رفتن به مطلب



iran rules jazbe modir
ADS mahak

Rednofozi

Kali Linux تست نفوذ با لینوکس کالی ::: (Passive Information Gathering)

پست های پیشنهاد شده

جمع آوری بالقوه اطلاعات یا جمع آوری اطلاعات بصورت پسیو، فرآیند جمع آوری اطلاعات درباره هدف با استفاده از اطلاعات عمومی موجود در این زمینه است. این فرآیند میتواند شامل سرویس هایی نظیر نتایج موتور جستجو، اطلاعات whois، اطلاعات عمومی شرکت یا به عبارت دیگر هرگونه فعالیت جهت جمع آوری اطلاعات درباره هدف بدون کوچکترین برقراری ارتباط با آن، باشد. منظور از بالقوه نیز این‌ست که در این فرآیند هیچگونه ارتباطی خصوصا بصورت مستقیم با هدف برقرار نمیشود.همانند سایر زمینه های موجود در زندگی، در اینجا نیز این موضوع صدق میکند که آماده سازی و آمادگی منجر به پیروزی و موفقیت خواهد شد. مخصوصا در این زمینه این موضوع بیشتر خود را نشان میدهد چرا که قبل از حمله، هرچه که اطلاعات جمع آوری شده ما از هدف بیشتر باشد، یک قدم ما را به موفقیت نزدیکتر خواهد نمود. 
 

ذکر یک سناریو واقعی!

اگر بخواهیم یک مثال خوب از جمع آوری بالقوه اطلاعات بزنیم، میتوانیم اتفاقی را که در حین فرآیند تست نفوذ از یک شرکت کوچک، چندین سال پیش رخ داده است را نقل کنیم. در این شرکت تقریبا هیچگونه دسترسی اینترنت وجود نداشت (دسترسی حداقلی) و فقط تعداد کمی از سرویس ها از بیرون در معرض دیده شدن قرار داشتند که آن ها نیز بصورت ثابت امن شده بودند. بعد از ساعت ها جستجو در موتورهای جستجو جهت یافتن کوچکترین اطلاعاتی از این شرکت، سرانجام در یک سایت فروم (مخصوص جمع آوری تمبر)، پستی از طرف یکی از کارمندان آن شرکت ایجاد شده بود مبنی بر اینکه ایشان بدنبال مجموعه تمبرهای کمیاب مربوط به دهه1950 بودند. و در ادامه جهت تماس از ایمیل سازمانی و شماره تلفن خود استفاده کرده بود.این دقیقا همان چیزی بود که یک هکر زرنگ جهت اجرای یک حمله نیمه پچیده Client-side به آن نیاز داشت. برای این کار بسرعت دامینی با نام "rare-stamps-trade.com" ثبت شد و در صفحه اصلی آن طراحی طوری صورت پذیرفت که تمبرهای نایاب دهه 1950که از جستجوی گوگل بدست آمده بودند، قرار گرفتند. نام دامین و طراحی صفحه اصلی به گونه ای بود که اطمینان هر بازدید کننده ای مبنی این که این سایت در زمینه تجارت تمبرهای نایاب فعالیت میکند را جلب میکرد. 

قدم بعدی جاساز کردن چندین HTML آلوده در کد سایت بود که حاوی کد اکسپلویت (باگ امنیتی) آخرین نسخه IE آنموقع (MS05-001) بود. قدم بعدی تماس با شخص مورد نظر و ترغیب وی به بازدید از وب سایت است. برای این کار به شخص مورد نظر گفته شد که "از پدربزرگ خدابیامرز من (شخص هکر) مجموعه تمبری باقی مانده است که قصد دارم بخشی از آن ها را به فروش برسانم." زمان تماس به نوعی برنامه ریزی شده بود که در ساعت کاری باشد تا احتمال چک کردن سایت از دفتر کار ( و نه از خانه) به حداکثر برسد. کارمند مورد نظر بی خبر از همه جا و خوشحال از تماس هکر، بدون معطلی اقدام به بازدید از وبسایت آلوده ای میکند که در آن مجموعه تمبرهای مورد علاقه وی در معرض فروش قرار داده شده بود. دقیقا زمانی که او در حال گشت و گذار در وب سایت بود، اکسپلویت مورد نظر بر روی سیستم هدف دانلود و اجرا شده و در نهایت از آن سیستم یک ارتباط شل معکوس (reverse shell) در اختیار هکر گذاشته بود. 

دیدید که به چه راحتی و با کمترین اطلاعاتی هکر توانست به سیستم هدف خود نفوذ پیدا کند. در واقع این مثال نمونه خوبی بود که بیان میکرد که حتی اطلاعاتی مانند بیان مشکلات شخصی یک فرد به همراه ایمیل شرکتی آن که ممکن است بی ضرر و بی ارزش به نظر برسد، در نهایت منجر به یک نفوذ موفق به سیستم شرکتی آن شخص شد.بله دوستان. همانطور که دیدید، جمع آوری اطلاعات در تست نفوذ یکی از مهمترین فازهای موجود است. این که قبل از حمله هدف خود را بشناسید، درصد احتمال موفقیت شما را افزایش خواهد داد. در مثال بالا یک پست پیش پا افتاده و بی ارزش فروم، توانست کلیدی برای یک حمله موفق باشد. 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   بازگردانی قالب بندی

  حداکثر استفاده از ۷۵ شکلک مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

در حال بارگذاری

  • مطالب مشابه

    • توسط  epicaler
      سلام و خسته نباشید
      رو به برنامه اضافه کردم، رم، سی پی یو و گرافیک مناسب باهاشو تنظیم کردم، موقع استارت کردن با این پیام مواجه میشم، و بعد چند ثانیه صفحه سیاه میشه و گیر میکنه virtualbox kali ready image یک 
      dev sdal : recovering journal
      dev sdal : clean, 393942/5111808 files, 2998960/20446976 blocks
      همچنین virtualization بایوس روی سیستم enabled هست.

      چطور میتونم این مشکل رو حلش کنم؟


    • توسط  Moeein Seven
      هک شدن بزرگترین وبسایت انتشار اهنگ
      توسط تیم امنیتی آنانیموس
      وبسایت www.radiojavan.com توسط تیم امنیتی آنانیموس مورد نفوذ قرار گرفت و لینک های اثبات آن هم در همین تاپیک به نمایش در میاید
      وبسایت دارای باگی بود که مشکل از کد های PHP آن بود 
       
      لینک های اثبات :

      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
       
       
       
       
    • توسط  Victory
      سلام دوستان داخل این اموزش و اولین اموزش,  نحوه ای نفوذ به ویندوز 10 رو فرا میگیریم
      سیستم مورد نیاز:کالی لینوکس(البته من از کالی استفاده میکنم شاید بعضی از دوستان ابزار متاسپلویت روی ویندوز نصب کرده باشند.
       
      کیفیت خووب
       
      آموزش:

      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      پسورد:
      برای مشاهده این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
       
       
       
    • توسط  nashenas223
      با سلام و خسته نباشید طی مشکلاتی که با فدورا داشتم تصمیم گرفتم به سمت اوبونتو بیام ولی آموزشی درست کنم که برای هر دو سیستم عامل به درد بخوره.
      برای شروع روی سیستم عامل خود اگه ویندوزی هستید(بدم میاد از ویندوز کارا) یا مک(بچه بازی ها چیه لینوکسی بشید) شبیه ساز نصب کنید.
      یکی از نسخه های لینوکس را دانلود کنید و نصب کنید پیشنهاد من لینوکس مینت هست mint هست دانلود کنید و روی شبیه ساز خودتون نصب کنید در قسمت بعدی آموزش نصب رو مدیم.
       
      آموزش های من جنبه ی طنز داره کسی به دل نگیره ببینید آخر تمرین بهتر یاد میگیرید تا کسی که جدی درس میده جدی جدی حوصلتونم سر میده ولی من شوخی شوخی لینوکستون میکنم و همه بهتون حسادت میکنن علت کارم به خاطر اینکه سیستم عامل هکر هارو نصب میکنید.
  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.

×
×
  • جدید...