هک

آموزش و نحوه نصب سیستم عامل مک MacOS Sierra 10.12 روی ماشین مجازی VirtualBox در لینوکس و ویندوز

سلام

ماجرا از این قراره که من می‌خوام شروع کنم به یادگیری برنامه نویسی برای iOS تا شاید بتونم از ایده‌ای که دارم پول در بیارم!! اینجوری شاید هزینه‌ی ۱۵ گیگابایت ترافیکی که برای نصب MacOS Sierra و Xcode صرف کردم رو جبران کنه!! البته نگران نشو! قرار نیست تو ایـــــــنهمــــه ترافیک هدر بدی. چرا؟! چون تمدن اینجاست تا راه‌های اشتباهی که خودش رفته رو تو دیگه نری...

یه جستجویی کردم و متوجه شدم بهترین راه‌حل برای برنامه‌نویسی iOS اینه که در سیستم‌عامل Mac OS با Xcode برنامه‌نویسی کنم اما مشکل این بود که من مثل بعضی از مهندسین پولدار یا شنونده‌های بی‌دغدغه (منظور اون‌هایی که فقط با لپ‌تاپ آهنگ گوش می‌دند!)  سیستم مک ندارمcheeky

این شد که شروع کردم به جستجوی عباراتی مثل install sierra on virtualbox ubuntu...  و نتیجه‌ش این شد که الان در عکس می‌بینی:

کابوس ۷ آوریل- باجگیری از شرکت اپل

سلام

Hackers Threaten to Remotely Wipe 300 Million iPhones Unless Apple Pays Ransom

هنوز می‌گی که محصولات اپل، امن‌ترین محصولات جهانه و هیچ وقت هک نمیشه؟!

هنوز یادمون نرفته که پارسال با هک سرویس iCloud عکس‌های خصوصی بسیاری از شخصیت‌های مشهور دنیا پخش شد و (صرفا!) برای مقطعی سر و صدای زیادی به پا کرد.

البته اون موقع هم بعضی‌ها معتقد بودند که اپل هک نشده و هکرها یا تونستند سرویس‌دهنده‌های ثالث (third-partyها) رو هک کنند و یا پسورد این افراد از روش دیگه‌ای به دست اومده.

آما...

Remotely Wipe 300 Million iPhones Unless Apple Pays Ransom

کلاهبرداری #1: روشی برای دزدی از هکرها-شارژ ایرانسل رایگان

سلام

همیشه رسمه که هکرها از بقیه مردم کلاهبرداری می‌کنند. از یه طرفی هم می‌گن دزد که از دزد بزنه شاه‌دزده...

اما به نظر من کسی که اینکار رو کرده شاه‌ هکرها نیست چون... (برای اینکه سه نقطه رو پر کنم باید اول واست بگم که چه اتفاقی افتاده و بعد خودت پرش کنی!)

fraud_section1_Irancell_

چند سال پیش بود که مثل خیلی از هکرهای جویای نام، راه درست رو نمی‌شناختم و  در فروم‌های (به اصطلاح) تخصصی هکینگ سرگردون بودم و ول‌چرخی می‌کردم! تا اینکه با یک پست بسیار جذاب آشنا شدم...

عنوان اون مطلب این بود که:«هک ایرانسل: خرید شارژ ۲۰۰۰ تومنی ایرانسل با پرداخت ۱۰۰ تومان!!»

دیکشنری و فرهنگ لغت و اصطلاحات تخصصی هکینگ

سلام

بالاخره کاری که مدت‌ها در فکرم بود رو انجام دادم و برای اولین بار لغت‌نامه‌ای از اصطلاحات هکینگ رو به صورت اختصاصی در وبلاگ منتشر کردم.

این اصطلاحات مواردی بوده که به مرور زمان یادداشت کردم و ممکنه بعضی از ترجمه‌ها اشکال داشته باشه.

خواهشی که ازت دارم اینه که اولا اگر موردی نیاز به اصلاح داشت بهم بگی و اگر کلمه‌ی جدیدی رو دیدی که توی این لیست نبود، بهم ایمیل کنی تا به مرور زمان و به کمک هم یک دیکشنری تخصصی در زمینه‌ی هک رو بنویسیم!!

فعلا این دیکشنری ۱۱۲ لغت داره...

 

یک توصیه امنیتی ساده در خرید اینترنتی

سلام

اینکه کسی نخواد خرید اینترنتی کنه که در عمل غیرممکنه. همیشه هم که نمیشه از منزل (که مثلا سیستم عامل لینوکس داری و «شاید» امن باشه) خرید کنی.

ممکنه یهویی یه کاری پیش بیاد که بخوای از کافی نت خرید کنی یا برای ثبت‌نام دانشگاه مجبور شی از ویندوز استفاده کنی یا هر چیز دیگه‌ای...

security affairs agains bank hacking

مصاحبه با یک هکر- Anonrising freesec

سلام
سایت Security Affairs با هکر کلاه سفیدی به نام Anonrising freesec مصاحبه کرده که بخشی از اون رو در ادامه می‌بینید. این مصاحبه به صورت بسیار شفاف و ساده بوده و از جنبه‌های سینمایی و هالیودیِ هکینگ به دوره. به همین دلیل برای کسانی که دنبال آشنایی با هکرها در دنیای واقعی‌اند، خوندن این مصاحبه رو پیشنهاد می‌کنم.

کی میشه یک نفر هم با تمدن مصاحبه کنه؟!!

interview with freesecpower about hacking

 پیش‌زمینه‌های فنی و زمان شروع به هکینگ:

هک رو از سال ۲۰۱۲ شروع کردم. در اون زمان علم زیادی نداشتم و صرفاً با کامپیوترها و شبکه‌ها ور می‌رفتم. قسمت اصلی از دانشم مربوط به تکنیک‌ها و زبان‌های برنامه‌نویسی مانند پرل، PHP و پایتون میشه که هر روز تمرین می‌کردم و مهارتم بیشتر می‌شد.
دسته‌ی بعدی مربوط به آشنایی با آسیب‌پذیری‌ها و اکسپلوییت‌های عمومی مثل SQL Injection، RFI و XSS میشد که در ادامه با سایر روش‌ها هم آشنا شدم. البته مهارت زیادی هم در خصوص روش‌های DDoS و DoS در لایه‌‌ی 3/7 دارم.

پرکاربردترین پسوردها در هک‌های مختلف ازجمله هک لینکدین

سلام
نمی‌دونم خبر دارید یا نه ولی شبکه اجتماعی لینکداین این هفته هک شد و هکرها مشخصات کاربری ۱۱۷ میلیون نفر رو افشاء کردند. این سایت خیلی وقت پیش هک شده بود ولی به تازگی خبر هکش منتشر و عمومی شده. ضمنا هکرها شروع کردند به فروش یوزرنیم و پسوردها... اگر پول دارید و فکر می‌کنید به دردتون می‌خوره بیکار نشینید!

در مورد هک لینکدین باید گفت که برای نگهداری پسوردها از هش SHA1 استفاده شده اما چون salt نداره پسوردهای عمومی و ساده کرک میشن
و اینکه این ماجرا به هک سال ۲۰۱۲ میلادی برمیگرده و در حال حاضر لینکدین جزو امن‌ترین سرویس‌دهنده‌های تحت وبـه.
قیمت فروش لیست ۱۱۷ میلیون حساب کاربر هک‌شده‌ی لینکدین  در بازار سیاه معادل ۵ بیت‌کوین (حدود ۷.۵ میلیون تومان) هستش...

 

pass weak

گروه Ehacking تمام پسوردهایی که تا الان منتشر شدند رو به علاوه پسوردهای لینکداین مورد بررسی قرار داده و ۴۹ مورد از پراستفاده‌ترین پسوردها را به شکل زیر لیست کرده؛ ضمنا برای اینکه بدونید یک پسورد قوی چه ویژگی‌هایی داره می‌تونید به مطلب «ویژگی های یک پسورد خوب و قوی» سربزنید.

Rank Password Frequency
1 123456 753,305
... ... ...

ارزیابی مهارت خود در هکینگ به صورت قانونی و عملی

سلام

امیدوارم سال نوت مبارک باشه و در این سال کلی خوشی داشته‌باشی...

یکی از خواننده‌های عزیز (البته منظورم readerـه و نه singer؛ هرچند ممکنه جفتش هم باشه. من از کجا باید بدونم آخه؟) در خصوص حمله‌ی XSS در مستندات اواسپ و مثال‌های اون، سوال پرسید و اینکه چجوری می‌شه این حملات رو پیاده‌سازی کرد.

hack me Ehacking and practical skills.jpg

البته فکر می‌کنم منظور این دوست عزیزمون این بود که من بهش تارگت معرفی ‌کنم laugh اما من به جاش فکر دیگه‌ای به ذهنم رسید که هم مشکل ایشون حل بشه و هم کار غیرقانونی نکرده باشیم و همچنان به راه Ethical Hacking ادامه بدیم البته مثلا!

خوب من می‌خوام به این سوال به صورت کلی‌تر پاسخ بدم. از اینجا به بعد سعی می‌کنم دیگه حاشیه رو کم کنم. سوال اینه که:

من چجوری می‌تونم به صورت قانونی و عملی دانش خودم در هکینگ رو امتحان کنم؟

نفوذ به سیستم‌های لینوکسی با ۲۸ بار فشاردادنِ «Backspace»

سلام

Hack into a Linux Computer just by pressing 'Backspace' 28 times
Back to 28: Grub2 Authentication 0-Day

grub bypass header

این آسیب‌پذیری برمی‌گرده به Grub. گراب به زبان ساده همون صفحه‌ایه که موقع بوت شدن سیستم از شما می‌پرسه که برم توی لینوکس یا برم توی ویندوز؟ و شما هم همیشه می‌گین برو توی لینوکس...

گراب، یک محیط به نام «Grub rescue shell» داره که قبل از ورود به لینوکس می‌تونه به تموم کامپیوتر دسترسی پیدا کنه و هکر به وسیله‌ی اون فایل‌ها رو تغییر بده و حتی روی سیستم بدافزار نصب کنه...

در این روش، اگر زمانی که وارد این محیط می‌شین، دقیقا و فقط ۲۸ مرتبه دکمه‌ی backspace رو فشار داده و بعد دکمه‌ی Enter رو بزنید؛ دیگه از شما یوزرنیم و پسورد نمی‌خواد و اجازه می‌ده که دستورات خودتون رو بدون اعتبارسنجی اجرا کنید...

اجرای دستور از راه دور در تمام نسخه‌های جوملا ۱.۵ تا ۳.۴.۴

سلام

Critical 0-day Remote Command Execution Vulnerability in Joomla; CVE-2015-8562

من چارچوب کلی این مطلب رو از وبلاگ sucuri برداشتم و بعضی چیزها رو بهش اضافه کردم اما قبل از خوندنش بدونید که نحوه‌ی اکسپلویت این باگ به صورت عمومی پخش شده و واقعا وحشتناکه! با توجه به گستردگی استفاده از جوملا در ایران به نظرم اتفاقات خیلی بدی قراره بیفته devil

header

تیم امنیتی جوملا نسخه‌ی جدیدی از جوملا رو ارائه دادند که یک باگ سطح بالا رو وصله می‌کنه. این رخنه به هکر اجازه می‌ده تا از راه دور دستورات خودش رو در سایت شما اجرا کنه و تمام نسخه‌های ۱.۵ تا ۳.۴ نسبت به این قضیه آسیب‌پذیرند.

این آسیب‌پذیری بسیار جدیه و به راحتی قابل اکسپلویت کردنه و از اون روی سایت‌های زیادی استفاده شده...

صفحه‌ها