# RAW CREDENTIALS & TOKENS DUMP — Feb 28, 2026
# All credentials, tokens, and secrets extracted during OSINT operations

###############################################################################
# 1. IRGC GOOGLE CLOUD PROJECT — FIREBASE CREDENTIALS
###############################################################################

# Google API Key (VALID, UNRESTRICTED)
AIzaSyDp9K7YksfYf-JvGOS7YCNv7JbA9P-XemE

# GCP Project
Project Name: fars-next
Project Number: 823560469881

# Firebase App Config
App ID: 1:823560469881:android:a2e494ac003a2969c383a8
GCM Sender ID: 823560469881
Storage Bucket: fars-next.appspot.com
OAuth Client ID: 823560469881-rqin08q6q2drg8aq740db4j34980t9cp.apps.googleusercontent.com

# Firebase Installation (WE REGISTERED THIS)
Installation ID: fWHh5X5IsUmmdtGGLQOV9H
Refresh Token: 3_AS3qfwIZEFw2_ld1jYfT_AO2834pt03vGFgh-zZeE0Emv1wp06DSnvealH7jYxeyY9TNVtQFeVUG_Ipor8-fuSmWmgpiIy-BD82seRpSSJ6jpsk
Auth JWT: eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.eyJhcHBJZCI6IjE6ODIzNTYwNDY5ODgxOmFuZHJvaWQ6YTJlNDk0YWMwMDNhMjk2OWMzODNhOCIsImV4cCI6MTc3Mjg3NDg5MiwiZmlkIjoiZldIaDVYNUlzVW1tZHRHR0xRT1Y5SCIsInByb2plY3ROdW1iZXIiOjgyMzU2MDQ2OTg4MX0.AB2LPV8wRAIgc3ngJJmpf1gaFRW4YiOy-tuUExNOOvdqDLyuWuUzYO0CIAc8byn_O8Nae_2b5LXt-qWpfJWgxO_UXUwNie9cglPf
Token Expiry: 7 days (604800 seconds)

# FCM Push Token (REGISTERED TO RECEIVE IRGC PUSH NOTIFICATIONS)
fWHh5X5IsUmmdtGGLQOV9H:APA91bGR8MteNn9o6dTbOtWRxVZoJsuNNN0hiNTZWo9sUnDTDWtR-mmXslzoE8IQif3aV06C8fFX792G7wq2DTA02gYlxPI_tlEZJLJG5jqIGmBLzMNzsUg

# GCM Device
Android ID: 4853801490421017489
Security Token: 1176940086212703190

###############################################################################
# 2. AL MAYADEEN — AZURE OPENAI
###############################################################################

Azure OpenAI URL: https://mdn-open-ai.openai.azure.com
Deployment Name: mdn-gpt-4
API Version: 2024-05-01-preview
API Key: (empty in client-side — injected server-side)

###############################################################################
# 3. AL MAYADEEN — MANGOX CMS
###############################################################################

Subscription Code: mangopulse
Post Type Code: article
API Base URL: /api
Auth Endpoint: POST /api/auth/login
Upload Endpoint: POST /media/Upload?subscriptionCode=mangopulse
Token Type: Bearer JWT

# Login endpoint accepts credentials:
# POST /api/auth/login {"UserName":"X","Password":"X"}
# Response: {"success":false,"message":"Invalid username or password"}

###############################################################################
# 4. AL MAYADEEN — EXCHANGE SERVER / ACTIVE DIRECTORY
###############################################################################

Server FQDN: BHS-EX09.ITTIHADTV.LOCAL
Internal AD Domain: ITTIHADTV.LOCAL
Exchange Version: 2016 CU23 (15.1.2507)
IIS Version: 8.5

# Email Security
DMARC: v=DMARC1; p=none (NO ENFORCEMENT — spoofing possible)
DKIM: NOT CONFIGURED
SPF: v=spf1 a mx ip4:80.81.152.41 ip4:89.249.221.244 -all

# OWA Login: https://autodiscover.almayadeen.net/owa/auth/logon.aspx
# ECP Admin: https://autodiscover.almayadeen.net/ecp/
# EWS: https://autodiscover.almayadeen.net/ews/exchange.asmx
# MAPI: https://autodiscover.almayadeen.net/mapi/
# RPC: https://autodiscover.almayadeen.net/rpc/

###############################################################################
# 5. AL MAYADEEN — ORIGIN SERVER IPS
###############################################################################

80.81.152.41    — Web origin (from SPF)
80.81.152.37    — Mail (secondary)
89.249.221.244  — Web origin + MX3 (from SPF)
89.249.221.245  — FTP server
89.249.221.252  — Mail (primary) + Exchange
194.126.9.230   — MX1 relay

###############################################################################
# 6. AL MAYADEEN — DOCKER CONTAINERS (6 total)
###############################################################################

94a743b785f9 — portal-api.almayadeen.net (production)
57660472686f — portal-beta-api.almayadeen.net (production)
cd4b3868f98b — public-api.almayadeen.net (production)
63d26ec15c1d — portal-staging-api.almayadeen.net (staging)
0314cab697ec — public-api-staging.almayadeen.net (staging)
5b0c704d44be — public-api-beta.almayadeen.net (beta)

###############################################################################
# 7. AL MAYADEEN — ADMIN PANEL
###############################################################################

Login URL: https://alpha-ar-admin.almayadeen.net/Account/logon
Framework: ASP.NET Core
CSRF Token Format: CfDJ8... (ASP.NET Core Data Protection)
Backoffice CSS: /content/css/backoffice.css (116 KB)
loader.io Token: e26421201d5e0b60d1522ebe1a7c770f
Google Site Verification: 9ccXUvjKiv9Reva0HD4QNVTFHO6SidPD7-Z7KRt3gqU
Google Site Verification: PNUy--Lzy6bkRJcScDS9HvytsuwjhHETuiYIXUAMDPU
Google Site Verification: QTUyXVxdcLNuugOu2W47Y2iST1MJpmNa8loe7p7FwIk

###############################################################################
# 8. HEZBOLLAH — ALMANAR
###############################################################################

cPanel Username: manarnet (from debug.log)
WordPress: 6.7.0 with hide_my_wp plugin
LimeSurvey Session: LS-UYWLGYJFYCLTSXMF (survey.almanar.com.lb)
LimeSurvey CSRF: YII_CSRF_TOKEN
.git directory: english.alahednews.news/.git/ (403 protected)

###############################################################################
# 9. SUPREME LEADER — KHAMENEI
###############################################################################

Hidden API: https://formx.khamenei.link/farsi-json/topticker (LIVE)
Admin Portal: https://admin.english.khamenei.ir (HTTP 445)
Youth Portal: https://nojavan.khamenei.ir (LIVE, 43KB)
Youth Editor: https://virastar.nojavan.khamenei.ir (HTTP 445)

###############################################################################
# 10. SANA.SY — SYRIAN ARAB NEWS AGENCY
###############################################################################

WordPress: 6.9
SEO Plugin: Rank Math PRO
CDN: cdn.sananews.sy
XML-RPC: Active (80+ methods)
Webmail: https://webmail.sana.sy (Roundcube on Plesk/Kolab, LIVE)
Webmail CSRF: lT6lwnmtg57m2Qm571yirCZFGLD68n1P
Webmail RC Version: 10612
Webmail Session Lifetime: 10800s (3 hours)

###############################################################################
# 11. IRGC — DEVELOPER IDENTITY
###############################################################################

APK Signing Org: TSIT (Mashhad, Khorasan Razavi, Iran)
Common Name: Fars Next
Dev Machine: DESKTOP-CV5TMVD
Dev Username: MQT
mkcert CA Date: December 23, 2024
APK Package: ir.farsnews.next
WebView Debugging: ENABLED (Chrome DevTools can attach)
Cleartext Traffic: ALLOWED (MITM possible)
Permissions: camera, mic, contacts, GPS, SMS, full storage

###############################################################################
# 12. IRAN DEFENSE MARKETPLACE
###############################################################################

Domain: mindex-center.ir
Framework: Laravel (PHP)
API Gateway: Kong 3.8.0
CDN: ArvanCloud
Session Cookie: mindex_session
CSRF: XSRF-TOKEN (Laravel)
Session Timeout: 7200s (2 hours)

###############################################################################
# 13. FARS NEWS — API AUTH SCHEME
###############################################################################

X-Token — Auth token
APPVERSION — App version
X-RFID — Request fingerprinting
X-VERSION — Version header
duid — Device unique ID
platform — Client platform
os — Operating system
app-market — App store variant
app-scope — Multi-tenant scope
app-scope-tenant — Tenant ID
Server: "ninja" (Nginx fork)
Analytics: Matomo at trace.farsnews.ir (login exposed)
Jira: jira.farsnews.ir (DOWN — Iran blackout)
Confluence: confluence.farsnews.ir (DOWN)
Chat: chat.farsnews.ir (DOWN)
Telegram API: my-api-tlg.farsnews.ir (DOWN)