناک است ، به این منظور که نفوذگر می‌تواند اطلاعات مختلف و حساس مانند session ها و خیلی اطلاعات حساس دیگر را به دست اورد؛ این اسیب پذیری که بر روی مبحث مرورگرهای مدرن اتفاق خواهد افتاد ارتباط زیادی با SOP ها دارد که در ادامه مبحث SOP را بررسی خواهیم کرد برنامه وب نمی تواند به درستی هدر مبدا را تأیید کند هدر Access-Control-Allow-Credentials: True را برمی گرداند.در این پیکربندی، هر وب‌سایتی می‌تواند درخواست‌هایی را که با اعتبار کاربر ارسال شده است صادر کند و پاسخ‌های این درخواست‌ها را بخواند. اعتماد به منابع دلخواه عملاً خط مشی مبدأ یکسان را غیرفعال می کند و امکان تعامل دو طرفه توسط وب سایت های شخص ثالث را فراهم می کند. * این توضیحات خیلی خلاصه هست شما میتونید با یه سرچ ساده کامل راجب این اسیب پذیری بخونید و یادش بگیرید ، مرورش کنید یا هرچی . * اگر فرصت شد بیشتر زوم میکنیم سر این آسیب پذیری یعنی در مطالب بعدی بیشتر راجبش صحبت میکنیم . خب ابتدا یک درخواست شیک و مجلسی میفرستم سمت سایت : curl https://memoryleaks.ir/wp-json -H "Origin: https://www.google.com" -I اینجا اون چیزایی که ما میخوایم رو بهمون میده ؛ اون چیزا چی هستن ؟ Access-Control-Allow-Origin: https://www.google.com Access-Control-Allow-Methods: OPTIONS, GET, POST, PUT, PATCH, DELETE Access-Control-Allow-Credentials: true اینجا اومده و ریسپانس Access-Control-Allow-Credentials رو برای ما مقدار : True قرار داده یعنی چی ؟ یعنی اینکه سایت سایت مورد نظر بنده آسیب پذیری CROS رو داره . حالا میشه اکسپلویتش کرد و... ولی من فقط خواستم گزارش بدم که برخورد طرف مقابلم نادرست بود ... فیلم رو هم بارگذاری میکنم اینجا میتونید ببنید ( پیوست میشه - به بخش دریافت مراجعه کنید )

به نام خداوند بخشنده مهربان سلام و خسته نباشید خدمت دوستان عزیز همینطوری که اطلاع دارید یک آسیب پذیری هسته وردپرس با شناسه و عنوان " CVE-2022-21661 : WordPress Core - SQL Injection " که در نسخه 5.8.2 قابلیت بهره برداری داشت به ثبت رسید و در نسخه 5.8.3 - Patch شد هسته وردپرس به دلیل راحتی به توسعه‌دهندگان اجازه میده تا پلاگین‌ها و تم‌هایی بسازن تا وب‌سایت‌ های خودشون رو مدیریت کنن ، توابعی را برای پلاگین/ موضوع برای فراخوانی و استفاده از توابعی که وردپرس ارائه کرده مثل : فرمت داده ، پرس و جو Database رو فراهم میکنه در بین کلاس هایی که wordpress ارائه کرده یک خطای SQL Injection را در کلاسی که WP برای پرس و جو از DB ارائه میده پیدا شده به نام : WP_Query تابع clean_query از get_sql_for_clause فراخوانی میشه با خوندن کد تابع مشاهده میکنیم وظیفه این تابع ایجاد بند برای شرط در یک پرس و جو SQL و به طور خاص وظیفش پردازش داده های دریافتی، ترکیب داده ها به یه شرط در پرس و جو SQL هست. بنابراین میتونیم داده های برگشتی این تابع رو کنترل کنیم . به این معنی که می‌تونیم کوئری SQL رو کنترل کنیم و SQL Injection انجام بدیم. - برای خوندن جزئیات بیشتر و پارامتر ها به لینک هایی که در آخر نوشته قرار میدم مراجعه کنید . CVE-2022-21661 : Exploit WordPress Core 5.8.2 - SQL Injection [+] 🕷️ اکسپلویت این آسیب پذیری برای اولین بار توسط بنده به ثبت رسید و شما میتونید با لینک های زیر بهش دسترسی داشته باشید : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21661 https://nvd.nist.gov/vuln/detail/CVE-2022-21661 https://www.cvedetails.com/cve/CVE-2022-21661/ https://packetstormsecurity.com/files/165540/WordPress-Core-5.8.2-SQL-Injection.html https://www.exploit-db.com/exploits/50663 https://cxsecurity.com/issue/WLB-2022010068 https://0day.today/exploit/37226 نویسنده : آرین چهرقانی | Aryan Chehreghani امیدوارم که لذت برده باشید دوستان عزیزم 🌹 "با تشکر از گروه امنیتی ایران سایبر"

سلام دوستان آرین چهرقانی هستم امروز با تحلیل آسیب پذیری Remote Code Execution از شل آلفا ( Tesla v4.1 ) درخدمت شما دوستان عزیز هستم. خب ، ما یه دوستی داشتیم که برامون یه شل از یه سروری فرستاد تا روش کار کنیم و تست بزنیم ... متاسفانه هیچ رمزی روی شل نبود و بعد از یکی دو روز که گذشت یا این دوست ما یا هرکسی دیگه ای اومد و رمز گذاشت روی شل و دسترسی ما رو یه جورایی قطع کرد ، درواقع شل خودش رو اپلود کرد و هیچ بکدوری هم درکار نبود. من برام قابل قبول نبود که یکی از در بیاد و دسترسی رو ازم بگیره ، برای همین رفتم سراغ شل دوست داشتنی و معروف آلفا تا یکمی هم انالیز کنم کداش رو هم اینکه یه راهی برای دور زدن رمز یا یه همچین چیزی پیدا کنم ، ( جدا از این بحث باید یادآور باشم ، این شل امسال توسط دوست عزیزم آقا سجاد مدیر کانال بیسکویت پدر | Biskooit Pedar دیکد شد و پخش شد ) خب دوستان ما توی ورژن های قبلی و ورژن جدید شل یک دایرکتوری رو مشاهده میکنیم با نام : ALFA_DATA البته تو ورژن های قبلی یا نبود یا یک اسم دیگه ای داشت ، داخل این دایرکتوری یک دایکتوری دیگه ای به نام alfacgiapi وجود داره و معمولا سه تا فایل داخلش قرار میگیره با نام های : bash.alfa & perl.alfa & py.alfa و این 3 فایل آسیب پذیر هستند . داخل این فایل ها با متد POST یک پارامتری با نام CMD گرفته شده که ورودی تبدیل شده از base64 رو دیکد میکنه و میره سمت سرور میخونه دستور رو ، و اونم به ما توی صفحه خروجی خودش رو برمیگردونه . ALFA TEAM SHELL TESLA 4.1 - Remote Code Execution (Unauthenticated) خب همینطور که تو تصویر مشاهده میکنید ما تونستیم دستورات خودمون رو به راحتی اجرا کنیم و شل خودمون اپلود کنیم. در نهایت هم اینو ثبت کردم که شما میتونید با این لینک بهش دسترسی داشته باشید : https://cxsecurity.com/issue/WLB-2021120083 امیدوارم که لذت برده باشید دوستان عزیزم 🌹 "با تشکر از گروه امنیتی ایران سایبر"

در این سند به معرفی سپر ایمنی گوگل پلی ، مراحلی که برای دورزدن ( تشخیص ورودی های ناامن ) در سپر محافظتی گوگل پلی به کار گرفته شده میپردازیم ، آزمایش های زیادی روی سپر ایمنی گوگل پلی صورت گرفته است ( تغییر امضا – افزیش و کاهش حجم بسته نصبی - بایند کردن بسته نصبی – دریافت خروجی جدید از بسته مخرب و . . . ) اما ، ما قصد داریم که در این سند به دورزدن مکانیزم شناسایی برنامه های مخرب توسط سپر ایمنی گوگل پلی با یک روش فوق العاده ساده بپردازیم ! لینک دانلود فایل Word آموزشی : https://uupload.ir/view/google_a4zd.docx نویسنده : آرین چهرقانی تاریخ انتشار : ۱۴۰۰/۰۸/۰۳ Author : Aryan Chehreghani با تشکر ویژه از گروه امنیتی ایران سایبر

آسیب پذیری Remote Code Execution کشف شده از روتر های Seowon 130-SLC که توسط ( مبین نت | mobinet ) داره استفاده میشه این دفعه یه جور دیگه ای خودشو نشون داد ! در حال تست روتر بودم و متوجه شدم که بدون احراز هویت روی یکی از پارامتر های دیتای ارسالی ("queriesCnt" ) میشه دستوراتی رو وارد کرد و پاسخ رو با قالب xml در مروگر بدون احراز هویت ( admin ) دریافت کرد ! ارسال درخواست به سمت ip هدف و دریافت خروجی xml در مروگر همینطور که تو عکس بالا مشاهده میکنید من ip و port یکی از روتر ها رو اوردم و با متد Post این دیتا رو ارسال کردم و سمت چپ عکس ، هدف به من خروجی داده <xml> <log>uid=0(root) gid=0(root) </log></xml> در نهایت هم اینو ثبت کردم که شما میتونید با این لینک بهش دسترسی داشته باشید : https://www.exploit-db.com/exploits/50295 شناسه هایی با عنوان دسترسی ریموت برای این روتر ها ثبت شده که در دسترس هستند : https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-17456 امیدوارم که لذت برده باشید دوستان عزیزم 🌹 "با تشکر از گروه امنیتی ایران سایبر" نویسنده : آرین چهرقانی | Aryan Chehreghani