./Osama

805 posts

./Osama

@0x0sama

Riyadh Katılım Haziran 2018

453 Takip Edilen1.6K Takipçiler

Sabitlenmiş Tweet

./Osama@0x0sama·8 Eki

الحمدلله حصلت على شهادة OSCP+ من @offsectraining بعد رحلة أمتدت لـ 6 أشهر مع #معسكر_طويق_السيبراني بمسار red team شكرا @TuwaiqAcademy 🙏🏻🤍

العربية

235

27.1K

./Osama retweetledi

Devansh (⚡, 🥷)@0xAsm0d3us·10 Mar

Needle in the haystack: LLMs for vulnerability research I've distilled my experience of sending thousands and thousands of prompts for using LLMs to discover vulnerabilities into a single write-up. These are the conclusions I came to.. (link in comment)

English

171

988

58.4K

./Osama@0x0sama·1 Mar

@0xRabab ما شاء الله الف مبروك مٌستحقة 👏🏻👏🏻👏🏻

العربية

221

Rabab@0xRabab·1 Mar

الحمدلله وبكل فخر احب أشاركم نجاحي في اختبار شهادة #OSCP 🐉 ماكان هدف ولازم يتحقق بسرعه لا. قررت اني اكون بطيئه، رحله طويلة استمتعت بكل مافيها على مدار اشهر من التدريب والتعلم، مرهقه احيانًا، افرح بكل مره اجيبNT Authorityو root ابكي كل مره يفشل الexploit والاختبار؟صار اسهل😒🤍

العربية

264

13.3K

./Osama@0x0sama·6 Ara

@W4L33Dx @THiddenCastle ما شاء الله يبو خالد مستحقة والف مبروك ما جاك 🤍🤍

العربية

141

W4L33Dx - ابو خالد@W4L33Dx·5 Ara

الحمد لله على التمام الفرحة صارت فرحتين فزنا في سي تي اف #BHMEA25 وكل الشكر للتيم البطل @THiddenCastle وجاني ولد بنفس الوقت يا ربي لك الحمد اللهم انتبه نباتا حسنا واجعله من عبادك الصالحين ما شاء الله تبارك الله

العربية

372

21.7K

./Osama@0x0sama·4 Ara

@Saeed_sm_zh ما شاء الله الف مبروك يا وحوش🔥🔥🔥🔥🫡

العربية

./Osama@0x0sama·1 Ara

@Saeed_sm_zh انت قدهااا🔥

العربية

144

Saeed Alzahrani@Saeed_sm_zh·1 Ara

🥷🏻⏳

ART

1.1K

./Osama@0x0sama·20 Kas

@nass3r000 أبدعت والله يبو براك 👏🏻🤍🤍🤍 شرحك رهيييييييب🔥

العربية

Nasser Albarrak@nass3r000·19 Kas

🛑 كيف اخترقت نظام نقاط الولاء في شركة اتصالات وحصلت على رصيد مجاني + مكافأة 41k 💰 🛑 السلام عليكم حياكم الله جميعًا في مقالة اليوم راح اتكلم عن ثغرة لقيتها في احد جهات الاتصالات واللي الحمدلله بسببها حصلت على وحده من اعلى المكافآت بمبلغ 41 الف ريال. ————————— بالبدايه هذا الابلكيشن كان عبارة عن موبايل ابلكيشن تابع لأحد اكبر جهات الاتصالات من خلاله تقدر تدير رقمك وفيه قسم مثل المتجر ومزايا ثانيه فا كان كبير نوعًا ما، وكانت حماية الابلكيشن لابأس بها والابلكيشن انفحص عدة مرات فا كنت متاكد موضوع انك تلقى ثغرة بسهولة صعب… طبعاً كان فيه نسختين من الابلكيشن IOS/Android، فا بديت بال IOS وكانت من ضمن الحمايات فيه encryption لل request body على بعض النفكشنز فا كان عشان تعدل على قيم الباراميترز يتطلب منك تفك التشفير اول، فا تركتها على جنب وبديت بفهم الابلكيشن وكيف تشتغل الفنكشنز داخله. بعد مافهمته زين بديت افحصه، طبعًا بحكم حجم الابلكيشن جلست قرابة الشهر بشكل شبه يومي افحصه، وطلعت كم ثغرة في اكثر من فنكشن ولكن فيه وحده من الفنكشنز شدتني اكثر واللي هي نقاط الولاء بحكم انه ابلكيشن لجهة اتصالات، فا كانت احد المزايا الموجوده داخله هي نقاط الولاء الي من خلالها تقدر تشتري اجهزة/بطاقات …الخ، فا قررت اني اتعمق بفحص هذا الميزة، فا كانت احد الخيارات انك تقدر تشتري نقاط ولاء عن طريق انك تدفع مبلغ ويتحول هذا المبلغ الى نقاط ولاء بالتطبيق، طريقة عملها كانت كالتالي: ١- يطلب منك تكتب كم تبي تشحن نقطة ولاء ٢- بعدها يسوي عملية حسابية عشان يطلع السعر بحيث مثلا لو كتبت 100 نقطة راح تدفع 90 ريال. ٣- يحولك على صفحة الدفع، وبعد الدفع تنضاف لك النقاط لحسابك. جربت تكنيكات كثير ولكن المبرمج كان حاسب حسابه ولا ضبط اي شي، ولكن فيه تكنيك رهيب واللي هو E notation bypass ولا اتوقع انه قد مر على الكثير لان نادر يصير، فا خلني ابسطه لك بشكل بسيط: طبعا ال e notation هو مصطلح بالرياضيات (لاتسكب معليك مب كلاس كالك)، عشان تتضح فكرته لنفرض عندنا القيمة هذي: كيف ممكن نكتبها بطريقة ثانية ولكن بدون علامة الضرب؟ هنا يجي دور ال E notation، والي تسمح لك تكتب نفس المعادلة ولكن بدون علامة الضرب فا تصير بهذا الشكل: فا حرف ال E بهذي الحالة معناه = x10 واي شي يجي بعدها يصير كـ اُس للعشرة، فا بكذا تصير: اربعة ضرب عشرة اُس اثنين. طيب ياناصر كيف استفدت من هذا الشي بحالتك؟ اللي صار ان بالخطوة الاولى لما يطلب مني اكتب كم نقطة بشحن، بدال ما اعطيه رقم عادي مثل 400 نقطة، بعطيه 4e2 (تساوي 400) واشوف كيف يتعامل معها لكن واجهتني مشكلة بسيطة، لما جيت اجرب التكينك كان الابلكيشن لما يطلب منك تكتب عدد النقاط كان يطلع لك كيبورد ارقام بس + الريكوست body كان مشفر: فا ماقدر اكتب حرف ال e،، وقتها لو بحاول افك التشفير ممكن الموضوع يطول وانا بس بجرب هذا التكنيك فا جتني فكرة وقتها اني انسخ 4e2 من اي تطبيق ثاني بعدها اسوي paste بال input، وفعلًا جربتها وضبطت وسويت submit. الغريب ان الي صار ان الابلكييشن رجع لي error بالرسبونس ولكن حولني لصفحة الدفع ومكتوب: -------- عدد النقاط المطلوب شحنها: 400 المبلغ الاجمالي المطلوب دفعه: error -------- فا هنا نستنتج شيئين: ١- ان الابلكيشن قدر يتعرف على القيمة 4e2 ويحولها الى رقم 400 ٢- الابلكيشن لما وصل عند العملية الحسابية عشان يحسب لي التوتل اللي بدفعه صار error، وماقدر يفهم القيمة اللي كتبتها بما ان طلع لي error بالتوتل، فا قلت اجرب ادفع واشوف هل بيضبط الدفع او لا؟ وفعلاً جربت ولكن اللي صار ان مانجح الدفع وطلع لي error، فا بهذي الحاله حللت وش سبب انه ما ضبط الدفع وتوقعت انه ممكن يكون بسبب ان مافيه amount بدفعه فا منطقيًا بيطلع error. فا رجعت لصفحة اضافة النقاط وسويت نفس الخطوات ولكن كبشرت الريكوست وعدلت على الريسبونس بدال ماكان التوتل = error، خليته التوتل=1 ، وطلع لي بصفحة الدفع: ---------- عدد النقاط المطلوب شحنها: 400 المبلغ الاجمالي المطلوب دفعه: 1 SAR ---------- وفعلًا جربت ادفع، والمفاجأة ان الدفع ضبط وسحب مني ريال وانضافت لي النقاط (400 نقطة) (: وبكذا قدرت اشحن رصيد بدون ليميت بشكل مجاني تقريبا، ومن خلال هذا الرصيد اقدر: ١- اشتري اجهزة ٢- بطاقات شحن ٣-احوله لرصيد برقم الجوال واستخدمه بالدفع ببعض المتاجر فا كان الامباكت جددًا عالي من هذي الثغرة وتم تصنيفها كحرجة (critical), طبعًا تم ابلاغ الشركة وتصلحت الثغرة والحمدلله تمت مكافأتي بمبلغ 41 الف ريال. بالنهاية شكراً على وقتكم وقراءتكم، وانتظروا القادم 🔥

العربية

365

44K

./Osama@0x0sama·25 Eki

@wnx5u كفوو يا أسطورة 🔥🔥🔥👏🏻

العربية

Bandar Algharbi@wnx5u·25 Eki

حققنا المركز الثامن على مستوى المملكة في مسابقة التقاط العلم (CTF) التي نظمها نادي أمن المعلومات بجامعة الإمام محمد بن سعود الإسلامية، بمشاركة نخبة من المتنافسين في مجالات الأمن الحمد لله على هذا الإنجاز، والتجربة كانت مليئة بالتحدي والمتعة في عالم الأمن السيبراني #InfoSec_CTF @TuwaiqClubs مع الاساطير @FHD_CS @Oxfr0g @x0ffd

العربية

502

./Osama@0x0sama·13 Eki

@Saeed_sm_zh ما شاء الله الف مبروك الله يبارك لك في علمك 👏🏻🤍

العربية

305

Saeed Alzahrani@Saeed_sm_zh·13 Eki

ولله الحمد والمنة 🌹 اجتزت اختبار Offsec Experienced Penetration Tester (OSEP) 🤍🎉 وبإذن الله القادم OSED, OSCE3 🔥 #offsec #osep

216

13.6K

./Osama@0x0sama·10 Eki

@sportiw7 @offsectraining @TuwaiqAcademy الله يبارك فيك يارب 🤍🙏🏻🙏🏻

العربية

الرياضية و✨@sportiw7·9 Eki

@0x0sama @offsectraining @TuwaiqAcademy ماشاءالله مبروك

العربية

./Osama@0x0sama·8 Eki

العربية

235

27.1K

./Osama@0x0sama·10 Eki

@qb3060611416 @offsectraining @TuwaiqAcademy تمم

العربية

عقاب@qb3060611416·10 Eki

@0x0sama @offsectraining @TuwaiqAcademy ي اسامه ي ليت ترسلي عل خاص بكلمك

العربية

./Osama@0x0sama·10 Eki

@a_dbokhary @offsectraining @TuwaiqAcademy الله يبارك فيك يارب 🤍🙏🏻 و انت قدها ان شاء الله يب معسكراتهم حضوريه

العربية

./abdullah@a_dbokhary·9 Eki

@0x0sama @offsectraining @TuwaiqAcademy مبرووك يوحش الشهادة شكلها فخم ماشاء الله اطمح اوصل لها ان شاء الله, بس بالنسبة لطويق هل معسكراتهم هذي حضورية وتكون بالرياض فقط؟

العربية