امکانات انجمن
  • مهمانان محترم می توانند بدون عضویت در سایت در بخش پرسش و پاسخ به بحث و گفتگو پرداخته و در صورت وجود مشکل یا سوال در انجمنن مربوطه موضوع خود را مطرح کنند



iran rules jazbe modir
snapphost mahak

darwvin

موفقیت هک نمودن وب سایت در سال 2016!

پست های پیشنهاد شده

ارسال شده در (ویرایش شده)

چگونه یک وبسایت را هک کنیم؟؟؟

همه ما می دانیم که هک چیزی بیش از مهارت این قرن است. پس معنی آن چیست ؟ '

اگر یک مهارت باشه پس هر کسی میتونه این مهارت رو بدست بیاره اما وقتی افرادی رو میبیند که خبره هکن میفهمین بیشتر مثله یک ورزشه و هر کس بیشتر تمرین میکنه قوی تر میشه

خب! بریم سره اصل مطلب چطور سایت هک کنیم؟؟

در این سایت (

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

) اموزش هایه زیادی هست برای هک سایت و در نت اموزش های خیلی زیادی ولی اگ واقعا میخواید یاد بگیرید جایه درستی هستید من امروز میخوام به شما چیزی رو یاد بدم که به نظرم خیلی مفیده آنچه که من قصد دارم امروز به شما نشان دهد کاملا متفاوت از آموزش های دیگر من و خیلی های دیگر است من به شما را با اینکه  چگونه با موفقیت سایت هک کنید هدایت میکنم بر اساس تجربیات من.

در زیر لیست من است که من لازم دارم  برای هک یک وب سایت

anonysec.ir

شناسایی(The Reconnaissance)

*یکی از دلایلی که هکرهای تازه وارد و غیر حرفه موفق به هک یک وبسایت نیستند اینه که صبور نیستند * بیشتر انها میخواهند یک دکمه در کیبورد خود داشته باشند که با اون هر چیزی رو هک کنند اما چنین چیزی نیست اولین کاری که شما باید انجام دهید شناسایی تارگت (هدفه) ولی نه هر شناسایی یک شناسایی که به دردمون بخوره یک شناساییه خوب افرادی  که با توسعه نرم افزار اشنا هستند منظور من رو بهتر میفهمن آیا شما میتونید یک برنامه خوب رو توسعه بدید بدون اینکه استاد خوبی داشته باشید؟درست مثل UML در صنعت نرم افزار در اینجا همان است ما به اطلاعات درباره تارگت نیاز داریم تا راحت تر به هدف خود برسیم

بعد از شناسایی میتوانیم با ابزار هایی مثله nmap و whatweb  و البته nikto  که همشون تو کالی هست سعی کنیم سایت رو هک کنیم

ADMIN' OR 1=1 #زمانی که url سایت : website/admin/loign/  باشه ممکنه  بتونیم با یوزر و پسورد های زیر وارد پنل مدیریت شیم

' OR '1'='1' --
' OR '1'='1' ({
' OR '1'='1' /*

اما اینجا تموم نمیشه سعی کنید به نوشتن دستورات SQL در ورودی سعی کنید یک دستور در سرور اجرا کنید فیلتر های سایت رو پیدا کنید و سعی کنید ازشون عبور کنید از انها و سعی کنید  باگ رو در آنها پیدا کنید و سعی کنید یک نسخه بهره برداری از سی ام اس پیدا کنید 

anonysec.ir

The Evil Google

گاهی اوقات من به سادگی برخی وب سایت هارو هک میکنم با کمک جست و جو های گوگل برای جمع آوری اطلاعات و یا هک اگه ازم حمایت کنید اموزش هک با استفاده از گوگل رو در همین سایت هم قرار میدم

anonysec.ir

Changing the Source Code(تغییر کد منبع)

فقط به یاد داشته باشید که زبان های برنامه نویسی مانند PHP، پرل، ASP، پایتون و غیره اجرا بر روی سرور اجازه نمیدهند از وب کپی برداری کنید اما اگ سرور این اجازه را داد یک کپی از آن دریافت کنید و آن را تغییر دهید

(Directory Listing) لیست دایرکتوری

مرور شخص میتواند خیلی مفید باشد مثلا در یک سایت با مرور چند صفحه ممکنه یک صفحه پیدا کنید که باگ sqli یا هر باگ دیگ ای داشته باشه و فایل هایی مانند رمز عبور را نیز ممکن است در بعضی سایت ها ببینید

همچنین شما میتوانید به صورت دستی url های مشکوک را چک کنید :

website.com/logs/
website.com/files/
website.com/sql/
website.com/secret/

شما میتوانید با ابزار هایی مانند dirbsuter این کار را به صورت پیشفرض و راحت انجام بدید

ویرایش شده در توسط darwvin
پسند شده توسط Bl0ckName و ReZa CLONER

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

robots.txt

خیلی مهمه که وقتی میخواید سایتی رو هک کنید robot.txt رو بخونید چون گاهی اوقات در مسیر حساسیه

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

Remote Files Inclusion(RFL)

آسیب پذیری گنجاندن فایل یک نوع آسیب پذیری در  اغلب وب سایت ها پیدا شده است. این اجازه را می دهد که مهاجم  یک فایل  معمولا اسکریپت در وب سرور اپلود کند علت ایجاد شدن این باگ ورودی بدون اعتبار است در زیر یک فایل پی اچ پی است که فایل هارو باز میکنه

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

این مثال باز کردن فایل با نام مشخص شده در ورودی کاربر ($ فایل).

این به این معنی است که اگر مهاجم فایلی رو اپلود کنه شما میتوانید انرا ببینید

برای مثال نگاهی به این قطعه بیاندازید :

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

فقط یک فایل .members.php بر روی وب سرور خود ایجاد و پاسخ اسکریپت مثل این:

dir=

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

ان را بر روی سرور هدف اجرا کنید مهم است که php را خاموش کنید واگرنه بر روی سرور خودتان اجرا میشود

 

 

پسند شده توسط Bl0ckName

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

SQL-Injection

 

تزریق SQL یک تکنیک تزریق کد است،به عنوان یکی از محبوب ترین باگ های اینترنتی معرفی شده است برای هک سایت با این باگ دو روش وجود دارد

روش اول: به صورت دستی در صورت حمایت قرار میدم

روش دوم: با استفاده از برنامه هایی مانند sqlmap و havij

روش دستی قدرتمند تراست اگ بخوام به زبان ساده بگم علتش اینه که هیج وقت کاری که یک مغز ادم میتونه بکنه رو یه برنامه نمیتونه بکنه

زمانی که شما ارور sql دریافت کردید ممکن است که بتوانید اطلاعات بسیار مفیدی را دریافت کنید حالا چطور ارور را دریافت کنیم ؟

کافیه یک کوتیشن به اخر ادرس صفحه ای که مشکوکین که اس کیو ال داره اضافه کنید مثلا:

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

 

 

 

 

پسند شده توسط Bl0ckName

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری


  • مطالب مشابه

    • توسط  Black_petya
      خب دوستان عزیز برایتان میخواهم اموزش نفوذ به پورت های باز از جمله 21 یا 32 برای اینکار میتوانید کالی لینوس را از سایت
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      دانلود کنید و روی یک vmware یا سیستم خانگی نصب کنید , خب حالا بگذزیم ما برای هک پورت های باز از دو ابزار استفاده خواهیم کرد شما میتوانید این ابزار هارا از سایتها مربوط به ویندوز خود دانلود و نصب کنید . خب اولیش zenmap یا nmap و دومی metasploit خب ابتدا با دستور zenmap را در ترمینال تایپ کنید برای شما محیط گرافیکی nmap باز خواهد شد تفاوت nmap و zenmap فقط در بخش گرافیکی بودن فرق دارند خب در جای خالی که target نوشته شده است ادرس ایپی تارگت خود را وارد کنید و روی گذینه start کلیک کنید یا از قسمت command حالت اسکن خود را عوض کنید حالا بعد از اینکه روی اسکن کلیک کردید باید صبر کنید تا اسکن پورت ها به پایان برسد بعد به قسمت ports / host بروید و به پورت های باز خود نگاه کنید و جلوی انها version را نگاه کنید مثلا در port 21 یک سایتی که اسکن کرده بودم نوشته بود ProFtp خب الان ترمینال جدید باز میکنیم و در داخلش مینویسیم msfconsole و برای ما برنامه metasploit را نمایش میدهد بعد ما با زدن دستور search ProFtp شروع به یافتن اکسپلوییت مربوط میکند بعد از اینکه اکسپلوییت هارا به شما نشان داد جلوی هر اکسپلویید خاصیتش را نوشته است خب ما الان یک اکسپلویت انتخواب میکنیم برای این کار بای روی اکسپلیوت خود سفید بکشید و با راست کلیک روی کپی کلیک کنید بعد دستور  use exploit-pasted شما به جای exploit-pasted اکسپلویت خود را پیست کنید و بعد است انتخواب اکسپلوییت الان به سراغ انتخواب payload میرسد برای این کار باید دستور show payloads را تایپ کنیم در جلوی هر پایلود خاصیت ان پایلود را نوشته است برای انتخواب پایلود روی پایلود انتخوابی خود سفید میکشیم و با راست کلیک کپی میکنیم و با دستور set payload paste شما به جای paste پایلود خود را پیست کنید الان نوبت به تنظیم تارگت ها میرسد برای این کار از دستور show options  استفاده میکنیم بعد از این که دستور را زدیم از ما اطلاعاتی را که میخواهد می اورد ما به جای RHOST تارگت خود , به جای RPORT پورت باز تارگت و به جای LHOST ایپی خود و LPORT پورت خود را میگذاریم برای اینکار ابتدا set RHOST TARGET را مینویسیم شما به جای TARGET ایپی هدف خود را بنویسید و  همچنین با دستور set RPORT TARGET PORT پورت تارگت را تایین میکنیم برای دیدن ایپی خود میتوانید از ترمینال هم استفاده کنید بنویسی  ifconfig یا در گوگل my ip را جست و جو کنید و با دستور set LHOST IP به جای نوشته ip ایپی خودتان را بنویسید و با دستور set RPORT 20000 به جای 20000 پورت خود را مینویسید و بعد با زدن دستور exploit شروع به اکسپلوییت کردم وب سرور میشوید و شما وارد شل وب سرور میشوید ولی باید root وب سرور را دور بزنید میتوانید از ابزار های shellter  یا hydra هم کمک بگیرید .
      تشکر از تیم امنیتی  anonysec
      تمام حق کپی برداری بر anonysec است هرگونه کپی برداری پیگرد قانونی دارد.
    • توسط  Black_petya
      خب بریم سراغ اموزش 👇
      1- ابزار اسکن سایت با کالی لینوکس 
      برترین ابزار اسکن سایت در کالی لینوکس Vega میباشد .
      جهت نصب ابزار کافیست درقسمت ترمینال کالی لینوکس دستور 
      Apt-get install Vega 
      را تایپ کرده و ابزار را نصب کنید برای اجرای ابزار هم کافیست عبارت 
      Vega 
      را در ترمینال وارد کنید 
      در قسمت target ادرس سایت را نوشته و اسکن کنید .
      و در اخر نتیجه را بررسی کرده و نوع باگ را بیابید 
      2- اسکن سایت با ویندوز 
      اول برنامه acuntix را دانلود و نصب کرده 
      و بعد برنامه را اجرا کنید روی new scan کلیک کرده و ادرس سایت را تایپ کرده و روی scan کلیک کنید . 
      در اخر نتیجه را بررسى کرده و نوع باگ را بیابید 
      با تشکر
    • توسط  Black_petya
      امروز میخوام اموزش اسکن پورت سایت ها با استفاده از kali linux و یا live hacking و انواع لینوکس.
      ابتدا در ترمینال لینوکس خود عبارت زیر را تایپ کنید.
      apt-get install zenmap
      منتظر بمانید تا ابزار روی لینوکس خود نصب شود.
      حالا عبارت زیر را تایپ نمایید
      zenmap
      حالا در قسمت traget ادرس سایت را بنویسید .
      خب صبر کنید تا اسکن کند و اطلاعات در کادر پایین برای شما نشان خواهد داد.
      با تشکر />

    • توسط  DOCTOR ROBOT
      در این اموزش که در چند قسمت اماده میشه سعی میکنم تمام مباحثی که sql injection اونا رو پوشش میده توضیح بدم و سعی میکنم همه چی رو به صورت عملی و کاربردی بگم که شما بتونید وب سایت هاتون رو از ف/ی/ل/ت/ر این باگ بگذرونید ، نکته : در این سری اموزش دیتابیس target ما my sql هستش ، اولین کاری که باید انجام بشه پیدا کردن یک تارگت یا قربانی هست (البته شمایی که میخوایید تست نفوذ به وب سایت خودتون رو بزنین دیه این کار لازم نیست). ما فرض میکنیم که شما وب سایت خاصی مد نظرتون نیست و نمیدونید اون تارگتی که میخوایید پیدا کنید کجا هست و چه وب سایتیه ، یک روش برای پیدا کردن تارگت وجود داره اونم جستجو در گوگل هستش به صورت زیر در گوگل جستجو کنید:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      نکته این ادرس های نامفهومی که من گذاشتم تو دنیای امنیت (دورک) نام داره. یه سری دورک در زیر قرار میدم:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      مثال :شما میتونید تو گوگل سرچ کنید دورک مخصوص باگ sql برای وب سایت های چینی و ... زمانی که سرچ کردید گوگل یه سری لینک به شما میده مث همیشه که سرچ میکنید. ولی یادتون باشه این دورک هایی که من گذاشتم برا سایت های دولتیه و اگه بخوایید یه سایت تجاری یا یه سایت یا شرکتی بزنید باید سرچی رو که انجام میدید بایپس کنید یعنی تغییرش بدید
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      این ادرس بالا رو به ادرس زیر تغییر بدید:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      یا اگه مثلا سایتی رو میخوایید بزنید که تکنولوژی مورد نظری منظورتونه مثلا asp یا php اینطوری بنویسید:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      خب وقتی شما تارگت مورد نظر رو پیدا کردی حالا باید بررسی کنید که اون سایت در اون صفحه باگ داره یا نه برای این کار شما به دو روش میتونید تست رو انجام بدید:
      روش کاراکتری
      روش منطقی

      روش اول: زمانی که وارد سایت مورد نظر شدید تنها کاری که لازم است انجام دهید اضافه کردن یک کاراکتر تک کوتیشن به اخر ادرس وب سایت است ، مثال: این مثالی که من میزنم اینطور سایتی اصلا وجود نداره فقط محض اموزشه:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      حالا کافیست که اینو وارد کنید:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      حال اگر وب سایت کامل لود شد و مشکلی نداشت یعنی باگ نداره ولی اگر اون وب سایت به جای لود کردن صفحه ادرس زیر رو نمایان کرد یعنی باگ داره و ما میتونیم به کارمون ادامه بدیم:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      تا این warning یاهشدار رو دیدید بدونید که سایت طرف باگ داره و باید اون سایت رو پیاده کنید.

      روش دوم : در روش دوم به اخر url یا ادس اینترنتی یه عبارت منطقی مثل زیر اضافه میکنید:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      اگر زمانی and1=0 رو امتحان کردید و صفحه مورد نظر کامل لود نشد و ناقص بود یعنی اسیب پذیره و با اضافه کردن 1=1 هم صفحه باید کامل لود بشه. اینطوری تست منطقی رو انجام بدید:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      و اگه میخوایید بدونید که سایت چطوری کامل لود میشه اینو امتحان کنید:
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      در این قسمت با نحوه جستجو کردن و پیدا کردن تارگت اشنا شدید و یاد گرفتید که چه سایتی باگ داره یا نه . در قسمت های بعدی به ادامه اموزش پرداخته میشود.لطفا اشکالات که بر این اموزش وارد است رو بنویسید تا بهتر و کاربردی تر بشه.
  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.