2 ارسال در این موضوع قرار دارد

سلام 

امروز دومین برنامه ام رو برای تیم نوشتم برنامه قبلی که در زمینه کرک هش به صورت آفلاین و آنلاین بود در این تاپیک هستش و یکی از کاربران گرامی هششون رو گذاشته بودن و گفته بودن کرک نمی کنه هش شمارو سایت hashkiller.co.uk هم کرک نکرد بعد انتظار دارید برنامه بنده کرک کنه ؟ گناه داره طفلکی اینقد براش سخت نگیرید خب این هم از سرور های همین سایت ها استفاده می کنه دیگه البته چند تا جدید هم پیدا کردم ولی به دلیل حذف سورس برنامه دیگه نمی تونم قرار بدم و نوشتن دوباره این برنامه هم از حوصله ما خارجه .... خب به هر حال براتون اسکریپتی رو آماده کردم مخصوص دوستان و کاربرانی هست که تازه شروع کردن به یادگیری آسیب پذیری های PHP مثل خودم :) این اسکریپت به زبان PHP نوشته شده و مخصوص تست کردن آسیب پذیری های PHP رو لوکال هاستتون هست . با این اسکریپت دیگه نیازی به تارگت ندارید چون از هرکدوم یکی رو لوکال هاستتون دارید :) و میتونید تست کنید در ضمن نیازی به پایبیس کردن هم ندارید . این اسکریپت مثل DVWA هستش ولی با این تفاوت که کار باهاش راحت تره و مخصوص دوستان تازه کار مثل خودم نوشته شده . این اسکریپت 11 آسیب پذیری داره که شامل : 

- SQL Injection

- Blind SQL Injection

- Authentication Bypass

- XSS Stored

- XSS Reflected

- File Upload

- Cross Site Request Forgery

- Remote File Inclusion

- Local File Disclosure/Download

- Remote Code Execution

- Remote Command Execution

میشه :D عکس از محیط اسکریپت :

Capture.thumb.PNG.be408e7daddffa51b0a34ba1e9881002.PNG

توی این ویدیو مروری می کنم بر تمامی آسیب پذیری ها و به سرعت قسمت های مختلف اسکریپت رو نشون میدم :

لینک در آپارات

http://www.aparat.com/v/vu10C

و در این ویدیو هم چیز خاصی نشون نمی دم فقط قسمت هایی که باید اطلاعات رو برای نصب اسکریپت بگیرید نشون میدم

لینک در آپارات

http://www.aparat.com/v/owHT5

همینطوریم میگم برای دوستانی که نمی خوان فیلم ببینن پیشنهاد من استفاد از نرم افزار xampp هستش اگه تازه میخواید نصب کنید و یا نصب کردید که نیازی به وارد کردن تنظیمات نیست فقط محتویات فایل فشرده رو بریزید تویه یه پوشه تویه htdocs حالا هرچی می خواد باشه بعد apache و mysql رو اجرا کنید دقت کنید هر دوش باید اجرا باشن بعد برید به localhost/file name in htdocs اگرم که نصب کردید و یوز و پسورد دیتابیس رو عوض کردید به config/config.php برید و به جای یوزر که نوشتم root و پسورد که خالی گذاشتم یوزر و پسوردتون رو بنویسید . خب حالا نیاز به سه کار دارید دوتاش رو اسکریپت خودش اگر انجام ندید ازتون ایراد می گیره ولی یکیش رو نه یادم رفته وارد کنم الان که آپلود کردم یادم اومد ولی عیبی نداره خب به این آدرس برید

C:\xampp\php\php.ini

سرچ کنید file_uploads و اگر off هست on بنویسید دوباره سرچ کنید allow_url_include و دوباره مقدار رو برابر on قرار بدید دوباره سرچ کنید allow_url_fopen و on کنید و apache رو ریستارت کنید و اسکریپت آماده کار هستش فقط به یکی از آدرس های زیر برید

localhost/[file_name]
127.0.0.1/[file_name]

موفق باشید :D

اگر خوب لایک و تشکر خورد ورژن دوش هم با باگ های پر استفاده روز براتون قرار می دم و تاپیکی رو هم میسازم و آموزش کار با هر آسیب پذیری و پچ کردن آسیب پذیری رو به صورت حرفه ایی آموزش می دم.:wub:

درضمن توسط مدیریت کل تیم

GI_VULN.rar

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

ورژن دو :)

vulnurability.jpg

 

ورژن دو اسکریپت Vulnerable Web Application رو طراحی کردیم با تغییرات بسیار زیاد :)

لیست تغییرات :

- اضافه شدن 3 آسیب پذیری جدید

- رفع باگ ها

- ساخته شدن قسمت template برای دوستانی که قصد ادیت اسکریپت رو دارند

- طراحی جدید بر پایه Bootstrap 4

لیست تمام آسیب پذیری ها : 

Sql Injection
Blind Sql Injection
Authentication Bypass
XSS Stored
XSS Reflected
File Upload
Cross Site Request Forgery
Remote File Inclusion
Local File Disclosure/Download
Remote Code Execution
Remote Command Execution
PHP Object Injection

آموزش تنظیمات اسکریپت

این اسکریپت مخصوص افراد مبتدی طراحی شده پس باید کار باهاش خیلی راحت باشه که هست :)

فقط کافیه یک دیتابیس بسازید و وارد فایل config در ادرس config/config.php بشید و اطلاعات دیتابیس رو وارد کنید

<?php
$_sv = "host here";
$_user = "db username here";
$_pass = "dbpass here ";
$dbnamegi = "db name here";
?>

و تمام :) 

در ورژن دو تغییرات بسیار زیادی در سورس هر قسمت انجام گرفته که میتونید خودتون مشاهده کنید قسمت learn more پیشرفته تر شده و برای هر قسمت شما حداقل سه آموزش رو دارید به علاوه میتونید با وب سایت های آموزش هک و امنیت هم آشنایی پیدا کنید...

ان شالله اگر که بیکار بودم خودم توی تاپیکی که ایجاد کردم هر قسمت رو آموزش میدم :) 

لینک در گیت هاب :

Github

تصویر محیط اسکریپت : 

Capture.PNG

موفق باشید :wub:

vulnerable web app.rar

vulnerable web app.rar

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری