کاربر گرامی، برای ارسال مطلب و دانلود پیوست ها باید در سایت ثبت نام کنید. با ثبت نام درسایت میتوانید با حداکثر امنیت با سایر کاربران و مدیران Chat کنید.
سایت و فروم ایران هک تابع قوانین جمهوری اسلامی ایران بوده و کلیه مطالب سایت صرفا جهت آموزش، پژوهش و ارتقاء امنیت سایبری در سطح کشور است. هیچ نوع فعل خلاف قانون از جمله حمله و دستبرد به سایتها و سیستمهای داخلی، خارجی و حریم شخصی افراد در این مجموعه انجام نمیپذیرد!
با سلام دوستان من موقع Symlink زدن وقتی قرار لیست دیتابیس سایت ها رو برام بیار داخل یک فایل tar.tmp میریزه برای اینکه بتونم به لیست دسترسی داشته باشم باید چیکار کنم ؟ یعنی اکسترکت باید کرد فایل tar.tmp رو ؟
و اینم بگم دایرکتوری هم چک کردم ولی فقط tar.tmp بود
[
ویرایش توسط mr.b3n : https://www.iranhack.com/forum/member/3960-mr-b3n در ساعت 02-19-2019, 09:09 PM
سلام
یک فایل .tar باید ایجاد شده باشد اگر فایلی مشاهده نشد tar.tmp را تغییر پسوند دهید بطور مثال file.tar و استخراج کنید معمولا در زمانی این اتفاق انجام میشود که پروسه فشرده سازی کامل نشده باشد .
سلام
در مورد wordlist میخوام بپرسم
برای شکستن رمزی که بر فرض نمیدونیم 6 کاراکتری هست یا 10 کاراکتری و همینطور احتمال ترکیب اعداد با حروف کوچک و بزرگ ما مجبوریم ووردلیستی بسازیم که تمامی پین ها رو تو خودش داشته باشه ولی خوشبختانه یا بدبختانه چند هزار ترابایت فضا برای اون ووردلیست لازمه که عملا این کار رو غیر ممکن می کنه
برای حل این موضوع راهی وجود داره ؟
سلام
در مورد wordlist میخوام بپرسم
برای شکستن رمزی که بر فرض نمیدونیم 6 کاراکتری هست یا 10 کاراکتری و همینطور احتمال ترکیب اعداد با حروف کوچک و بزرگ ما مجبوریم ووردلیستی بسازیم که تمامی پین ها رو تو خودش داشته باشه ولی خوشبختانه یا بدبختانه چند هزار ترابایت فضا برای اون ووردلیست لازمه که عملا این کار رو غیر ممکن می کنه
برای حل این موضوع راهی وجود داره ؟
همانطور که گفتید چندین هزار ترابایت و همچنین زمان طولانی برای شکستن رمز وجود داره و مراکزی هم در سرتاسر دنیا هستند که زیر نظر دولت اون کشور با تجهیزات پر سرعت و بروز برای به دست اوردن رمز به همین منوال که البته کار پر هزینه ای هست .
اگر به این راحتی قرار بود پسورد ها شکسته بشن که دیگه هیچی ... هر کاری زحمت خودشو داره
ولی بطور سالیانه میان و میانگین پسورد های ضعیف اون سالو که کرکر ها به دست اوردن را منتشر میکنن و در کنار این موردها پسورد های ضعیف با لیست های متعادل چند مگابایتی آماده سازی میشه که کاربران استفاده کنند . اما خوب همه میدونیم این موارد 50 50 هست . ولی باید بررسی صورت بگیره مثلا یه سازمان که 5000 کارمند داره و برای هر کارمند یه سرویس ایمیل در نظر گرفته امکان نداره یکی از این کارمندان یه پسورد ضعیف استفاده نکرده باشه ، بنابراین باید بررسی انجام بگیره با لیست های پیشنهادی سبک در حد چندین مگابایت اگر تارگت واقعا مهم و حساس باشه خوب باید هزینه بشه تا بلاخره پسورد شناسایی بشه .
یک پسورد لیست متعادل از نظر یک نفوذگر دیتابیس یک سایت بزرگ و پر بازدید داخل یک کشور هست که انواع پسوردهای مورد نظر توی ذهن مردم اون کشورو توی خودش داره .
این تاپیکو ببینید من بحث پسورد ضعیفو داخلش توضیح دادم :
همانطور که گفتید چندین هزار ترابایت و همچنین زمان طولانی برای شکستن رمز وجود داره و مراکزی هم در سرتاسر دنیا هستند که زیر نظر دولت اون کشور با تجهیزات پر سرعت و بروز برای به دست اوردن رمز به همین منوال که البته کار پر هزینه ای هست .
اگر به این راحتی قرار بود پسورد ها شکسته بشن که دیگه هیچی ... هر کاری زحمت خودشو داره
ولی بطور سالیانه میان و میانگین پسورد های ضعیف اون سالو که کرکر ها به دست اوردن را منتشر میکنن و در کنار این موردها پسورد های ضعیف با لیست های متعادل چند مگابایتی آماده سازی میشه که کاربران استفاده کنند . اما خوب همه میدونیم این موارد 50 50 هست . ولی باید بررسی صورت بگیره مثلا یه سازمان که 5000 کارمند داره و برای هر کارمند یه سرویس ایمیل در نظر گرفته امکان نداره یکی از این کارمندان یه پسورد ضعیف استفاده نکرده باشه ، بنابراین باید بررسی انجام بگیره با لیست های پیشنهادی سبک در حد چندین مگابایت اگر تارگت واقعا مهم و حساس باشه خوب باید هزینه بشه تا بلاخره پسورد شناسایی بشه .
یک پسورد لیست متعادل از نظر یک نفوذگر دیتابیس یک سایت بزرگ و پر بازدید داخل یک کشور هست که انواع پسوردهای مورد نظر توی ذهن مردم اون کشورو توی خودش داره .
این تاپیکو ببینید من بحث پسورد ضعیفو داخلش توضیح دادم :
من اوایل خواستم با ابزار BruteSploit رمز اینستا رو تست کنم که متوجه شدم اگه پسورد متشکل از اعداد حروف کوچک حروف بزرگ و نماد باشه عملا باعث میشه هیچ ووردلیستی نتونه رمز رو بشکنه الانم با این سوال و جواب شما مطمئنتر شدم ...
یه سوال کلی ازتون داشتم شما پست های آموزشی رو زیاد زحمت ساختش رو کشیدین اگه در مورد اکسپلویت تاپیک یا مقاله ای که کلا چی هست چگونه استفاده میشه برام بفرستی ازت بینهایت ممنون میشم
من اوایل خواستم با ابزار BruteSploit رمز اینستا رو تست کنم که متوجه شدم اگه پسورد متشکل از اعداد حروف کوچک حروف بزرگ و نماد باشه عملا باعث میشه هیچ ووردلیستی نتونه رمز رو بشکنه الانم با این سوال و جواب شما مطمئنتر شدم ...
یه سوال کلی ازتون داشتم شما پست های آموزشی رو زیاد زحمت ساختش رو کشیدین اگه در مورد اکسپلویت تاپیک یا مقاله ای که کلا چی هست چگونه استفاده میشه برام بفرستی ازت بینهایت ممنون میشم
دوست گرامی معمولا برای سایتها مثل اینستاگرام از روش Dictionary استفاده میشه .. یعنی شما یک فایل شامل رمزهای مختلف دارید و اون را تست میکنید .. BruteForce معمولا جواب نمیده ..
من اوایل خواستم با ابزار BruteSploit رمز اینستا رو تست کنم که متوجه شدم اگه پسورد متشکل از اعداد حروف کوچک حروف بزرگ و نماد باشه عملا باعث میشه هیچ ووردلیستی نتونه رمز رو بشکنه الانم با این سوال و جواب شما مطمئنتر شدم ...
یه سوال کلی ازتون داشتم شما پست های آموزشی رو زیاد زحمت ساختش رو کشیدین اگه در مورد اکسپلویت تاپیک یا مقاله ای که کلا چی هست چگونه استفاده میشه برام بفرستی ازت بینهایت ممنون میشم
اینستاگرام که با brupsuite حتما باید یه پروکسی چنجر کنارش ست کنی وگرنه بعد از ۱۰ تا پسورد اشتباه بلاکت میکنه و باید از یه لیست پسورد شامل پسوردهایی که احساس میکنی قربانی ازشون استفاده میکنه استفاده کنی ُ مثل نام تاریخ تولد سن ماه تولد اسم همسر اسم حیوون خونگی علایق و .....
این نکته هم مهمه کشوری که میخای به یوزرش اتک بزنی اگر یه وبسایت پربازدیدشو بزنی و بتونی دیتابیسشو استخراج کنی خیلی کمکت میکنه.
کامران جان بابت توضیح ممنونم
تو سایت پروکسی لیست دارین ؟؟
من با هزار دردسر از github تقریبا 400 پروکسی جمع کردم که خیلیهاش غیر فعاله کجا میشه پروکسی لیست پیدا کنم
کامران جان بابت توضیح ممنونم
تو سایت پروکسی لیست دارین ؟؟
من با هزار دردسر از github تقریبا 400 پروکسی جمع کردم که خیلیهاش غیر فعاله کجا میشه پروکسی لیست پیدا کنم
اگر برای این ابزاری که آموزش دادم میخای نیاز نیست خودش بطور اتوماتیک پروکسی گرب میکنه .
سلام
دو سوال از یک شاخه دارم
اول اینکه پنهان کردن تروجان پشت عکس برای اندروید کار میکنه یا نه باید پشت یه فایل نصبی apk باشه؟
دوم هم اینکه میشه یک فایل نصبی apk که بصورت اتوماتیک نصب میشه و نیازی به تایید مالک دستگاه نداره رو بکار برد ؟
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ما برای ارسال تروجان میایم فایلمون رو با یک فایل نصبی اندروید به کاربر میفرستیم که اگه نصب نشه کار نمیکنه! این درصد موفقیتمون رو طبیعتا کاهش میده برای اینکه درصد موفقیت بالا بره یا باید با یه فایل jpg یا apk که خودکار نصب میشه ارسال کنیم ...
این موردی که میگم امکان پذیر هست ؟؟
سلام
دو سوال از یک شاخه دارم
اول اینکه پنهان کردن تروجان پشت عکس برای اندروید کار میکنه یا نه باید پشت یه فایل نصبی apk باشه؟
دوم هم اینکه میشه یک فایل نصبی apk که بصورت اتوماتیک نصب میشه و نیازی به تایید مالک دستگاه نداره رو بکار برد ؟
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ما برای ارسال تروجان میایم فایلمون رو با یک فایل نصبی اندروید به کاربر میفرستیم که اگه نصب نشه کار نمیکنه! این درصد موفقیتمون رو طبیعتا کاهش میده برای اینکه درصد موفقیت بالا بره یا باید با یه فایل jpg یا apk که خودکار نصب میشه ارسال کنیم ...
این موردی که میگم امکان پذیر هست ؟؟
در این مورد jpg نیاز به لود کردن یک Resours داره که در نهایت باید نصب بشه و فرقی با فایل نصبی نداره به همین خاطر بیشتر حملات بر روی اندروید از طریق نصب نرم افزارهای مخرب هست
در این مورد jpg نیاز به لود کردن یک Resours داره که در نهایت باید نصب بشه و فرقی با فایل نصبی نداره به همین خاطر بیشتر حملات بر روی اندروید از طریق نصب نرم افزارهای مخرب هست
درسته
ما الان بخوایم به اندروید نفوذ کنیم بدون اینکه کاربر بفهمه باید از چه روشی استفاده کنیم
نرم افزار مخرب رو بصورت خودکار می تونیم به دستگاه قربانی نصب کنیم ؟
ویرایش توسط Black Shadow : https://www.iranhack.com/forum/member/4361-black-shadow در ساعت 03-24-2019, 02:30 AM
مراحل نصب باید انجام بشه و ضعف این مساله همینه بنابراین یکی از راههای نفوذ معرفی نرم افزارهایی در عین حال کاربردی ولی مخرب هست ... به طور مثال تلگرام های که با نسخه های متعدد و اسم های عجیب غریب داخل فضاهای مجازی معرفی میشه نرم افزار های سرقت اطلاعات هستند . پیشنهاد میکنم آسیب پذیری های اندروید را هم بررسی کنید .
نظر