ts icon
سرور تیم اسپیک گاردایران

پرچمداران

  1. DeMoN

    DeMoN

    مدیر ارشد


    • امتیاز

      817

    • تعداد ارسال ها

      2,564


  2. mownten

    mownten

    کاربر انجمن


    • امتیاز

      334

    • تعداد ارسال ها

      313


  3. 1TED

    1TED

    کاربر فعال


    • امتیاز

      285

    • تعداد ارسال ها

      531


  4. RT3N

    RT3N

    مدیر تیم


    • امتیاز

      258

    • تعداد ارسال ها

      511



مطالب محبوب

در حال نمایش مطالب دارای بیشترین امتیاز از زمان سه شنبه, 7 خرداد 1398 در همه بخش ها

  1. 15 امتیاز
    با سلام خدمت تمامی کاربران و اعضای محترم تیم امنیتی گارد ایران کلود هاوند ابزاری قدرتمند به جهت عبور از سیستم محافظتی کلودفلیر و به دست آوردن آی پی اصلی تارگت می باشد ؛ این ابزار به زبان PHP با کیت کنسول اپلیکیشن رد فریم ورک پیاده سازی شده و به جرات می توان گفت هیچ رقیب هم ترازی برای این ابزار وجود ندارد . متود های استفاده شده برای بایپس پایگاه داده شخصی گاردایران از وبسایت های تحت حفاظت کلودفلیر (در حال حاضر این دیتابیس دارای بیشتر از دو میلیون رکوردست است که روز به روز به این تعداد افزوده می شود ؛ این دیتابیس دارای سیستم Automatic Farming فعال بر روی VPS است که روزانه عمل Farming از سطح اینترنت را انجام خواهد داد) حمله افشای آی پی (این حمله از طریق متد پینگ بک ، استفاده شده در سیستم های مدیریت محتوا امکان پذیر است) اسکن گسترده زیر دامنه ها (بیشتر از 10 هزار زیر دامنه رایج) نیازمندی های کلودهاوند پی اچ پی ورژن پنج به بالا افزونه PHP_PDO_SQLITE نحوه استفاده خط فرمان یا ترمینال را در پوشه ریشه ای نرم افزار باز کرده و دستور زیر را تایپ کنید : php application از زمان اجرای نرم افزار دو فرمان عملیاتی در دسترس شما قرار دارد : detect hostname whois hostname ویدیو معرفی توسعه دهندگان کاری مشترک از : @R3dC0d3r & @RT3N پی نوشت تمامی حقوق این نرم افزار متعلق به تیم امنیتی گارد ایران می باشد کلودهاوند دارای لایسانس GPL 3 می باشد ؛ هرگونه تخطی از قوانین مربوط به این لایسانس برابر قطع دسترسی از API گاردایران خواهد بود - مخزن گیت هاب کلود هاوند CloudHound V1.0.0.zip
  2. 10 امتیاز
    اموزش کامل اسکریپت نویسی مجموعه اموزشی اسکریپتینگ از سه بخش اصلی تشکیل میشه بخش اول کامند لاین و پیش نیاز های اسکریپت نویسی رو تشکیل میده در بخش دوم اسکریپت نویسی رو از پایه شروع میکنیم و تا سطح متوسط پیش میریم (صفحه دوم) و در بخش سوم مباحت مربوط به اسکریپت نویسی پیشرفته رو دنبال میکنیم لطفا به هیچ عنوان اسپم ندید و اگر امری بود در پیام خصوصی عنوان کنید __________________________________________________________________________________________________________________ بخش اول - قسمت یکم یکی از راه های وصل شدن به CLI یا command line interface یا همان رابط کاربری خط فرمان ، استفاده از لینوکس بدون دسکتاپ هستش درست مثل لینوکس در دوران قدیمش که شما فقط با یک محیط ویژال کنسول سر و کار داشتید برای ویژال کنسول کردن محیط گرافیکی هم میتونیم از Alt + Ctrl + F1 / F7 استفاده کنیم که هر کدوم از اف ها یک محیط ویژال کنسول مجزا برامون فراهم میکنن که مستقیم به ران لول عمیق تر وصل اند و حتی میتونیم همزمان با یوزر های مختلف لاگین کنیم هر کدوم از این محیط های کنسولیه مجزا شماره ی مربوط به خودشون رو دارن که در tty دیده میشه مثلا وقتی شما با Alt + Ctrl +F2 دومین محیط کنسولیه خودتون رو باز میکنید و با همون یوزر یا یوزر دیگه ای لاگین میکنید در اولین خط مقدار tty2 رو میتونید ببینید که نشون میده شما در دومین محیط کنسولیتون قرار دارید برای شیفت کردن بین tty ها از همون Alt + Ctrl + F با شماره ی tty مورد نظر استفاده میشه تو این مورد F1 ( برگشتن از محیط کنسولیه دوم ( با مقدار tty2 ) به محیط کنسولیه اولیه ( با مقدار tty 1 ) ) بعد از شیفت کردن بین کنسول ها ، تمام کنسول ها با هر یوزری که دارن در حالت لاگین میمونن و اعمالی که باهاشون انجام شده هم دست نخورده باقی میمونه که این موضوع انسجام و انعطاف قابل توجهی به وجود میاره ما میتونیم درون محیط های کنسولی هم از text mode console terminal برای کاستومایز کردن محیط کنسول استفاده کنیم با استفاده از دستور setterm برای مثال من چند مورد رو قرار میدم ، که البته خودتون با help میتونید لیست متنوع دستور setterm رو ببینید setterm -background black white red blue green yellow magenta cyan تغیر رنگ پس زمینه به یکی از رنگ هایی که اسمش رو نوشتم setterm -foreground green تغیر رنگ متن به سبز ( یا هر رنگی که اسمش رو بنویسید ) inversescreen on or off برعکس کردن رنگ زمینه و متن store ذخیره ی تغیرات reset برگشت به حالت پیش فرض روش بعدی وصل شدن به شل استفاده از ترمینال های گرافیکی از داخل محیط دسکتاپ هستش این ترمینال ها روی کنسول کار میکنن ولی از داخل محیط گرافیکی دسکتاپ ترمینال های مختلفی در محیط گرافیکی وجوده که هر کدوم اپشن های خودشون رو دارن ، ولی چون کار اصلیه مارو شل ها انجام میدن و این ترمینال ها صرفا رابط هستن ، استفاده از هر کدومشون بیشتر جنبه ی سلیقه ای داره در زیر من لیست پر استفاده هاشون رو با سایت هاشون برای علاقه مندان میزارم Eterm http://www.eterm.org Final Term http://finalterm.org GNOME Terminal https://help.gnome.org/users/gnome-terminal/stable Guake https://github.com/Guake/guake Konsole Terminal http://konsole.kde.org LillyTerm http://lilyterm.luna.com.tw/index.html LXTerminal http://wiki.lxde.org/en/LXTerminal mrxvt https://code.google.com/p/mrxvt ROXTerm http://roxterm.sourceforge.net rxvt http://sourceforge.net/projects/rxvt rxvt-unicode http://software.schmorp.de/pkg/rxvt-unicode Sakura https://launchpad.net/sakura st http://st.suckless.org Terminator https://launchpad.net/terminator Terminology http://www.enlightenment.org/p.php?p=about/terminology tilda http://tilda.sourceforge.net/tildaabout.php UXterm http://manpages.ubuntu.com/manpages/gutsy/man1/uxterm.1.html Wterm http://sourceforge.net/projects/wterm xterm http://invisible-island.net/xterm Xfce4 Terminal http://docs.xfce.org/apps/terminal/start Yakuake http://extragear.kde.org/apps/yakuake خوب دوستان این قسمت بیشتر جنبه ی مقدمه ی بخش اول و اشنایی علاقه مندان با کنسول رو داشت به همین دلیل سعی کردم خیلی کوتاه و خلاصه توضیحش بدم ، در قسمت دوم دستورات خط فرمان رو شروع میکنیم دوستان هرکس سوال ، پیشنهاد یا انتقادی داشت لطفا پیام خصوصی بدین و به هیچ عنوان اسپم ندید
  3. 9 امتیاز
    قبل از اینکه دوستان راهنماییتون کنند باید با خودتون بشینید فک کنید! هدفتون چیه , ارتیست بازی؟ تخریب ؟ چی شمارو به این فکر رسوند که هکر بشید؟ اجازه بدید کلیشه ای برخورد کنم با قضیه چه نوع هکری؟ کلاه سفید , سیاه ....؟ از نوع سوال شما مشخص هستش حتی کوچکترین تلاشی هم براش نکردید که اگر میکردید سوالتون رو در مسیر مشخص تری مطرح میکردید با این حساب بعد از کلی کن کاشت کردن و جستجو میرسید به چندتا ابزار اماده و استفاده از اونها و داستانی که برای همه پیش میباد توهم هکر بودن که با این نوع ذهنیت ها واژه هک هم خنده دار شده و میشه به عنوان تمسخر یک شخص ازش استفاده کنید. اول مطالعه کنید راجع به هکر ها بعد سوالتون رو مطرح کنید تا عزیزان راهنماییتون کنند و سردرگم نشید شما یک شخص رو توی یک دنیای دیگه میخوایید پیدا کنید و فقط اسم طرف رو بلدید جزییات سوال شما تا این حد گنگ هست انتظار نداشته باشید جواب مشخص بگیرید. هر نوع تایپ از هکری که میخواید بشید مسیر و نقشه راه طولانی در پیش دارید که هر مسیری یه دنیا برای خودش داره و یک علم هستش یکی از این مسیر های مهم برنامه نویسی هستش. شما اماده اید با مجموعه ای از علم ها روبرو بشید؟ بله هک مجموعه ای از چندین علم هستش سختش نمکنم اما اهمیت موضوع رو براتون توضیح دادم اگه ارادشو دارید پس بسم الله... موفق باشید.
  4. 9 امتیاز
    البته کد های این فایل ، که assembly نامیده میشه ، کد های زبان برنامه نویسی اسمبلی نیست ! منبع متن زیر : https://www.aftabir.com/ ● مانیفیست اسمبلی ( Assembly Manifest ) یک اسمبلی شامل بلاکی از داده ها است که "مانیفست " ، نامیده می شود . مانیفست ، جدولی است که هر entry آن نام یک فایل بوده و بعنوان بخشی از اسمبلی در نظر گرفته خواهد شد.مانیفست شامل متا دیتا ئی است که بمنظور مشخص نمودن ملزومات ورژن ، یکسان سازی امنیت ، و سایر اطلاعاتی مورد نیازی است که از آنان بمنظور تعریف حوزه اسمبلی و مراجع لازم بمنظور دستیابی و استفاده از منابع ها و کلاس ها ، استفاده می گردد. با توجه به اینکه متادیتا باعث می شود که یک اسمبلی دارای ویژگی خود تشریحی گردد ، CLR همواره دارای اطلاعات مورد نیاز در رابطه با اسمبلی بمنظور اجراء آن خواهد بود . تمامی برنامه ها که توسط CLR اجراء می گردند ، می بایست ترکیبی از یک و یا چندین اسمبلی باشند . تمام فایل هائی که یک اسمبلی را ایجاد می نمایند در مانیفست اسمبلی لیست می گردند . منبع متن زیر :http://maven.apache.org/ An "assembly" is a group of files, directories, and dependencies that are assembled into an archive format and distributed. و در اخر میتونید برای اطلاعات بیشتر به داکیومنت های مایکروسافت مراجعه کنید: An assembly manifest is an XML file that describes a side-by-side assembly. Assembly manifests describe the names and versions of side-by-side assemblies, files, and resources of the assembly, as well as the dependence of the assembly on other side-by-side assemblies. Correct installation, activation, and execution of side-by-side assemblies requires that the assembly manifest always accompany an assembly on the system.
  5. 9 امتیاز
    با سلام و درود خدمت تمامی اعضای محترم گارد ایران رد فریم ورک درواقع فریمورکی مدرن ، وابسته به الگوی مدل - ویو - کنترلر با بسیاری ابزار و اجزای ساختار یافته نوشته شده به زبان پی اچ پی و تلفیق شده با فریمورک سمت فرانت (رد جی اس) توسط اینجانب م.عزیزخانی به جهت رشد و پیشرفت جامع برنامه نویسی و استفاده هموطنان عزیز کشورمان توسعه داده شده . بعد از گذشت یک سال ، رد فریم ورک به ورژن 1.0.0 خودش رسیده و در 2 کیت عرضه شده : کیت جامع کیت جامع یک فریم ورک مدل - ویو - کنترلر و چند منظوره به جهت سازماندهی و سرعت بخشی روند توسعه است از برخی اجزای با کیفیت آن می توان به کامپونت های زیر اشاره کرد : موتور پایگاه داده قدرتمند قادر به پشتیبانی سه پایگاه داده معروف (MySQL, SQLServer, SQLite) ، سه جایگاه دیتابیس ، ORM با عملکرد بالا قادر به پیشتیبانی تمامی عملکرد های دیتابیس سیستم کد امنیتی آسان سرویس صندوق پست (SMTP Mail Server) سرویس آپلود امن سرویس ارزیابی ، فیلتر و زدودن رشته سیستم چند زبانه ساختار یافته سیستم مسیر یابی حرفه ای ، مجهز به Middleware ورودی های مدیریت شده (پارامتر های URL ، متد GET ، متد POST و ...) نشست های ساختار یافته و رمز گزاری شده ابزار عیب یابی قدرتمند و ... کیت کنسول اپلیکیشن کیت کنسول اپلیکیشن شامل تمامی اجزای ضروری و سیستم فرمان به جهت توسعه هرچه سریع تر کنسول اپلیکیشن در پی اچ پی آماده سازی شده است . به کمک این کیت قادرید کنسول اپلیکیشن پیشرفته خود را در بستر پی اچ پی توسعه دهید . رد آنالیتیکس رد فریم ورک همراه با یک ابزار قدرتمند به نام رد آنالیتیکس ارائه شده ؛ رد آنالیتیکس یک ابزار چند منظوره هست که به جهت سرعت بخشی روند توسعه مثل اجرای برنامه بر روی سرور توسعه ، تولید کردن کنترلر - مدل - ویو - میدل ور ، آنالیز روت ها یا فرمان های اپلیکیشن در دسترس توسعه دهنده قرار داده شده . رد آنالیتیکس به زبان شیرین جاوا به جهت یک برنامه Cross Platform برنامه نویسی شده ؛ با این حساب توسعه دهنده قابلیت اینو داره که در هر جایی پروژه رد فریم ورکش رو با رد آنالیتیکس توسعه بده ! این ابزار سازگاری لازم با هر دو کیت رو داره رد جی اس رد فریم ورک تعامل جالبی رو با جاوا اسکریپت برای توسع دهندگان فراهم کرده است بنده به جهت نزدیک تر کردن رابطه Back End و Front End دست به توسعه یک فریم ورک جوا اسکریپتی بردم و در حال حاضر این فریم ورک به نسخه 1.0 خودش رسیده . از قابلیت های رد جی اس میتوان به موارد زیر اشاره کرد : پیروی از الگوی طراحی MVC کد نویسی درون تگ های HTML دسترسی آسان به المان و تغییر ویژگی آن ارسال درخواست AJAX مدیریت کوکی ها افکت گرافیکی سرویس ارزیابی ، فیلتر و زدودن رشته نصب و ساخت پروژه ساخت پروژه با کیت جامع از طریق کامپوزر : composer create-project redframework/enterprise ساخت پروژه با کیت کنسول اپلیکیشن از طریق کامپوزر : composer create-project redframework/console-kit ساخت پروژه از طریق ابزار رد آنالیتیکس : * ابزار رد آنالیتیکس در انتهای این پست ضمیمه شده است - مخزن گیت هاب برای توسعه دهندگان کیت جامع کیت کنسول رد جی اس هسته کیت جامع هسته کیت کنسول - لینک های مهم وبسایت رسمی (در دست طراحی) مستندات سوال و جواب های عمومی * هرگونه به روز رسانی و Patch Note در همین تاپیک پست خواهد شد . Red Analytics.jar Offline Docs (1.0).zip
  6. 8 امتیاز
    curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py sudo python get-pip.py یا sudo apt update Installing pip for Python 3: sudo apt install python3-pip Installing pip for Python 2: sudo apt install python-pip
  7. 8 امتیاز
    42 میلیون شناسه کاربری و شماره تلفن کاربران یک نسخه غیر رسمی از تلگرام، بدون هیچگونه احراز هویت مورد نیاز برای دسترسی به داده های آن در معرض دید آنلاین قرار گرفت. تمامی حساب های کاربری متعلق به کاربران ایرانی است، این در حالی است که نسخه رسمی Telegram در ایران مسدود شده است. بر اساس گزارش های ارائه شده توسط یک محقق امنیتی به نام Bob Diachenko، وی در آشکار سازی و گزارش این اطلاعات با شرکت تحقیقاتی Comparitech همکاری داشته است. این اطلاعات شامل نام کاربری و شماره تلفن کاربران به همراه داده های اساسی دیگر است. داده ها توسط گروهی به نام “سامانه شکار” در یک کلاستر Elasticsearch ارسال شده است که برای دسترسی به آن هیچ گونه رمز عبور و احراز هویتی لازم نبود. این داده ها در 25 مارس سال جاری، پس از آنکه Diachenko این واقعه را به سرویس دهنده گزارش داد، حذف شدند. توسعه دهندگان تلگرام رسمی در واکنش به این رویداد اظهار کرده اند داده ها از یک “انشعاب” غیر رسمی تلگرام گرفته شده است، نسخه ای از این برنامه که با شرکت اصلی تلگرام سازگار نیست. Telegram یک برنامه منبع باز است و به اشخاص ثالث این اجازه را می دهد تا نسخه های مربوط به خود را تهیه و شخصی سازی کنند. از آنجا که نسخه رسمی تلگرام غالباً در ایران مسدود شده است. با وجود هشدارهای توسعه دهندگان اصلی تلگرام، مردم ایران هنوز از نسخه های غیر رسمی استفاده می کنند. برنامه های تلگرام منبع باز هستند، بنابراین استفاده از برنامه های رسمی که از ساختار های قابل اطمینان پشتیبانی می کنند، مهم است. این حادثه بار دیگر نیز در سال 2016 اتفاق افتاد، زمانی که رویترز خبر افشای 15 میلیون شناسه کاربری تلگرام به همراه شماره تلفن و کدهای تأیید یک بار مصرف، توسط هکرهای ایرانی را شناسایی کرد که بیش از میلیون ها حساب کاربری به خطر افتاده بود. چه اطلاعاتی در معرض دید قرار گرفته است؟ این پایگاه داده حاوی بیش از 42 میلیون پرونده شامل داده های کاربران ایرانی است شامل: شناسه حساب کاربری نام کاربری شماره تلفن هش و کلیدهای مخفی خوشبختانه هش ها و کلیدهای مخفی از پایگاه داده را نمی توان برای دسترسی به حساب ها استفاده کرد. به گفته سخنگوی تلگرام، آنها فقط از داخل حسابی که متعلق به آنها هستند، کار می کنند. منبع: https://www.comparitech.com/
  8. 8 امتیاز
    به نام خدا جوملا نیز همانند وردپرس یکی از مجبوب ترین و پراستفاده ترین سیستم های مدیریت محتوا در وب است. رعایت نکات امنیتی و امن کردن این سیستم مدیریت محتوا یکی از مهمترین موضوعاتی است که مدیران وب سایت ها باید به آن توجه کنند. در این آموزش نکات امینتی را بیان کرده ایم که با رعایت کردن این نکات می توان به امنیت قابل قبولی دست یافت. حذف کردن فایل های htaccess.txt و LICENSE.txt و README.txt و web.config.txt بعد از اینکه فایل های نصبی جوملا را در از حالت zip خارج کردید اقدام به حذف فایل های htaccess.txt و LICENSE.txt و README.txt و web.config.txt کنید. برای اینکه اطلاعات اولیه را از دسترس اسکنرها خارج کنید حتما این فایل ها را حذف کنید. انتخاب یوزر و پسورد مناسب در آدرس site.com/installation/index.php اقدام به نصب جوملا کنید. در قسمت تنظیمات اصلی برای نام کاربری مدیر ارشد، یک یوزر مناسب و برای پسورد هم پسوردی مناسب را انتخاب کنید. دقت کنید از admin برای نام کاربری مدیر اصلی سایت استفاده نکنید. تنظیمات دسترسی به دیتابیس در قسمت تنظیمات پایگاه داده > نوع پایگاه داده، دو نوع پایگاه داده مشخص شده است که ما روی mysqli قرار می دهیم. نوع دیگر pdo است که تفاوت این دو را در اینترنت می توانید جستجو کنید. دقت کنید نام دیتابیس و یوزر با هم یکی باشند و برای انتخاب پسورد از پسورد قوی و مناسبی استفاده کنید. موردبعدی که باید رعایت کنید استفاده از پیشوند جداول پایگاه داده است. این عمل بیشتر برای جلوگیری از حملات sql injection مناسب است. محدود کردن دسترسی به url صفحه ی لاگین با ست کردن کوکی (set cookie) بعد از نصب جوملا با این آدرس site.com/administrator/index.php وارد صفحه ی لاگین مدیریت خواهید شد. با استفاده از کوکی دسترسی به این صفحه را محدود می کنیم. ابتدا یک پوشه در مسیر اصلی سایت در هاست ایجاد کرده به عنوان مثال guardiran سپس یک فایل به نام index.php درون آن ایجاد می کنیم. فایل را ویرایش کرده و کد های زیر را درون آن قراردهید: <?php $cookie_code = 09120000000; setcookie("AdminGuardiranCookie ",$cookie_code,0,"/"); header("Location:/administrator/index.php"); ?> ابتدا یک متغیر با نام cookie_code$ تعریف کرده و سپس مقداری را درون آن می ریزیم. نام متغییر و مقدار آن اختیاری است. در خط بعد با استفاده از تابع setcookie به پارامترهای آن مقدار داده ایم. تابع ( ) setcookie ، یک کوکی را به وسیله یک دستور HTTP به مرورگر کاربر ( client ) ارسال میکند. پارامتر اول name است که تعیین کننده نام کوکی است. پارامتر دوم value است که مقدار کوکی را تعیین می کند که این مقدار را با استفاده از متغییر $cookie_code تعریف کرده ایم. پارامترسوم expire است تعیین کننده مدت زمان اعتبار کوکی ، بر حسب ثانیه است که مقدار آن را برابر صفر 0 قرارداده ایم. پارمترچهارم domain است که دامنه ای که کوکی بر روی آن قابل دسترس است را تعیین می کند . تابع setcooki یک پارامتر دیگر به نام secure دارد که تعیین میکند که آیا کوکی فقط بایستی از طریق یک پروتکل امن HTTPS منتقل شود با خیر. مقدار پیش فرض این خاصیت FALSE بوده و تعیین آن نیز اختیاری است . در خط بعدی با استفاده از تابع ( ) header ، یک دستور HTTP را به مرورگر کاربر ( client ) ارسال کرده ایم. شکل کلی استفاده از این تابع به صورت زیر است : header( string , replace , http_response_code ) ; که تنها از پارمتر string استفاده کرده ایم. بعد از ذخیره کد بالا در مسیر اصلی سایت خود وارد پوشه administrator شوید و درون آن یک فایل htaccess. ایجاد کنید و کد های زیر را درون آن قراردهید: RewriteEngine On RewriteCond %{REQUEST_URI} ^/administrator RewriteCond %{HTTP_COOKIE} ! AdminGuardiranCookie =09120000000 RewriteRule .* - [L,F] در کد بالا نام کوکی + مقدار آن که در فایل index.php تعریف کردیم با هم برابر بود درخواست را ریدایرکت کن به صفحه administrator.php در واقع با این کار تنها کسانی که url زیر را فراخوانی کند می تواند به صفحه ی لاگین دسترسی پیدا کند چون با این کار کوکی برای آن ست می شود. Site.com/guardiran اگر هرکاربری به صورت مستقیم صفحه ی site.com/ administrator/index.php را فراخوانی کند یقناً با صفحه ی forbidden 403 مواجه خواهد شد. فعال کردن تایید دومرحله ای در صفحه لاگین پنل مدیریت بعد از ورد به پنل مدیریت با پیغامی مبنی برای "شما پیام هایی در خصوص نصب بسته دارید" مواجه خواهید شد که با زدن بر روی "خواندن پیام ها" به صفحه ی موردنظر هدایت خواهید شد. در این صفحه بر روی "فعال کردن دو عامل احرازهویت" کلیک کنید که به صفحه ی کاربران > ویرایش مشخصات میروید . در صفحه ی پیش رو یک تب جدید با نام "دو عامل احرازهویت" مشاهده می کنید. دراین قسمت یک گزینه به نام متد احراز هویت وجود دارد که شما می توانید از احراز هویت گوگل استفاده کنیدکه ابتدا باید کد احراز هویت را از گوگل دریافت کنید. بر روی "کد احراز هویت با سیستم عامل اندروید و..." کلیک کرده وارد صفحه ی دانلود نرم افزار Google Authenticator خواهید شد نرم افزار را دانلود و نصب کنید. در مرحله دوم اطلاعات احراز هویت که شامل "حساب کاربری و کلید" است را که در قدم دوم مشخص شده است به برنامه می دهیم با استفاده ازاسکن کد QR هم می توانید این کار را انجام دهید. بعد از واردکردن اطلاعات احرازهویت کدی به شما داده خواهد شد که باید در قدم سوم در قسمت کد امنیتی واردکنید. بعد از ذخیره تغییرات از پنل کاربری خارج شده و وارد صفحه ی لاگین پنل مدیریت شوید متوجه خواهید شد یک گزینه با نام کلید امنیتی اضافه شده است. کد امنیتی هر 30 ثانیه یک بار تغییر می کند. استفاده از فایل htaccess. جامع مستندات سایت جوملا درمستندات سایت جوملا به این آدرس : (https://docs.joomla.org/Htaccess_examples_(security رفته و کدهای پیشنهادی htaccess. را کپی کرده و درون فایل htaccess. در مسیر اصلی سایت خود قراردهید. با این کدها خیلی از گزینه های امنیتی مثل جلوگیری از تزریق کدهای مخرب ، بایپس کردن سایت و.. برای شما فعال خواهند شد. محدود کردن سطح دسترسی فایل های configuration.php , .htaccess سطح دسترسی فایل های configuration.php , .htaccess را روی 0444 فقط خواندن قراردهید. تهیه نسخه پشتیبان بک آپ از سایت از مهترین کارهایی که یک مدیر وب سایت باید انجام دهد تهیه بک آپ از سایت خود است. سعی کنید همیشه آخرین بک آپ خود را بازگردانی کنید و برای اطمینان خاطر بیشتر نسخه های قبلی بک آپ را هم داشته باشید. تمامی حقوق این مقاله متعلق به تیم امنیتی گاردایران و نویسنده مطلب می باشد. موفق باشید.
  9. 8 امتیاز
    بسم الله الرحمن الرحیم درود ../ آموزش کار با ابزار جدید nullsecurity تحت عنوان lulzbuster در خدمت شما دوستان عزیز هستیم کار ابزار اسکن دایرکتوری های مختلف و همچنین فایل های خاص یک وبسایت هست که بسیار سریع و کم حجم هست میتونید با این ابزار یک اسکن جامع روی تارگت مورد نظر خودتون داشته باشید ( برای پیدا کردن ادمین پیج بسیار موثر هست ) کار با ابزار بسیار ساده هست و هدف صرفا معرفی ابزار هستش ابزار و فیلم آموزش نصب و استفاده پیوست میشه ../ یا حق ../ lulzbuster.zip lulzbuster-1.0.0.tar.xz
  10. 8 امتیاز
    دوستان عزیز از این به بعد دیفیس های خودتون رو با دیفیس پیج جدید تیم ثبت کنید تشکر از R3dC0d3r عزیز که زحمت طراحی و ساخت این دیفیس پیج رو کشدیند من شروعش میکنم تا اخرشم باهاتونم به یاد قدیم .... http://www.zone-h.org/mirror/id/33150357 http://www.zone-h.org/mirror/id/33151191 http://www.zone-h.org/mirror/id/33151190 http://www.zone-h.org/mirror/id/33151189 http://www.zone-h.org/mirror/id/33151187 http://www.zone-h.org/mirror/id/33151185
  11. 7 امتیاز
    سوالی که مطرح هست اینه که متغیر $name جزئی از فرم هست یا خیر ؟ - اگر پاسخ بله هست که کاری که باید انجام بشه کاملا مشخص هست ! - اگر پاسخ خیر هست و با توجه به اینکه به اساس SQL و SQL Injection آشنایی دارید ادامه این مطلب رو دنبال کنید آسیب پذیری واضح : در 90 درصد مواقع جدول کاربران شامل ستونی به اسم access_level ، user_type و یا غیره هست که بیانگر سطح دسترسی کاربر هست که با تحلیل پایگاه داده میتونید نام ستون رو پیدا کنید ؛ کافیه اون مقدار آپدیت بشه تا یوزر شما سطح دسترسی ادمین بگیره . پس بنا بر فرضیه گفته شده متغیر $mesal باید حاوی رشته زیر باشه : ', access_level = 'admin نکته : این تکنیک فقط در توابع غیر استانداردی مثل mysql_query و در صورتی که کاراکتر ها خنثی نشده باشند جواب خواهد داد ؛ در تکنیک های استانداردی مثل بایندینگ تمامی کاراکتر های موجود در پارامتر های یک فیلد ESCAPE و خنثی شده . عمل غیر ممکن در شرایط موجود : با توجه به اینکه متغیر mesal وسط رشته query اپدیت هست (قبل از where) و متغیر name (بعد از where) قرار گرفته ، امکان تاثیر گذاری بر روی اون قسمت وجود ندارد . اما چرا گفته شده غیر ممکن در شرایط موجود ؟ چرا که تابع mysql_query فقط پاسخگوی یک statement بوده و هرگونه تلاش برای ارسال multiple statement به سمت SQL Parser پایگاه داده به وسیله این تابع با خطای php مواجه خواهد شد . در صورت استفاده از توابعی که از multiple statement پشتیبانی میکنند خیلی راحت میشه به شکل زیر به هدف مورد نظر رسید : $mesal = "' where name='example';" . $second_statement; در شرایطی که منظور از Name ، فیلد قبل از where clause باشد به راحتی با overwrite کردن آن ، مقدار تغییر خواهد کرد : $mesal = "', Name='Example";
  12. 7 امتیاز
    بخش اول - قسمت هشتم (قسمت اخر از بخش اول) تغیرات اصلاحی یوزر اکانت لینوکس ابزار های مختلفی برای تغیرات در یوزر ها در اختیارمون میذاره , مثل : usermod برای تغیرات در فیلد های اکانت یوزر ازش استفاده میکنیم passwd برای تغیر پسورد یوزر کاربرد داره chpasswd این دستور با دریافت یک فایل متنی حاوی یوزر ها و پسورد انتخوابی , پسورد تمام یوزر هارو تغیر میده chage برای تغیر تاریخ انقضای پسورد کاربرد داره chfn برای تغیر کامنت اطلاعات یوزر استفاده میشه chsh برای تغیر شل پیش فرض یوزر استفاه میشه دستور usermod اپشن های این دستور باعث تغیر در بیشتر فیلد های فایل /etc/passwd میشن و اپشن ها مشابه اپشن های دستور useradd هستند اپشن هایی مثل c , -e , -g- چند تا از اپشن های متفاوتش رو براتون میزارم l- تغیر اسم لاگین یوزر L- قفل کردن یوزر اکانت , بنابراین یوزر نمیتونه لاگین کنه p- تغیر پسورد یوزر U- باز کردن قفل یوزر passwd و chpasswd دستور passwd یک راه سریع برای تغیر فقط پسورده # passwd test Changing password for user test. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. اگه دستور رو به صورت خالی وارد کنید , پسورد یوزر فعلی عوض میشه اکه با اسم یوزر وارد کنید , پسورد اون یوزر عوض میشه (البته اگه روت باشید) با استفاده از اپشن e- میتونید یوزر رو مجبور به تغیر پسوردش کنید در صورت نیاز به تغیر پسورد دسته جمعی میتونید از chpasswd به صورت زیر استفاده کنید # chpasswd < users.txt در فایل متنی اسم های لاگین همراه با پسورد هاشون قرار میگیرین که با استفاده از ( : ) از هم جدا شدن , مثل : user:password chsh , chfn و chage دستور chsh طبق مثال زیر برای تغیر شل پیش فرض استفاه میشه # chsh -s /bin/csh test Changing shell for test. Shell changed. دستور chfn یک روش استانارد برای ذخیره اطلاعات در فیلد کامنت در فایل passwd فراهم میکنه که به جای اطلاعات معمول از اطلاعات مخصوص استفاده شده در یونیکس فینگر استفاه میکنه دستور finger به شما اجازه میده به راحتی در مورد یوزر ها اطلاعات کسب کنید # finger rednaxela Login: rednaxela Name: red naxela Directory: /home/rednaxela Shell: /bin/bash On since Thu Sep 20 18:03 (EDT) on pts/0 from 192.168.1.2 No mail. No Plan. البته به خاطر نگرانی های امنیتی در بیشتر لینوکس ها دستور فینگر غیر فعال شده یک نمونه از دستور chfn رو بدون پارامتر در مثال زیر میبینید # chfn test Changing finger information for test. Name []: Ima Test Office []: Director of Technology Office Phone []: (123)555-1234 Home Phone []: (123)555-9876 Finger information changed. # finger test Login: test Name: Ima Test Directory: /home/test Shell: /bin/csh Office: Director of Technology Office Phone: (123)555-1234 Home Phone: (123)555-9876 Never logged in. No mail. No Plan. حالا به مقدار فایل /etc/passwd نگاه کنید # grep test /etc/passwd test:x:504:504:Ima Test,Director of Technology,(123)5551234,(123)555-9876:/home/test:/bin/csh دستور chage مقادیر مرتبط با پسورد هارو دریافت و تنظیم میکنه d- مشخص کرن زمان اخرین تغیر پسورد E- مشخص کردن تاریخ انقضای پسورد I- مشخص کردن زمان غیر فعال شدن اکانت بعد از منقضی شدن پسورد m- مشخص کردن حداقل روز های ثابت موندن پسورد بعد از هر تغیر W- مشخص کرن تعداد روز هایی که قبل از منقضی شدن پسورد باید هشدار داده بشه گروه ها در لینوکس : گروه ها هم یکی دیگه از موضوعات امنیتی لینوکس هستن لینوکس ها با روش های مختلفی بحث گروه پیض فرض رو پیش میبرن بعضی از لینوکس ها یک گروه پیش فرض برای همه کاربر ها تعریف میکنن اگه سیستم شما هم همینکار رو میکنه باید مراقب باشید چون فایل هاتون ممکنه برای کاربرای دیگه هم قابل استفاده باشه بقیه لینوکس ها برای هر کاربر یک گروه جدا تعریف میکنن که از این مشگل امنیتی جلوگیری بشه هر گروه اسم خودش و یک کد منحصر به فرد داره که بهش میگیم gid شما میتونید از ابزار هایی برای اینجاد و مدیریت گروه خودتون استفاه کنید فایل /etc/group درست مثل یوزر اکانت ها , اطلاعات گروه ها هم در یک فایل نگه داری میشه این فایل شامل اطلاعات مربوط به هر گروه میشه که در مثال زیر یک نمونش رو میتونید ببینید root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin,adm adm:x:4:root,adm,daemon rednaxela:x:501: red:x:502: blue:x:503: mysql:x:27: test:x:504: مثل uid ها gid ها هم از الگوی خاصی تبعیت میکنن گروه هایی که برای اکانت های سیستمی در نظر گرفته میشه gid زیر 500 دارن و gid یوزر گروه ها از 500 شروع میشه محتوای فایل /etc/group از چهار فیلد تشکیل شدن , که به ترتیب : اسم گروه پسورد گروه gid گروه لیست یوزر هایی که به گروه تعلق دارن گرچه این موضوع مرسوم نیست ولی یوزر ها با استفاده از پسورد گروه میتونن عضو اون گروه بشن ایجاد گروه جدید : با استفاده از دستور groupadd شما میتونید گروه جدید اضافه کنید # /usr/sbin/groupadd guardiran # tail /etc/group haldaemon:x:68: xfs:x:43: gdm:x:42: rednaxela:x:501: red:x:502: blue:x:503: mysql:x:27: test:x:504: guardiran:x:505: وقتی یک گروه جدید میسازید هیچ یوزری در حالت دیفالت عضوش نیست برای اضافه کردن یوزر بهش از دستور usermod استفاده کنید # /usr/sbin/usermod -G guardiran rednaxela # /usr/sbin/usermod -G guardiran test # tail /etc/group haldaemon:x:68: xfs:x:43: gdm:x:42: rednaxela:x:501: red:x:502: blue:x:503: mysql:x:27: test:x:504: guardiran:x:505:rednaxela, test و همچنین با دستور groupmod میتونید مقادیر رو اصلاح کنید مثل پارامتر های -n و -g که برای تغیر اسم و gid استفاده میشن # /usr/sbin/groupmod -n theguardiran guardiran # tail /etc/group haldaemon:x:68: xfs:x:43: gdm:x:42: rednaxela:x:501: red:x:502: blue:x:503: mysql:x:27: test:x:504: theguardiran:x:505:rednaxela,test فایل پرمیشن ها : الان که با یوزر ها و گروه ها اشنا شدید وقتشه بریم سمت فایل پرمیشن ها , که قبلا اونارو در لیست فایل ها و دایرکتوری ها در کنار بقیه مشخصات مشاهده کردید $ ls -l total 68 —rw-rw-r-- 1 rednaxela rednaxela 50 2019-09-13 07:49 file1.gz —rw-rw-r-- 1 rednaxela rednaxela 23 2019-09-13 07:50 file2 —rw-rw-r-- 1 rednaxela rednaxela 48 2019-09-13 07:56 file3 —rw-rw-r-- 1 rednaxela rednaxela 34 2019-09-13 08:59 file4 —rwxrwxr-x 1 rednaxela rednaxela 4882 2019-09-18 13:58 myprog —rw-rw-r-- 1 rednaxela rednaxela 237 2019-09-18 13:58 myprog.c drwxrwxr-x 2 rednaxela rednaxela 4096 2019-09-03 15:12 test1 drwxrwxr-x 2 rednaxela rednaxela 4096 2019-09-03 15:12 test2 اولین فیلد در لیست بالا پرمیشن های فایل ها و دایرکتوری هارو مشخص میکنه و اولین کاراکتر در فیلد هم نوغ اون ابجکت رو مشخص میکنه — = files d = directories l = links c = character devices b = block devices n = network devices بعد از اون شما سه تا ست سه تایی میبینید که هر کدوم از ست های سه کاراکتری یک سطح دسترسی رو مشخص میکنن r = read permission w = write permission x = execute permission اگه یکی از پرمیشن ها گرفته شده باشه به جاش دش قرار میگیره ( - ) سه تا ست به معنای سه سطح امنیتی برای ابجکته ست اول , برای صاحب ابجکته ست دوم , برای گروهیه که ابجکت بهش تعلق داره ست سوم , برای بقیه یوزر هاست —rwxrwxr-x 1 rednaxela rednaxela 4882 2019-09-18 13:58 myprog مثلا نمونه بالا نشون میده که : اولا ابجکتمون فایله , چون اولین کاراکتر دش هستش ( - ) سه کاراکتر بعدی که متعلق به صاحب فایله میگه که یوزر هر سه اجازه ( خواندن , نوشتن , اجرا ) فایل رو داره سه کاراکتر بعدی یا همون ست دوم میگه که گروه فایل هم همون دسترسی هارو داره ولی ست اخر که برای سایر یوزر هاست پرمیشن نوشتن رو نداره پرمیشن های پیش فرض : پرمیشن های پیش فرض از طریق umask اعمال و نگه داری میشن $ touch newfile $ ls -l newfile —rw-r--r-- 1 rednaxela rednaxela 0 Sep 20 19:16 newfile فایل با استفاده از سطح دسترسی پیشفرضی که برامون مشخص شده ساخته شد دستور umask پرمیشن های پیش فرض رو مشخص و نمایش میده $ umask 0022 اولین عدد مشخص شده یک موضوع امنیتیه , به اسم sticky bit سه عدد بعدی مربوط به پرمیشن ها میشه برای اینکه معادل عددی پرمیشن ها اینجا استفاده میشن نگاهی به جدول زیر بندازید --- 0 no permissions --x 1 execute permission -w- 2 write permission -wx 3 write & execute permissions r-- 4 read permission r-x 5 read & execute permissions rw- 6 read & write permissions rwx 7 read & write & execute permissions (full) به نحوه کارکرد umask و مقداری که به دستور میدیم در مثال زیر دقت کنید و برای درک بهتر با جدول بالا مقایسه کنید میبینید که اولا مقدار دسترسی ای که به دستور میدیم از فایل گرفته میشه نه اینکه اون مقدار ست بشه و اینکه این مقدار از عدد شش کم شده نه هفت $ umask 026 $ touch newfile2 $ ls -l newfile2 -rw-r----- 1 rednaxela rednaxela 0 Sep 20 19:46 newfile2 توجه داشته باشید که مقدار تعریف شده روی دایرکتوری ها هم تاثیر داره $ mkdir newdir $ ls -l drwxr-x--x 2 rednaxela rednaxela 4096 Sep 20 20:11 newdir/ زمانی که لازم باشه مقدار سطح دسترسی یه ابجکت رو مستقیم تغیر بدیم از دستور chmod به شکل زیر استفاده میکنیم $ chmod 760 newfile $ ls -l newfile -rwxrw---- 1 rednaxela rednaxela 0 Sep 20 19:16 newfile میبینید که برخلاف مثال حالت پیشفرض , اینجا دقیقا سطح دسترسی ای که به دستور دادیم اعمال شده شما میتونید با استفاده از دستور chown مالکیت یوزر و گروه یک ابجکت رو تغیر بدید مثال زیر یوزر فایل رو تغیر میده # chown red newfile # ls -l newfile -rw-rw-r-- 1 red rednaxela 0 Sep 20 19:16 newfile مثال زیر هم یوزر و هم گروه فایل رو تغیر میده # chown red.share newfile # ls -l newfile -rw-rw-r-- 1 red share 0 Sep 20 19:16 newfile مثال زیر فقط گروه فایل رو تغیر میده , به کاراکتر دات دقت کنید # chown .share2 newfile # ls -l newfile -rw-rw-r-- 1 red share2 0 Sep 20 19:16 newfile البته برای تغیر فقط گروه فایل , میتونید از دستور chgrp هم استفاه کنید $ chgrp share3 newfile $ ls -l newfile -rw-rw-r-- 1 red share3 0 Sep 20 19:16 newfile اشتراک فایل ها : همونطور که تا الان حدس زدید ایجاد گروه ها راهی برای به اشتراک گذاشتن سطح دسترسی به فایل هاست و به عنوان اشتراک گذاری کاربرد داره در بخش کد های مربوط به پرمیشن ها دیدید که وقتی یک فایل جدید میسازید , لینوکس پرمیشن پیش فرض فایل رو بر اساس یوزر ایدی و گروه ایدی مشخص میکنه , تا اجازه دسترسی به یوزر های دیگه هم بده شما یا باید پرمیشن های فایل رو تغیر بدید یا باید گروه پیش فرض فایل رو تغیر بدید به گروهی که یوزرا اونجان این موضوع میتونه ازاردهنده باشه اگه شما بخواید موارد زیادی رو بسازید و به اشتراک بزارید , که خوشبختانه راه حل مناسبی داره سه بیت دیگه هست که لینوکس برای هر فایل و دایرکتوری ذخیره میکنه : (The set user id (SUID وقتی یک فایل توسط یک یوزر اجرا میشه , برنامه تحت پرمیشن صاحب فایل اجرا بشه (The set group id (SGID برای فایل : وقتی یک فایل اجرا میشه برنامه تحت پرمیشن گروه فایل عمل کنه , برای دایرکتوری : اگه فایلی داخل دایرکتوری ساخته شد , از گروه دایرکتوری به عنوان گروه پیش فرض استفاده کنه The sticky bit فایل بعد از پایان پروسه در مموری باقی بمونه بیت SGID برای اشتراک گذاری با اهمیته , با فعال کردن این بیت میتونید تمام فایل هایی که در دایرکتوریمون ساخته میشن رو مجبور کنید تا در گروه دایرکتوری قرار بگیرن هر کدوم از سه مورد ذکر شده مثل بحث پرمیشن ها با کد شناخته میشن , و این همون عدد اول از چهار عدد umask هستش در لیست زیر نمونه کد ها و معانیشون رو میتونید ببینید 0 هیچ کدوم از بیت ها ست نشده 1 sticky bit ست شده 2 SGID bit ست شده 3 SGID & sticky bit ست شدن 4 SUID bit ست شده 5 SUID & sticky bit ست شدن 6 SUID & SGID ست شدن 7 همه بیت ها ست شدن برای ساخت یک دایرکتوری مخصوص اشتراک گذاری تنها نیاز دارید بیت SGID برای دایرکتوری ست بشه $ mkdir testdir $ ls -l drwxrwxr-x 2 rednaxela rednaxela 4096 Sep 20 23:12 testdir/ $ chgrp shared testdir $ chmod g+s testdir $ ls -l drwxrwsr-x 2 rednaxela shared 4096 Sep 20 23:12 testdir/ $ umask 002 $ cd testdir $ touch testfile $ ls -l total 0 -rw-rw-r-- 1 rednaxela shared 0 Sep 20 23:13 testfile پایان قسمت هشتم از بخش اول پایان بخش اول
  13. 7 امتیاز
    بخش اول - قسمت دوم شلی که سیستم شروع به استفاده کردن ازش میکنه بستگی داره به پیکربندی یوزری که لاگین کرده فایل /etc/passwd شامل لیستی از یوزر های سیستم هستش که جلوی هر یوزر اطلاعات پیکربندیش قرار داره در زیر یک نمونه از مقادیر فایل passwd در دایرکتوری etc رو میبینید rednaxela:X:501:501:red naxela:/home/rednaxela:/bin/bash هر کدوم از مقادیر فایل passwd دارای هفت فیلد هستش که این قسمت ها با ( : ) از هم جدا شدن تو قسمت های بعدی بیشتر در مورد هر کدوم از این فیلد ها صحبت میکنیم ، ولی تو این قسمت توجهمون معطوف میشه به فیلد هفتم که اسم شل و مسیر دایرکتوریش قرار گرفته ، این همون شلی هست که بعد از لاگین کردن یوزر ، به صورت پیش فرض به اون یوزر داده میشه در این مثال یوزر rednaxela بعد از لاگین بر روی شل bash قرار میگیره اکثر لینوکس ها از شل قدرتمند bash به صورت پیشفرض استفاده میکنن ، که یکی از شل های اصلی برای اسکریپت نویسی محسوب میشه به همین دلیل ما هسته ی این مجموعه رو بر مبنا ی این شل قرار میدیم و بعد از پایان بخش سوم یه نگاه اجمالی به شل های دیگه میکنیم تعامل با bash manual با دستور man : صفحات manual صفحاتی هستند که جامع ترین توضیحات و دستور العمل هارو در مورد ابجکت های شل دارن که میتونید مثلا با اموزش طرز کار یه کامند و اپشن های اون کامند تستش کنید man jobs man -k download در دستور اول ما صفحات manual رو با استفاده از دستور man برای دستور jobs دریافت میکنیم و اما دستور دوم که دستور man رو با اپشن k- اجرا کرده ، از این اپشن میشه برای کشف دستوراتی که نمیدونید استفاده کنید مثلا ما میخوایم یک فایل رو با استفاده از خط فرمان دانلود کنیم ، ولی نمیدونیم باید از چه دستوری برای دانلود استفاده کنیم با دستور man -k download دستور هایی که مربوط به دانلود میشن برامون نمایش داده میشه برای خروج از صفحات manual از حرف q استفاده کنید برای اطلاعات بیشتر در مورد دستور man میتونید از خودش برای خودش ، یعنی دستور man man استفاده کنید از اطلاعات بدست اومده میتونید برای شناخت بخش های مختلف خروجی دستور man بهره ببرید فایل سیستم و دستورات مربوطه : به تفاوت پارتیشن بندی ویندوز با لینوکس دقت کنید همون طور که در مثال پایین میبینید لینوکس از سیستم درایو هایی که ویندوز استفاده میکنه تبعیت نمیکنه و از نظر پارتیشن بندی یک ساختار یکپارچه درونی داره نکته ای که باید در اسکریپت ها مدنظر داشته باشید اینه که مسیر های لینوکس برخلاف ویندوز از اسلش / استفاده میکنن نه بک اسلش \ و همچنین لینوکس بر خلاف ویندوز به تفاوت حروف کوچیک و بزرگ حساسه c:\Users\rednaxela\Documents\test.doc /home/rednaxela/Documents/test.doc در فایل سیستم لینوکس همه چیز از دایرکتوری ریشه ( / ) یا روت شروع میشه ( که در مثال بالا قبل از دایرکتوری home مشخصه ، که یعنی اولین دایرکتوری ) مواضب باشید به دلیل هم اسم بودن ، دایرکتوری ( / ) رو با دایرکتوری root در بحث ها اشتباه نگیرید ، چون در فارسی معنیه جفتشون میشه ریشه مقادیر دایرکتوری / boot = بوت دایرکتوری ( جایی که فایل های مربوط به بوت نگه داشته میشه ) dev = دیوایس دایرکتوری ( جایی که لینوکس نود های دیوایس تولید و نگهداری میکنه ) etc = سیستم کانفیگوریشن ( جایی که فایل های پیکربندی سیستم نگه داری میشن ) home = دایرکتوری هوم ( جایی که لینوکس دایرکتوری یوزر هارو تولید و نگه داری میکنه ) lib = لیبراری دایرکتوری ( جایی که لینوکس فایل های لیبراری سیستم و اپلیکیشن هارو نگه میداره ) media = مدیا دایرکتوری ( یک مکان مرسوم برای مدیا های قابل جداسازی از سیستم ) mnt = مونت دایرکتوری ( یک مکان مرسوم دیگه برای مونت کردن مدیا های قابل جدا سازی ) opt = اپشنال دایرکتوری ( محل نگه داری دیتا و پکیج های نرم افزار های ثرد-پارتی ) proc = پراسس دایرکتوری ( جایی که اطلاعات سخت افزار و پروسه ها نگه داشته میشه ) bin = باینری دایرکتوری ( جایی که خیلی از ابزار های سطح یوزر گنو نگه داشته میشن ) root = روت دایرکتوری ( جایی که دایرکتوری خانه و دیتا های یوزر روت نگه داشته میشه ) sbin = سیستم باینری دایرکتوری ( جایی که خیلی از ابزار های سطح ادمین گنو نگه داشته میشن ) run = ران دایرکتوری ( جایی که دیتا های ران تایم نگه داشته میشه ) srv = سرویس دایرکتوری ( جایی که دیتا های مربوط به سرویس هایی که سیستم میده نگه داشته میشه ) sys = سیستم دایرکتوری ( جایی که دیتا های مربوط به اطلاعات سخت افزاری نگه داشته میشه ) tmp = تمپورری دایرکتوری ( جایی که فایل های تمپورری (در فصل مربوط بهش کامل بهش میپردازیم) میتونن تولید و نگه داری بشن ) usr = یوزر باینری دایرکتوری ( محل نگه داری ابزار ها و دیتا فایل های سطح یوزر گنو ) var = وری ایبل دایرکتوری ( جایی که فایل هایی با مقادیر متغیر نگه داشته میشه مثل لاگ فایل ها ) به عنوان مثال وقتی که وارد شل میشید به طور پیش فرض در دایرکتوری home در لیست بالا قرار دارید که البته اونجا هم تو یه دایرکتوری دیگه که به اسم اکانتتون هست دستورات خط فرمان : cd /home/rednaxela cd .. از دستور cd برای مرور فایل سیستم استفاده میشه مقادیری مثل ( . ) یا ( .. ) به ترتیب اشاره به دایرکتوری فعلی و دایرکتوری بالا تر دارن pwd /root/books از دستور pwd برای نمایش ادرس جایی که در فایل سیستم هستیم استفاده میشه در این مثال خروجی دستور pwd میگه ما در مسیر root/books/ هستیم ls ls -F -R -a -l ls *.txt ls scri?? ls go[a-p]d ls b[!a]d از دستور ls برای مشاهده لیست مقادیر یک دایرکتوری استفاده میشه که اپشن های متنوع ای داره که چند تاشون رو مثال زدم ، اپشن ها میتونن به صورت تکی یا بیشتر استفاده بشن ، یا حتی ادغام شن مثل ls -alF اپشن F- فایل هارو از دایرکتوری ها متمایز میکنه اپشن R- تمام محتوای دایرکتوری رو با تمام مقادیری که خود اونها دارن تا انتها لیست میکنه اپشن a- مقادیر مخفی رو هم در لیست به نمایش میزاره اپشن l- لیست خروجی رو همراه با اطلاعات مربوط به هر کدوم از مقادیر نشون میده مقادیری مثل سطح دسترسی فایل برای یوزر ها نام صاحب فایل نام گروه فایل مقدار سایز فایل اخرین زمانی که اصلاح شده و ... از دستور ls برای لیست هایی که مد نظرمون هست هم میشه استفاده کرد مثل ls *.txt که میگه هر فایلی که چهار کاراکتر اخر اسمش ( t & x & t & . ) بود رو لیست کن یا ? که میگه به جای من هرچیزی بود بپذیر یا [a-p] که میگه به جای من هر کاراکتری از a تا p بود قبول کن یا [a!] که میگه به جای a هر کاراکتر دیگه ای بود بپذیر شما میتونید از این چند نمونه ی ساده به جز دستور ls در جاهای بیشماری استفاده کنید که البته با مدل های بیشتری در ادامه اشنا میشید touch filename touch script touch abc.txt touch /home/rednaxela/zzzz.sh از دستور touch برای ساخت فایل خالی استفاده میشه که در مثال بالا طرز استفاده و امکاناتش رو میتونید ببینیدا cp file file2 cp /root/file /home/rednaxela/file cp file /root/books/file cp /home/rednaxela/books/file . از دستور cp برای کپی کردن فایل ها استفاده میشه در مثال اول یک فایل در همون دایرکتوری ای که بوده کپی شده ، به همین دلیل اسمش رو عوض کردیم در مثال دوم چون خودمون تو هیچ کدوم از مسیر های مبدا و مقصد کپی نبودیم نام فایل رو چه در مبدا چه در مقصد همراه با مسیر کامل نوشتیم در مثال سوم چون خودمون در دایرکتوری قرار گیری فایل بودیم اسم فایل رو بدون ادرس مبدا نوشتیم و اما مثال چهارم ، همون طور که قبلا گفتیم کاراکتر ( . ) اشاره به دایرکتوری فعلی ما داره به همین دلیل برای کپی کردن فایل به جایی که هستیم مسیر مبدا رو نوشتیم و به جای مسیر مقصد ( جایی که هستیم ) کاراکتر ( . ) گذاشتیم میتونیم از اپشن i- هم استفاده کنیم , که در صورت وجود یک فایل هم نام در ادرس مقصد قبل از کپی روی مقادیر اون فایل ازمون سوال شه با استفاده از اپشن R- میتونیم تمام محتوای یک دایرکتوری رو کپی کنیم ln -s /target-file-name /shortcut-file-name از دستور ln با اپشن s- برای ساخت شورتکات استفاده میشه mv /home/rednaxela/file1 /home/rednaxela/file2 mv file1 /root/books/ از دستور mv برای انتقال فایل و تغیر نام فایل استفاده میشه در مثال اول ( تغیر نام به file2) تغیر نام انجام میشه در مثال دوم ( انتقال به داخل دایرکتوری books ) انتقال فایل انجام میشه در دستور mv هم مثل دستور cp میتونیم از اپشن i- یا R- استفاده کنیم rm file-name rm -R directory-name با دستور rm و انتخاب فایل , فایل مورد نظر دیلیت میشه با استفاده از اپشن R- میتونیم یه دایرکتوری رو با همه ی مقادیرش دیلیت کنیم mkdir directory-name mkdir -P dir/dir/dir/directory-name با استفاده از دستور mkdire میتونیم دایرکتوری بسازیم با اضافه کردن اپشن P- میتونیم با یک دستور دایرکتوری های تو در تو بسازیم rmdir directory-name از دستور rmdir برای دیلیت کردن دایرکتوری های خالی استفاده میشه tree directory-name از دستور tree برای دیدن ساختار درختی یک دایرکتوری استفاده میشه ( به تصویر کشیدن تمام مقادیر لایه به لایه ) file file-name دستور file نوع فایلی که بهش بدید رو بر مبنای مقدار درونیه فایل مشخص میکنه cat file-name cat -n file-name cat -b file-name دستور cat فایلی که بهش بدید رو باز میکنه ( نه اجرا ) اپشن n- اول هر خط یک عدد میزاره به ترتیب میاد پایین اپشن b- فقط اول خط هایی که دارای مقادیر باشن شماره بندی اعمال میکنه more file-name دستور more هم مشابه دستور cat عمل میکنه ولی یوزر فرندلی تر و مقدار خروجی رو بخش بخش و درصد گذاری شده نمایش میده نسبت به cat داینامیک تره و قدرت پویش یوزر رو افزایش میده less file-name دستور less مدل پیشرفته ی more هستش که قابل توجه ترین بخشش اینه که فایل رو قبل از کامل خوندن باز میکنه ، بدین معنا که به محض اجرا مقدار دیتایی که بدست اورده باشه رو نمایش میده و در صورت حجیم بودن فایل یوزر رو منتظر نمیزاره تا تمام فایل رو بخونه tail file-name tail -n 5 tail -5 tail -f دستور tail به صورت پیشفرض ده خط اخر فایل رو میخونه که با اپشن n- و عدد درخواست تعداد خط های اخر فایل یا مستقیما وارد کردن عدد درخواستی بعد از ( - ) میتونیم این مقدار رو تغیر بدیم نکته ی جالب توجه این دستور اپشن f- هستش که باعث میشه سیشن دستور فعال بمونه حتی وقتی یه برنامه داره از فایل مورد نظر استفاده میکنه که این باعث میشه به محض تغیر در فایل به صورت زنده تغیرات نمایش داده بشن head file-name head -n 6 head -6 head -f دستور head مدل برعکس دستور tail هستش ، که ده خط اول فایل رو میخونه در بقیه ی موارد کاملا مثل دستور tail عمل میکنه پایان قسمت دوم از بخش یک برای اینکه طولانی شدن مبحث و تغیر در ریشه ی ادامه دستورات خط فرمان خستتون نکنه ادامه دستورات در قسمت سوم تقدیمتون میشه
  14. 7 امتیاز
    به نام خدا با سلام خدمت اعضای محترم گاردایران گاردایران طی سال های فعالیت خود همیشه سعی کرده بهترین بستر رو برای یادگیری و فعالیت کاربران فراهم کند. گاردایران هیچگاه از مسیر کیفیت خارج نشده، از جمله این اقدامات میتوان به نداشتن تبلیغات در سایت، طراحی قالب های متنوع و اختصاصی، ساخت و پشتیبانی ابزارهای اختصاصی و مهمتر از همه حضور مداوم و آنلاین و آپدیت بودن انجمن گاردایران اشاره کرد. به همین منظور سروری در TeamSpeak برای شما عزیزان تهیه کردیم و شما علاقه مندان به دنیای هک و امنیت (علوم کامپیوتری) میتوانید به راحتی با مدیران و دیگر اعضای گاردایران در ارتباط باشید. این بستر برای یادگیری و ارتباط شما عزیزان با یکدیگر فراهم شده، امیدوارم ساعات خوشی رو در کنار دیگر اعضای گاردایران سپری کنید. آدرس سرور(nickname): guardiran برای دانلود نرم افزار TeamSpeak اینجا کلیک کنید. در صورت عدم دسترسی به سرور فیلترشکن خود را روشن کنید.(ترجیحاً از VPN آلمان استفاده کنید.)
  15. 7 امتیاز
    سلام. داداش زیاد watch dogs بازی کردیا. مگه هر کی به هرکیه؟ این حرفا چیه میزنی؟ شما فقط دریافت کننده از هسته ی کدنویسی هستی نه تعیین کننده. اصلا چطور میخوای شکلک بذاری که برات دستور اجرا کنن؟ چرا همچین تصوری بالیوودی از علوم سایبری داری؟
  16. 7 امتیاز
    درود برنامه نویسی اندروید به دو صورت Native و Hybrid انجام میشه که برای هر کدام از این روش ها کیت توسعه ای ارائه داده شده است . - زبان برنامه نویسی Native چیست ؟ زبانی منتخب است که با سیستم عامل مربوطه در تعامل است ؛ کد های نوشته شده به زبان Native اندروید با ماشین مجازی Dalvik (این ماشین مجازی برگرفته از معماری JVM و متناسب با سخت افزار اندروید بهینه شده است) رابطه مستقیم دارند. از نکات مثبت آن میتوان به موارد زیر اشاره کرد : پرفورمنس دسترسی به منابع سخت افزاری - زبان برنامه نویسی Hybrid چیست ؟ این دسته از زبان ها از تکنولوژی های مربوط به توسعه Front-end بهره می برند . از نکات مثبت آن میتوان به موارد زیر اشاره کرد : عدم نیاز به یادگیری زبان Native برای کد نویسی برای سیستم عامل مربوطه از نکات منفی آن میتوان به موارد زیر اشاره کرد : حجم بالای کتابخانه ها که در حجم نهایی نرم افزار تاثیر خواهند داشت پرفورمنس و دسترسی پایین در مقایسه با Native - زبان منتخب برای برنامه نویسی Native اندروید جاوا - یکی از قدرتمند ترین زبان های برنامه نویسی دنیا که همواره تعداد توسعه دهندگان و موقعیت های شغلی اون رو به افزایش هست ؛ از جاوا برای برنامه نویسی کراس پلتفرم دسکتاپ ، وب اپلیکیشن ، اندروید و خیلی بیشتر از موارد ذکر شده استفاده می شود . کاتلین - زبانی نو و خلاقانه ، طراحی شده به صورت انحصاری توسط جت برینز با همکاری های گوگل ؛ این زبان هم برای توسعه کراس پلتفرم استفاده شده و همواره رابطه تعامل خوبی را با ماشین مجازی جاوا دارا بوده . - اولویت استخدام برنامه نویس اندروید در شرکت های بزرگ و کشور های مدرن با کاتلین کار توانا است ؛ اما شما باید جامعه برنامه نویسی ایران رو در نظر بگیرید در دید شرکت های برنامه نویسی داخلی شخصی که در جاوا تسلط دارد دارای توانایی های بیشتری است که مسلما این حرف از لحاظ منطقی نمیتونه درست باشه ولی اینطور که معلوم هست هنوز بازار کار کاتلین تو ایران رونق نگرفته . - از طرفی هم جاوا دارای مستندات فوق العاده شیوا (Oracle Doc) هست که هر برنامه نویس با تجربه ای ، قدر مستندات واضح و کامل رو خواهد دونست - با توجه به قدیمی بودن و پر طرفدار بودن جاوا برای هر سوالی که تو ذهنتون بگنجه ، جواب وجود خواهد داشت (پشتیبانی قوی) به هر حال بعد از اینکه رو یکی از زبان های مورد نیاز برای کار کردن با کیت توسعه گوگل تسلط پیدا کردید نوبت به اون میرسه که به برسی بهترین دوست یک برنامه نویس اندروید یعنی Android Documents بپردازید این مستندات به قدری کامل هست که نیاز به هیچ مرجع آموزشی دیگری نخواهید داشت در Android Doc تمامی مثال ها بر مبنای دو زبان Native یعنی جاوا و کاتلین ارائه شده اند . زبان های برنامه نویسی Hybrid اندروید : جاوا اسکریپت و غیره پی نوشت مطالب فوق اگر قصد موفق شدن در حوضه برنامه نویسی رو دارید در 99.99% مواقع پرفورمنس و معماری رو اولویت کار خودتون کنید پیشنهاد بنده اینه که یکی از زبان های Native رو فرا بگیرید تا از پرفورمنس مناسب و دسترسی کافی روی حافظه و منابع سخت افزاری سیستم برخوردار باشید - آیا برنامه نویسی به صورت تک نفره ممکن هست ؟ در پاسخ این سوال باید بگم بله و تنها فاکتور شما زمان هست ؛ زمانی که حرفه ای تر شدید و در یک تیم فعالیت کردید باید با نرم افزار های کنترل نسخه ای نظیر گیت کار کنید و به تقسیم وظایف بپردازید که تاثیر مستقیم بر روی سرعت Release نرم افزار دارد . - چه حوضه های برنامه نویسی اندروید در حال حاضر پر رونق و درآمد زا هست ؟ در پاسخ این سوال باید به بازار زبان مربوطه در جامعه خودتون نگاه کنید ؛ به نظر بنده در ایران ، در حال حاضر برنامه های کاربردی و دیجیتال مارکتینگ بازار فعالی داره .
  17. 7 امتیاز
  18. 7 امتیاز
  19. 7 امتیاز
  20. 7 امتیاز
  21. 7 امتیاز
    به نام خدا امنیت در فضای مجازی همواره یکی از دغدغه های مدیران سایت ها و سرورها است. وردپرس به عنوان یکی از محبوب ترین سیستم های مدیریت محتوا در وب است که مورد استفاده طراحان و مدیران وب سایت ها قرار می گیرد وچه بسا همواره توسط هکرها و تهدیدات امنیتی مورد حمله قرار گرفته است. اگر از وردپرس به عنوان سیستم مدیریت محتوای وب سایت خود استفاده می کنید برای اینکه بتوانید سایت خود را در برابر اینگونه حملات امن نگه دارید و امنیت سایت خود را به حد قابل قبولی برسانید پس تا پایان این آموزش همراه ما باشید. دقت کنید که امنیت صد درصد نیست و نکاتی که در ادامه گفته خواهند شد اقداماتی هستند که قبل و بعد از نصب وردپرس به عنوان مدیر وب سایت خود باید انجام دهید. اقدامات قبل از نصب وردپرس حذف کردن فایل های readme.html و license.txt بعد از اینکه فایل نصبی وردپرس را در هاست از حالت zip خارج کردید اقدام به حذف فایل های readme.html و license.txt کنید. این فایل ها اطلاعاتی ازجمله نسخه نگارش وردپرس و پلاگین ها را در خود دارند پس برای اینکه اطلاعات اولیه را از دسترس اسکنرهای وردپرسی خارج کنید حتما این دوتا فایل را حذف کنید. تنظیمات دسترسی به دیتابیس MySQL در فایل wp-config.php 1- فایل wp-config درابتدا با اسم wp-config-sample است که باید از حالت sample خارج شود و به wp-config تغییرنام داده شود. در قسمت DB_NAME نام دیتابیسی که ساخته اید را واردکنید، درقسمت DB_USER نام یوزردیتابیس و در قسمت DB_PASSWORD هم نام پسورد دیبتابیس را وارد کنید دقت کنید که نباید نام دیتابیس و یوزر با هم یکی باشند و برای انتخاب پسورد از پسورد قوی و مناسبی استفاده کنید. 2- مورد بعدی که در تنظیمات فایل wp-config باید به آن توجه شود Authentication Unique Keys and Salts است که کلیدهای امنیتی قابل قبولی را در فایل wp-config فعال می کند . برای فعال کردن کد های Salts از لینک https://api.wordpress.org/secret-key/1.1/salt/ که خود وردپرس در اختیار ما قرار داده است استفاده می کنیم با مراجعه به این آدرس کلید هایی را مشاهده می کنید که باید با کلید های پیشفرض خود فایل wp-config جایگزین شوند. 3- آخرین مورد برای این قسمت WordPress Database Table prefix یا پیشوند جدول پایگاه داده وردپرس است که باید تغییر نام داده شود دلیل این کارهم این است که پیشوند جدول ها در پایگاه داده وردپرس درحالت عادی روی _wp است که تمامی فیلدهای جدول ما با این پشوند شروع می شوند و یقیناً برای هکرها قابل حد هست که تمامی فیلد های جدول با _wp شروع میشوند و با تغییر نام _wp به اسمی دیگر جلوی حمله های نرم افزاری را میگیریم و به مراتب کار را برای دوستان هکر سخت می کنیم. توجه: مورد 1 و 3 در هنگام نصب وردپرس قابل تغییر هستند. انتخاب یوزر و پسورد مناسب بعد از انجام تغییرات بالا اقدام به نصب وردپرس می کنیم در آدرس site.com/wp-admin/install.php نام کاربری پنل مدیریت و پسورد را وارد می کنیم دقت کنید که از یوزر admin به هیچ عنوان استفاده نکنید و همچنین پسورد قوی و مناسبی استفاده کنید .می -توانید از سایت های آنلاین که به صورت رندم پسورد generate میکنند استفاده کنید..اقداماتی برای جلوگیری از حملات بروت فورس است که در ادامه گفته خواهد شد. اقدامات بعد از نصب وردپرس حذف کردن فایل های نصبی وردپرس بعد از نصب وردپرس فایل های install.php و install-helper.php را پاک کنید. تغییرمسیر url صفحه ی لاگین url صفحه لاگین به صورت پیشفرض با آدرس site.com/wp-login.php قابل مشاهده است. برای تغییر این مورد ابتدا فایل wp-login.php را به عنوان مثال به guardiran.php تغییر نام داده و فایل را باز کرده و درون فایل هرجایی wp-login.php بود به جای آن guardiran.php قرار می دهیم. امن سازی پوشه wp-admin برای این کار ابتدا در کنترل پنل هاست خود برای دایرکتوری wp-admin پسورد قرار دهید . نکته ای دیگری که باید به آن توجه شود این است که بعد از log out از پنل مدیریت وارد آدرس wp-login.php نشویم در پوشه wp-includes به دنبال فایل general-template.php می گردیم. فایل را ویرایش کرده و هرجایی wp-login.php بود به جای آن مثلا guardiran.php قرار میدهیم. انتقال فایل wp-config از مسیر اصلی سایت فایل wp-config.php را از مسیر public_html به یک مسیرقبل تر در هاست خود انتقال دهید. مشکلی خاصی هم پیش نخواهد آمد. تغییرنام لقب مدیرسایت لقبی که به عنوان پیشفرض در سایت نمایش داده می شود به صورت پیشفرض یوزر اصلی است که در قسمت 3 انتخاب کردیم و به همین راحتی نفوذگر متوجه این موضوع خواهد شد . بنابراین در پنل مدریریت وردپرس در قسمت کاربران لقب پیشفرض را تغییر داده و در نمایش عمومی نام ، نامی که تعیین کردید را انتخاب کنید.  خارج کردن لینک های غیرضروری از دسترس جستجوگر گوگل برای اینکه لینک هایی که بعضا مهم هستند و نمیخواهید در دسترس همه قرار گرفته شود را از گوگل پاک کنید کافی است به آدرس https://www.google.com/webmasters/tools/home?hl=en رفته و در قسمت وب سایت آدرس سایت خود را به عنوان مثال guardiran.org است را وارد کنید بعد از تایید وارد تب Recommended method شده و فایل HTML verification را دانلود کنید و فایل رو در مسیر اصلی سایت خود آپلود کنید سپس به صفحه ی Search Console بازگشته و بر روی verified کلیک کنید بعد از تایید به قسمت google index > Remove urls رفته و لینک های غیرضروری را پاک کنید. آپدیت کردن لحظه ای پلاگین ها و افزونه ها سعی کنید همواره افزونه هایی که نصب کردید را به روز نگه دارید البته تا جایی که امکان دارد از افزونه های غیرضروری و نامعتبر استفاده نکنید. محدود کردن ثبت نام در سایت اگر واقعا سایت شما نیازی به ثبت نام ندارد عملیات ثبت نام در سایت رو از قسمت "تنظیمات > همگانی" محدود کنید و نقش پیشفرض کاربرتازه را روی "مشترک" قرار دهید. عدم index شدن و نمایش دادن محتویات درون یک دایرکتوری برای این کار فایل htaccess. در مسیر اصلی سایت را ویرایش کرده و Options –Indexes را به آخر آن اضافه کنید. با این کار فایل ها و پوشه هایی که اجازه ایندکس شدن ندارد نمایش داده نمیشوند. امن سازی پوشه include فایل htaccess. را ویرایش کرده و به آخر آن کدهای زیر را اضافه کنید. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] محافظت از فایل های wp-config و htaccess. با اضافه کردن این کد به فایل htaccess. عملیات خواندن را برای همه ی کاربران محدود می کند. secure wp-config.php# <Files wp-config.php>  order allow,deny deny from all </Files> secure .htaccess# <Files .htaccess> order deny,allow deny from all </Files> همچنین برای اینکه دسترسی به فایل htaccess. محدود تر کنیم سطح دسترسی این فایل رو روی 0444 قرارمی دهیم. مخفی کردن ورژن و نسخه وردپرس وقتی در صفحه ی اصلی بر روی view page surce کلیک کنیم میتوان ورژن وردپرس رو در سورس مشاهده کرد برای جلوگیری از این مورد می توان کد زیر را در قسمت پوسته ها > ویرایش پوسته > functions.php اضافه کرد. remove_action('wp_head', 'wp_generator'); function wpt_remove_version() { return '';  } add_filter('the_generator', 'wpt_remove_version'); جلوگیری از حملات بروت فورس (Brute Force) 1- استفاده از افزونه limit login attempts : با نصب این افزونه یک گزینه با اسم limit login attempts به تنظیمات اضافه خواهد شد که در تنظیمات این این افزونه میتوان تعداد رمز های استباه را محدود کنیم و از حملات صفحه لاگین محافظت کرد با اضافه کردن کد زیر به functions.php می توان پیغام ارور صفحه لاگین را عوض کرد function failed_login () { return 'your massage';  } add_filter ( 'login_errors', 'failed_login' ); 2- استفاده از افزونه معادله امنیتی یا Captcha این افزونه از ربات ها و اسکریپت ها جهت بروت فورس جلوگیری می کند.  3- غیرفعال کردن چند منو و همچنین اپدیت اتوماتیک وردپرس با اضافه کردن کد زیربه فایل wp-config.php می توان منوهای "افزودن ، ویراشگر" را در قسمت افزونه ها و "ویرایشگر" در قسمت نمایش و همچنین آپدیت خودکار وردپرس را غیرفعال کرد. define('DISALLOW_FILE_EDIT',true); define('DISALLOW_FILE_MODS', true); define( 'WP_AUTO_UPDATE_CORE', false ); تهیه نسخه پشتیبان بک آپ از سایت از مهترین کارهایی که یک مدیر وب سایت باید انجام دهد تهیه بک آپ از سایت خود است.سعی کنید همیشه آخرین بک آپ خود را بازگردانی کنید و برای اطمینان خاطر بیشتر نسخه های قبلی بک آپ را هم داشته باشید. تمامی حقوق این مقاله متعلق به تیم امنیتی گاردایران و نویسنده مطلب می باشد. موفق باشید.
  22. 7 امتیاز
    با سلام خدمت اعضای محترم تیم بزرگ گارد ایران بنا بر پیشرفت بخش دیفیس تیم ، دیفیس پیج اختصاصی گاردایران با دقت و جزئیات توسط اینجانب طراحی شده ؛ به جهت یکپارچگی ، تمامی دیفیسر های محترم مجاب به استفاده از این پیج می باشند . - لینک های مهم دمو مخزن گیت هاب index.html
  23. 7 امتیاز
    با سلام خدمت دوستان عزیز با آموزش دیگه ای از هک دوربین های مدار بسته و اسکریپت محبوب getDVR_Credentials.py در خدمت شما عزیزان هستم ! خب برای شروع شما باید اسکریپت مورد نظر نصب کنید ! به منظور این کار ابتدا اسکریپت مورد نظر نصب میکنید :‌(من روش نصب از ترمینال و دستورشو قرار میدم ! کسی اگر نخواست میتونه جدا دانلود کنه) git clone https://github.com/ezelf/CVE-2018-9995_dvr_credentials.git بعد از دانلود اسکریپت با دستورات زیر اونو نصب کنید ! دستورات طبق مراحل نصب قرار میدم : فکر نمیکنم نیاز به توضیح باشه : cd CVE-2018-9995_dvr_credentials/ ls pip install -r requirements.txt خب بعد از این شما میتونید از اسکریپت استفاده کنید (البته این مراحل اگر انجام هم نمیدادید میتونستید استفاده کنید) بریم سراغ اصل موضوع : این دورک برای آسیب پذیری CVE-2018-9995 هست و پنل ها و دوربین های مختص به اون ! دورک زیر در گوگل جست و جو کنید : intitle:'dvr login' حالا به ترمینال برید و اسکریپت فراخوانی کنید و طبق سوییچ هایی که توضیح میدم آدرس دوربین وارد کنید و تمام ! با سوییچ : --host آدرس تارگت مورد نظر و با سوییچ : --port پورت تارگتتون مشخص میکنید اگر مورد پسند واقع شد آموزش تصویری قرار میگیره !
  24. 7 امتیاز
    سلام دوستان. از اونجایی که ظاهرا پیر شدیم تو جوونی گفتیم کار بقیه رو اقلا رو راه بندازیم. اینجا افزونه Hackbar Professional رو براتون پیوست کردم. باید بگم که این افزونه علاوه بر نسخه ی اصلیِ hackbar دارای اضافه هایی هست که توی حملات خیلی بدردتون میخوره. مثلا میتونید لینک رو با انواع bypasser هایی که داره تست کنید و نیازی به تایپ دستی نباشه ولی سعی کنید که کد ها رو حفظ کنید و درک داشته باشید نه اینکه فقط چند تا کلیک کرده باشید. ضمناً این افزونه روی Cyberfox 59 هم نصب میشه. سایبرفاکس رو بگیرید و این افزونه رو روش نصب کنید. رمز عبور : guardiran.org Hackbar Professional Moded by r3yz3 - guardiran.org.rar
  25. 6 امتیاز
    http://zone-h.org/mirror/id/33480369 http://zone-h.org/mirror/id/33480366 http://zone-h.org/mirror/id/33480402 http://zone-h.org/mirror/id/33480401
  26. 6 امتیاز
    بخش دوم - قسمت دوم استفاده از پایپ ها : بعضی وقتا شما نیاز دارید خروجی یک دستور رو به عنوان ورودی به یک دستور دیگه بدید این کار از طریق هدایت خروجی و ورودی که قبلا گفتیم شدنیه ولی راه اصلی نیست $ rpm -qa > rpm.list $ sort < rpm.list abrt-1.1.14-1.fc14.i686 abrt-addon-ccpp-1.1.14-1.fc14.i686 abrt-addon-kerneloops-1.1.14-1.fc14.i686 abrt-addon-python-1.1.14-1.fc14.i686 abrt-desktop-1.1.14-1.fc14.i686 abrt-gui-1.1.14-1.fc14.i686 abrt-libs-1.1.14-1.fc14.i686 abrt-plugin-bugzilla-1.1.14-1.fc14.i686 abrt-plugin-logger-1.1.14-1.fc14.i686 abrt-plugin-runapp-1.1.14-1.fc14.i686 acl-2.2.49-8.fc14.i686 [...] راه اصلی استفاده از پایپ ها یا همون روش پایپینگه , فرمت و مثال : command1 | command2 $ rpm -qa | sort abrt-1.1.14-1.fc14.i686 abrt-addon-ccpp-1.1.14-1.fc14.i686 abrt-addon-kerneloops-1.1.14-1.fc14.i686 abrt-addon-python-1.1.14-1.fc14.i686 abrt-desktop-1.1.14-1.fc14.i686 abrt-gui-1.1.14-1.fc14.i686 abrt-libs-1.1.14-1.fc14.i686 abrt-plugin-bugzilla-1.1.14-1.fc14.i686 abrt-plugin-logger-1.1.14-1.fc14.i686 abrt-plugin-runapp-1.1.14-1.fc14.i686 acl-2.2.49-8.fc14.i686 [...] میبینید که خروجی همونه , در این حالت خروجی دستور اول ورودی دستور دومه برای پایپینگ میتونید از دستورات بیشتری هم استفاده کنید $ rpm -qa | sort | more $ rpm -qa | sort > rpm.list $ more rpm.list موضوع مهم بعدی که در همه زبان های برنامه نویسی اهمیت داره , ریاضیات هستش دو راه برای اعمال ریاضیات در بش اسکریپت وجود داره روش اول استفاده از دستور expr expr 1 + 5 این دستور تعدادی عملگر رو میشناسه که در لیست زیر میتونید ببینید ARG1 | ARG2 ARG1 & ARG2 ARG1 < ARG2 ARG1 <= ARG2 ARG1 = ARG2 ARG1 != ARG2 ARG1 >= ARG2 ARG1 > ARG2 ARG1 + ARG2 ARG1 - ARG2 ARG1 * ARG2 ARG1 / ARG2 ARG1 % ARG2 البته به صورت نرمال نمیتونید ازشون استفاه کنید , چون اکثرا این کاراکتر ها در شل معنای دیگه ای دارن , به همین دلیل از بک اسلش استفاده میشه $ expr 5 * 2 expr: syntax error $ expr 5 \* 2 10 $ cat test6 #!/bin/bash # mesale estefade az dastoore expr var1=10 var2=20 var3=$(expr $var2 / $var1) echo natije mishe : $var3 khorooji => $ chmod u+x test6 $ ./test6 natije mishe : 2 مثال زیر روش دوم برای انجام ریاضیاته که معمولا از اون روش استفاده میکنیم , به همین دلیل روش اول رو صرفا در حد اشنایی توضیح دادم روش دوم استفاده از براکت ها : این روش ساده تر و جامع تره , مثال زیر رو ببینید $ var1=$[1 + 5] $ echo $var1 6 $ var2=$[$var1 * 2] $ echo $var2 12 $ cat test7 #!/bin/bash var1=100 var2=50 var3=45 var4=$[$var1 * ($var2 - $var3)] echo javabe nahayi mishe : $var4 khorooji => $ chmod u+x test7 $ ./test7 javabe nahayi mishe : 500 میبینید که در این حالت حتی نیازی نیست نگران معنیه کاراکتر ها در شل بشید , خود شل به دلیل اینکه کاراکتر ها داخل براکت هستند هدف مارو تشخیض میده نکته بعدی که باید حل بشه محدودیت اعداد صحیح هستش شما میتونید از چند روش برای حل کردن موضوع استفاده کنید محدودیت اعداد صحیص رو در مثال زیر میتونید ببینید : $ cat test8 #!/bin/bash # var1=100 var2=45 var3=$[$var1 / $var2] # echo javabe nahayi mishe : $var3 khorooji => $ chmod u+x test8 $ ./test8 javabe nahayi mishe : 2 پر استفاده ترین روش ، استفاده از ماشین حساب داخلیه بش هستش bc $ bc Copyright 1991-1994, 1997, 1998, 2000, 2004, 2006 Free Software Foundation, Inc. This is free software with ABSOLUTELY NO WARRANTY. For details type 'warranty'. 12 * 5.4 64.8 3.156 * (3 + 5) 25.248 quit نمونه های اعشاری رو که مشاهده کردید , بعد از اتمام کار برای خارج شدن از محیط ماشین حساب باید دستور quit رو تایپ کنید اعشار این ماشین حساب توسط یک متغیر درونی کنترل میشه , به نام scale شما میتونید با تغیر مقدار این متغیر خروجی محاصباتتون رو جوری که میخواید بگیرید $ bc -q 3.44 / 5 0 scale=4 3.44 / 5 .6880 quit اینجا ما مقدار 4 رو به متغیر دادیم و اعشارمون طبق سفارشمون داده شد قبل از شروع کار ، بنر برنامه رو برای تمیز بودن صفحه رد کردیم با اپشن -q ضمن مثال بالا , این ماشین حساب متغیر هارو هم میشناسه $ bc -q var1=10 var1 * 4 40 var2 = var1 / 5 print var2 2 quit استفاده از ماشین حساب بش در اسکریپت : اختصاص خروجیه دستور به متغیر رو یاتونه ؟ این همون راه استفاده در اسکریپتمونه , فرمت و مثال : variable=$(echo "options; expression" | bc) $ cat test9 #!/bin/bash var1=$(echo "scale=4; 3.44 / 5" | bc) echo javab mishe : $var1 khorooji => $ chmod u+x test9 $ ./test9 javab mishe : .6880 همونطور که دیدید , اول مقدار متغیر ماشین حساب رو 4 قرار دادیم , بعد مقدار محاصبه رو وارد کردیم , که تمام این به جای چاپ شدن با استفاده از پایپینگ به عنوان ورودی تزریق شد به ماشین حساب , و خروجی نهایی مراحل انجام شده در متغیر ما ریخته میشه شما میتونید به جای خود اعداد از متغیر ها هم استفاده کنید : $ cat test10 #!/bin/bash # var1=100 var2=45 # var3=$(echo "scale=4; $var1 / $var2" | bc) echo javab mishe : $var3 khorooji => $ ./test10 javab mishe : 2.2222 $ cat test11 #!/bin/bash # var1=20 var2=3.14159 # var3=$(echo "scale=4; $var1 * $var1" | bc) var4=$(echo "scale=4; $var3 * $var2" | bc) echo javab mishe : $var4 وقتایی که مقادیر طولانی دارید به ترتیب زیر هم میشه مقادیر رو وارد کرد : var1=$(bc << xx options statements expressions xx ) $ cat test12 #!/bin/bash # var1=10.46 var2=43.67 var3=33.2 var4=71 # var5=$(bc << EOF scale = 4 a1 = ( $var1 * $var2) b1 = ($var3 * $var4) a1 + b1 EOF ) echo javab mishe : $var5 چک کردن exit status هر دستوری که در شل اجرا میشه یه کد وضعیت اتمام داره که بعد از اتمام پروسه به شل تحویل داده میشه تا نتیجه کارش مشخص بشه این کد یه عدد بین 0 تا 255 هستش , شما میتونید از این عدد توی اسکریپت هاتون استفاده کنید لینوکس متغیری با نام علامت سوال فراهم میکنه که مقدار کد مربوط به اخرین دستور اونجا نگهداری میشه , شما باید به محض اتمام کار دستور ، از مقدار استفاده کنید : $ date Sat Jan 15 10:01:30 EDT 2019 $ echo $? 0 همونطور که میبینید کد وضعیت برای اجرای درست دستور میشه صفر , اگه اجرا با مشگلی مواجه بشه , کد از حالت صفر خارج میشه و بسته به شرایط مقدار میگیره , مثل : $ asdfg —bash: asdfg: command not found $ echo $? 127 چند تا نمونه از کدهای وضعیت خارج از صفر براتون میزارم بهتر اشنا بشید با موضوع 1 ارور ناشناخته عمومی 2 استفاده نادرست از دستور شل 126 دستور نمیتونه اجرا بشه 127 دستور پیدا نشد 128 ارگمان خروج نا معتبر 128+x ارور مهم با لینوکس سیگنال اکس 130 وقتی دستور در حال اجرا بوده کنترل سی انجام شده 255 کد خارج از محدوده در مثال زیر کد 126 میگه که یوزر پرمیشن مناسب رو نداره $ ./myprog.c —bash: ./myprog.c: Permission denied $ echo $? 126 نمونه متعارف بعدی که بعد از استفاده از پارامتر نامعتبر رخ میده $ date %t date: invalid date '%t' $ echo $? 1 دستور exit با استفاده از این دستور میتونیم به جای کد پیش فرض صفر برای اجرای مناسب , کد خودمونو بزاریم : $ cat test13 #!/bin/bash # test kardane exit status var1=10 var2=30 # var3=$[$var1 + $var2] echo javab mishe : $var3 # exit 5 khorooji => $ chmod u+x test13 $ ./test13 javab mishe : 40 $ echo $? 5 البته میتونید از متغیر هم برای مقدار دهی استفاده کنید : $ cat test14 #!/bin/bash # test kardane exit status var1=10 var2=30 var3=$[$var1 + $var2] # exit $var3 khorooji => $ chmod u+x test14 $ ./test14 $ echo $? 40 فقط مواضب باشید اینجور موقع ها جواب محاسبات بیشتر از 255 نشه , وگرنه مقدار مونده رو از اول دور میزنه , به مثال زیر توجه کنید : $ cat test14b #!/bin/bash # test kardane exit status var1=10 var2=30 var3=$[$var1 * $var2] echo javab mishe : $var3 # exit $var3 khorooji => $ ./test14b javab mishe : 300 $ echo $? 44 پایان قسمت دوم از بخش دوم
  27. 6 امتیاز
    بخش دوم - قسمت اول در بخش اول درمورد مقدمات و موارد مرتبط با اسکریپتینگ صحبت کردیم , حتی ممکنه به نظر برسه بعضی جاها یکم هم در حال دور شدن از بحث اصلیمون بودیم , ولی جلوتر که بریم متوجه کنترل بیشترتون روی مباحث میشید , معتقد بودم با این روش میتونم روی پیشرفت سطح بخش های بعدی و کنترل شما در یادگیری تعادل برقرار کنم , امیدوارم با پیشروی در بخش دوم این موضوع قابل لمس بشه استفاده از چندین دستور : یکی از عناصر ماهیت اسکریپتینگ به طور ساده میشه قابلیت استفاده از چندین دستور , و یا استفاده از خروجی یک پروسه یا دستور به عنوان ورودی یه دستور دیگه , شل به شما این اجازه رو میده تا زنجیره وار دستورات رو در یک مرحله اجرا کنید برای اجرای همزمان دستورات با هم تنها کافیه اونها رو با هم در یک خط نوشته و با ( ; ) از هم جدا کنید , مثل : $ date ; who Mon Feb 21 15:36:09 EST 2019 rednaxela tty2 2019-02-21 15:26 red tty3 2019-02-21 15:26 blue tty1 2019-02-21 15:26 شما اولین شل اسکریپتتون رو نوشتید , در خط اول خروجی اولین دستور و در سه خط بعد خروجی دومین دستور چاپ شده , طبق ترتیبی که دستورات نوشته شدن با این روش شما میتونید دستورات رو تا 255 کاراکتر در هر خط بنویسید که با نوشتن تو یک فایل و اجرای اون دیگه لازم نیست هر بار این عمل تکرار بشه ساخت فایل اسکریپت : وقتی شروع به ساخت فایل شل اسکریپت میکنید , در وحله اول نیاز دارید تعین کنید فایل با کدوم شل خونده بشه , که این کار رو در اولین خط شل اسکریپتمون انجام میدیم , با استفاده از کد زیر : #!/bin/bash در یک خط نرمال شل اسکریپت از کاراکتر # برای مشخص کردن توضیحات استفاده میشه و کد های بعد از اون قدرت اجرایی ندارن , هرچند اولین خط از شل اسکریپتمون بحثش جداست همین موضوع باعث میشه شما حتی اگه توی یک شل دیگه اسکریپت رو اجرا کنید با توجه با مقدار خط اول اسکریپت ما با شل بش اجرا بشه بعد از مشخص کردن نوع شل , دستورات خط به خط نوشته میشه و از # هم برای کامنت ها استفاده میکنیم #!/bin/bash # in script tarikh va user haye login karde ro neshoon mide date who که البته طبق دستورالعمل مثال اول میتونید دستورات رو پشت سر هم بنویسید حالا اسکریپت رو تو یه فایل به اسم test1 ذخیره میکنیم تقریبا کار تمومه , فقط برای اجرای شل اسکریپتتون باید به نکات زیر توجه داشته باشید اگه مثل دستور ها بخواید اجراش کنید نتیجه نمیگیرید , مثال زیر : $ test1 bash: test1: command not found در این حالت شل فایل اسکریپتمون رو یه دستور قلمداد میکنه , و برای اجرای دستور میره سراغ پیدا کردنش , که محتوای متغیر PATH رو چک میکنه و چون در فایل ادرس چنین دستوری پیدا نمیشه ارور دستور پیدا نشد رو بهمون میده $echo $PATH /usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/bin:/usr/bin: /bin:/usr/local/sbin:/usr/sbin:/sbin:/home/user/bin: برای پیدا کردن اسکریپت توسط شل دو راه وجود داره یا باید ادرس دایرکتوری ای که اسکریپت اونجاست رو به متغیر PATH اضافه کنیم یا باید مستقیما مسیر اسکریپت رو به خود شل بگیم در مثال زیر ما از روش دوم استفاده میکنیم اگه یادتون بیاد گفته بودیم برای مشخص کردن مسیر فعلی میتونیم از یک دات به صورت تکی استفاده کنیم , مثال زیر : $ ./test1 bash: ./test1: Permission denied میبینید که شل , اسکریپتمون رو پیدا کرد ولی مشگل دیگه ای پیش اومده که اون نداشتن اجازه اجراس $ ls -l test1 -rw-rw-r-- 1 rednaxela rednaxela 73 Sep 24 19:56 test1 $ chmod u+x test1 $ ./test1 Mon Feb 21 15:38:19 EST 2019 rednaxela tty2 2019-02-21 15:26 red tty3 2019-02-21 15:26 blue tty1 2019-02-21 15:26 میبینید که دسترسی داده شد و اسکریپت توسط شل دیده و اجرا شد نمایش پیام ها : $ echo in ye teste in ye teste در صورت استفاده از کوتیشن در متن باید رشته رو بین کوتیشن دیگه ای گذاشت : echo "in ye teste ke ' tafavot ro bebinim" in ye teste ke ' tafavot ro bebinim echo 'scripting dar "guardiran".' scripting dar "guardiran". استفاده از echo در اسکریپتمون : $ cat test1 #!/bin/bash # in script tarikh va user haye login karde ro neshoon mide echo zaman va tarikh : date echo user haye login karde : who بعد از اجرای اسکریپت بالا : $ ./test1 zaman va tarikh : Mon Feb 21 15:41:13 EST 2019 user haye login karde : rednaxela tty2 2019-02-21 15:26 red tty3 2019-02-21 15:26 blue tty1 2019-02-21 15:26 استفاده از متغیر ها : متغیر ها بهمون اجازه میدن اطلاعات مختلف رو در شل اسکریپتمون نگهداری کنیم برای استفاده توسط بقیه دستورات شما قبلا با متغیر های محیطی اشنا شدید , میتونید از مقادیری که نگه میدارن در اسکریپت استفاده کنید $ cat test2 #!/bin/bash # namayeshe etelaAte user echo "etelaAte user baraye karbare : $USER" echo UID: $UID echo HOME: $HOME مقدار متغیر های محیطی USER & $UID & $HOME$ برای نمایش اطلاعات استفاده شدن $chmod u+x test2 $ ./test2 etelaAte user baraye karbare : rednaxela UID: 501 HOME: /home/rednaxela برای غیر فعال کردن کاراکتر های عملگرا از بک اسلش استفاه میکنیم echo "gheymate in mahsool mishe \$50" gheymate in mahsool mishe $50 در غیر این صورت شل مقدار بعد از $ رو اسم متغیری تصور میکرد که ما قصد نمایش مقدارش رو داریم توجه کنید شل برای اسم متغیر ها به حروف کوچیک و بزرگ حساسه و شل خودکار نوع مقدار هر متغیر رو تشخیص میده $ cat test3 #!/bin/bash # test moteghayer ha d=10 u="rednaxela" echo "$d rooz pish $u online shod" d=5 u="red" # echo "$d rooz pish $u online shod" khorooji script => $ chmod u+x test3 $ ./test3 10 rooz pish rednaxela online shod 5 rooz pish red online shod شما میتونید حتی مقدار یک متغیر رو به عنوان مقدار به یک متغیر دیگه بدید $ cat test4 #!/bin/bash # ekhtesas dadane meghdare yek moteghayer be moteghayere dg var1=10 var2=$var1 echo natije mishe : $var2 khorooji script => $ chmod u+x test4 $ ./test4 natije mishe : 10 توجه کنید ما با علامت $ مقدار رو مشخص کردیم , وگرنه اسم متغیر به عنوان رشته مقدار دهی میشد , مثال زیر : var1=10 var2=var1 echo natije mishe : $var2 khorooji script => $ ./test4 natije mishe : var1 اختصاص خروجیه دستور به متغیر : این قابلیت یکی از کارامد ترین موارد شل اسکریپت هستش , فرمت و مثال : moteghayer=$(dastoor) $ cat test5 #!/bin/bash testing=$(date) echo "zaman va tarikh : " $testing khorooji script => $ chmod u+x test5 $ ./test5 zaman va tarikh : Mon Jan 31 20:23:25 EDT 2019 یه مثال کاربردی تر : #!/bin/bash emrooz=$(date +%y%m%d) ls /usr/bin -al > log.$emrooz در اسکریپت بالا دستور دیت با فرمت عددی (دریافت خروجی به صورت روز ماه سال جمعا شش رقم) اجرا شده و خروجی دستور به متغیر امروز داده شده , سپس مقادیر دایرکتوری با اطلاعاتشون لیست شدن و خروجی دستور به جای نمایش , در یک فایل ریخته شده , که اخر اسم اون فایل مقدار متغیرمون قرار گرفته نکته مهم در مورد این قابلیت اینه که وقتی از این روش استفاده میکنید , دستور در ساب شل اجرا میشه و این باعث میشه به متغیر های لوکال اسکریپت دسترسی نداشته باشه , حواستون باشه که در صورت لزوم متغیر رو ارتقا بدید هدایت خروجی : ساده ترین حالت هدایت , فرستادن خروجی یک دستور به فایل هستش که شل بش از علامت بزرگتر برای این موضوع استفاده میکنه : command > outputfile $ date > test6 $ ls -l test6 -rw-r--r-- 1 rednaxela rednaxela 29 Feb 10 17:56 test6 $ cat test6 Thu Feb 10 17:56:58 EDT 2019 اگه فایل مقصد از قبل وجود داشته باشه , خروجی روی اون فایل نوشته میشه : $ who > test6 $ cat test6 rednaxela pts/0 Feb 10 17:55 Thu Feb 10 18:02:14 EDT 2019 هدایت ورودی : در این حالت برعکس موضوع قبل از علامت کوچکتر استفاده میشه که به جای اینکه خروجی یک دستور به فایل هدایت بشه , محتوای یک فایل به عنوان ورودی به دستور هدایت میشه : command < inputfile $ wc < test6 2 11 60 در مثال بالا دستور فایل رو به عنوان ورودی دریافت کرده و مقدارش رو شمرده , که میگه 2 خط و 11 کلمه و 60 بایت در فایل وجود داره روش بعدی ، هدایت ورودی اینلاین نام داره که شما مقادیری مثل محتوای یک فایل رو بدون استفاده از فایل مستقیم به خود شل میدید , فرمت و مثال : command << marker data marker $ wc << xx > test string 1 > test string 2 > test string 3 > xx 3 9 42 پایان قسمت اول از بخش دوم
  28. 6 امتیاز
    با سلام دوست عزیز سعی کنید مستندات و اطلاعات دقیق نسبت موضوع خود و مرتبت با عنوان تاپیک خود در انجمن معرفی کنید.
  29. 6 امتیاز
    اگه هدفت فعالیت امنیتی هستش از kali و parrot استفاده کن
  30. 6 امتیاز
    بخش اول - قسمت هفتم هیچ سیستمی کاملا خالی از امنیت نیست , باید حتما مکانیزمی برای محافظت از فایل ها در برابر تغیر و دسترسی غیر مجاز باشه سیستم لینوکس از روش یونیکس برای مجوز دسترسی استفاده میکنه اجازه دسترسی تقسیم بندی شده برای یوزر ها و گروه ها بر مبنای تنظیمات هر فایل یا دایرکتوری هسته سیستم امنیتی لینوکس یوزر اکانته , میزان دسترسی کاربران سیستم به ابجکت های مختلف بستگی به یوزری داره که باهاش لاگین میکنن سیستم لینوکس از فایل های خاصی برای مدیریت یوزر اکانت ها استفاده میکنه , قبل از اینکه در مورد پرمیشن ها صحبت کنیم لازمه بدونیم لینوکس چجوری یوزر اکانت هارو هندل میکنه The /etc/passwd سیستم لینوکس برای همخونی دادن login name و uid از این فایل استفاده میکنه , این فایل حاویه هفت بخش اطلاعاتیه , یک نمونشو پایین میبینید $ cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news:mail:/sbin/nologin uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin gopher:x:13:30:gopher:/var/gopher:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/sbin/nologin vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin apache:x:48:48:Apache:/var/www:/sbin/nologin rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin ntp:x:38:38::/etc/ntp:/sbin/nologin nscd:x:28:28:NSCD Daemon:/:/sbin/nologin tcpdump:x:72:72::/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin avahi:x:70:70:Avahi daemon:/:/sbin/nologin hsqldb:x:96:96::/var/lib/hsqldb:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin gdm:x:42:42::/var/gdm:/sbin/nologin rednaxela:x:500:500:red naxela:/home/rednaxela:/bin/bash red:x:502:502:red:/home/red:/bin/bash blue:x:503:503:blue:/home/blue:/bin/bash mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash یوزر root مدیر سیستم لینوکسه و همیشه مقدار uid صفر رو داره میبینید که سیستم لینوکس اکانت های زیادی رو ساخته که در واقع یوزر واقعی نیستن و برای مقاصد سیستمی استفاده میشن که بهشون میگن سیستم اکانت سیستم اکانت در اصل یک اکانت مخصوصه که سرویس ها روی سیستم ران میکنن تا به منابع روی سیستم دسترسی پیدا کنن تمام سرویس هایی که در حالت بک گراند ران میشن نیاز دارن تحت یک سیستم اکانت به سیستم لاگین بشن اکثر لینوکس ها به سیستم اکانت ها uid زیر 500 میدن (مثال بالا رو ببینید) و uid یوزر هارو از 500 شروع میکنن (مثال بالا) فیلد های فایل /etc/passwd شامل موارد زیر هستند یوزرنیم لاگین پسورد یوزر مقدار uid یوزرم قدار gid یوزر مشخصات یوزر لوکیشن دایرکتوری home یوزر و مقدار اخر هم نوع شل یوزره مقدار x که در فیلد پسورد قرار گرفته به معنی پسورد یوزر نیست , سال ها پیش لینوکس پسورد هارو به صورت رمزنگاری شده تو این فیلد میذاشت , که چون خیلی از برنامه ها برای اطلاعات یوزر به دسترسی به این فایل نیاز داشتن , این موضوع یک مشگل امنیتی محسوب میشد الان اکثر لینوکس ها پسورد یوزر هارو تو یه فایل جدا به اسم etc/shadow/ قرار میدن که فقط برنامه های مخصوصی مثل لاگین بهش دسترسی دارن The /etc/shadow از این فایل برای نگهداری پسورد ها و اطلاعات مربوط بهشون استفاده میشه فقط یوزر root میتونه به این فایل دسترسی داشته باشه که باعث میشه امنیت بیشتری نسبت به /etc/passwd داشته باشه این فایل برای هر یوزر یه رکورد نگه میداره (مثال زیر) rednaxela:$1$.FfcK0ns$f1UgiyHQ25wrB/hykCn020:11627:0:99999:7::: هر رکورد 9 تا فیلد داره , که با هم به ترتیب مرورشون میکنیم اسم لاگین پسورد به صورت رمزنگاری شده اخرین تاریخی که پسورد تغیر کرده حداقل روز های موندگاریه پسورد قبل از امکان تغیر تاریخ انقضای پسورد چند روز قبل از منقضی شدن پسورد هشدار داده بشه تعداد روز هایی که , بعد از منقضی شدن پسورد اکانت باید غیر فعال بشه تاریخ مربوط به اینکه از چه زمانی اکانت غیر فعال شده فیلدی که برای استفاده در اینده تعبیه شده در مثال بالا شما شش فیلد فعال میبینید , که حالت نرماله و به ترتیب شش توصیف اول هستن اضافه کردن یوزر : برای این کار از دستور useradd استفاده میکنیم این دستور یک راه ساده برای اضافه کرن یوزر بهمون میده , که از تلفیق مقادیر پیش فرض سیستم و پارامتر های خط دستور برای تعریف یوزر استفاده میکنه این مقادیر پیش فرض سیستمی در مسیر زیر قرار دارن etc/defualt/useradd/ که برای دیدنشون میتونید از پارامتر D- استفاده کنید ، به مثال زیر توجه کنید : # /usr/sbin/useradd -D GROUP=100 HOME=/home INACTIVE=-1 EXPIRE= SHELL=/bin/bash SKEL=/etc/skel CREATE_MAIL_SPOOL=yes پارامتر D- به ما میگه اگه از مقادیر مخصوص خومون موقع ساخت اکانت استفاده نکنیم , به صورت پیش فرض چه جایگزینی براشون در نظر گرفته میشه طبق مثال بالا این مقایر به ترتیب میگن که : یوزر جدید اضافه میشه به گروه مرسوم با گروپ ایدی 100 یوزر جدید یک هوم اکانت در دایرکتوری هوم با اسم خودش اضافه میکنه یوزر جدید بعد از منقضی شدن پسورد غیر فعال نخواهد شد یوزر جدید بعد از مدت زمان معینی منقضی نخواهد شد یوزر جدید از شل بش به عنوان شل پیش فرض استفاده خواهد کرد سیستم محتوای etc/skel/ رو در دایرکتوری هوم یوزر اضافه میکنه سیستم یک فایل در دایرکتوری میل برای یوزر میسازه , تا ایمیل هاشو دریافت کنه مقادیر /etc/skel در برخی لینوکس ها : $ ls -al /etc/skel total 32 drwxr-xr-x 2 root root 4096 2019-04-29 08:26 . drwxr-xr-x 135 root root 12288 2019-09-23 18:49 .. —rw-r--r-- 1 root root 220 2019-04-18 21:51 .bash_logout —rw-r--r-- 1 root root 3103 2019-04-18 21:51 .bashrc —rw-r--r-- 1 root root 179 2019-03-26 08:31 examples.desktop —rw-r--r-- 1 root root 675 2019-04-18 21:51 .profile شما باید این فایل هارو از قسمت های قبل بشناسید , اینها همون فایل های استاندارد استارت اپ هستند شما میتونید این موضوع رو با ساخت یک یوزر اکانت با مقادیر پیش فرض تست کنید # useradd -m test # ls -al /home/test total 24 drwxr-xr-x 2 test test 4096 2019-09-23 19:01 . drwxr-xr-x 4 root root 4096 2019-09-23 19:01 .. —rw-r--r-- 1 test test 220 2019-04-18 21:51 .bash_logout —rw-r--r-- 1 test test 3103 2019-04-18 21:51 .bashrc —rw-r--r-- 1 test test 179 2019-03-26 08:31 examples.desktop —rw-r--r-- 1 test test 675 2019-04-18 21:51 .profile در حالت دیفالت دستور useradd دایرکتوری home رو نمیسازه که اپشن m- باعث میشه این کارو برامون بکنه میبینید که محتوای etc/skel/ در هوم دایرکتوریه جدید هستش شما میتونید هنگام ساخت یوزر اکانت هر کدوم از مقادیر پیش فرض رو که خواستید تغیر بدید c comment- برای اضافه کردن اطلاعات به فیلد کامنت یوزر استفاده میشه d home_dir- برای جایگزین کردن اسم دایرکتوری با مقدار پیش فرض استفاده میشه e expire_date- برای تعین تاریخ انقضا اکانت استفاده میشه f inactive_days- مشخص میکنه چه مدت بعد از منقضی شدن پسورد اکانت غیر فعال بشه g initial_group- برای مشخص کردن گروپ ایدی یوزر استفاده میشه G group- برای تعین چند گروه برای یوزر استفاده میشه k- همراه با m- استفاده میشه , برای کپی کردن مقادیر etc/skel/ تو هوم دایرکتوری m- برای ساخت هوم دایرکتوری استفاده میشه n- برای ایجاد یک گروه جدید هم اسم با خود یوزر , برای یوزر استفاده میشه r- برای ساخت اکانت های سیستمی استفاده میشه p passwd- تعین پسورد پیش فرض یوزر s shell- تعین شل پیش فرض یوزر u uid- تعین یک uid مشخص برای یوزر طبق چیزی که گفته شد میتونید مقادیر پیش فرض رو در هنگام ساخت یوزر اکانت برای یوزر تغیر بدید و یا , میتونید خود حالت پیش فرض رو تغیر بدید در این صورت هر اکانت دیگه ای که بسازید با مقایر پیش فرضی که شما تعین کردید ساخته میشه برای این کار باید پارامتر D- رو قبل از پارامتر های اصلاحی زیر بزارید b default_home- تغیر لوکیشن پیش فرض هوم دایرکتوری e expiration_date- تغیر مقدار زمان پیش فرض برای منقضی شدن اکانت f inactive- تغیر مقدار زمان پیش فرض برای غیر فعال شدن اکانت بعد از منقضی شدن پسوردش g group- تغیر gid پیش فرض s shell- تغیر لاگین شل پیش فرض به مثال زیر توجه کنید # useradd -D -s /bin/tsch # useradd -D GROUP=100 HOME=/home INACTIVE=-1 EXPIRE= SHELL=/bin/tsch SKEL=/etc/skel CREATE_MAIL_SPOOL=yes در این مثال مقدار شل پیش فرض برای تمام اکانت هایی که از این به بعد ساخته بشن تغیر کرد remove کردن یوزر برای از بین بردن یک اکانت میتونیم از دستور userdel استفاده کنیم در حالت پیش فرض این دستور فقط اطلاعات یوزر رو از فایل /etc/passswd پاک میکنه اگه از پارامتر r- استفاده کنید هوم دایرکتوری و دایرکتوری ایمیل هم پاک میشن اگرچه در بعضی لینوکس ها بقیه فایل های اکانت از بین رفته ، باقی میمونن به مثال زیر توجه کنید # /usr/sbin/userdel -r test # ls -al /home/test ls: cannot access /home/test: No such file or directory پایان قسمت هفتم از بخش یک در قسمت بعد به اصلاحات یوزر و کار با گروه ها و سطح های دسترسی (permissions) میپردازیم
  31. 6 امتیاز
    خب سلام و درود ECHZED هستم ومدم شما رو با حملات binary planting آشنا کنم خلاصه این حمله اینه که ما توی یه دایرکتوری توی سیستممون بهش محدودیت خاصی ندادیم و آزاده الان هر کس دیگه ای لوگ این کنه توی سیستم ما با هر یوزری دسترسی نغییر توی اون دایرکتوری رو داره هکر با یک یوزر سطح پایین تر لوگ این میکنه ولی به اون دایرکتوری دسترسی داره حالا هکر کاری که میکنه اینه که میاد فایل مخربشو با فایلی که ما قراره اجرا کنیم عوض میکنه مثلا ما یه نرم افزار داریم به نام xy که هر روز اونو اجرا میکنیم حالا هکر میاد xy مارو پاک میکنه و فایل مخربشو با اسم xy اونجا میزاره حالا ما که با یوزر ادمین لوگ این میکنیم و اون فایل اجرا میشه هکر دسترسی کامل به سیستم ما میگیره این کلیت ماجرا بود ولی بیایم به منطق نزدیک تر بشیم مثلا فایل z یه dll داره به اسم z.dll هکر میدونه هر وقت ما برنامه ی z رو اجرا کنیم همراه باهاش z.dll هم اجرا میشه پس میاد z.dll اصلی رو پاک میکنه و فایل dll مخرب خودشو با همون اسم اونجا میزاره و هر وقت که یوزر ادمین برنامه ی z رو باز میکنه فایل مخرب z.dll هم باهاش اجرا میشه و به هکر دسترسی مورد نیازو میده ممنون که خونید کامل تر نیاز داتشید میتونید از لینک OWASP استفاده کنید OWASP
  32. 6 امتیاز
    Goodzilam

    1000تاجیمیل

    درود تاپیک زیر کمکتون میکنه https://guardiran.org/topic/9064-1000%D8%AA%D8%A7-%D8%AC%DB%8C%D9%85%DB%8C%D9%84/?tab=comments#comment-31577
  33. 6 امتیاز
    بخش اول - قسمت سوم ادامه مبحث دستور های خط فرمان ( مدیریت سیستم لینوکس ) یکی از مهم ترین بخش ها در مدیریت لینوکس ، تحت نظر داشتن عوامل فعال در سیستمه که ما دستور های مرتبط بهش رو مرور میکنیم ps -A -M -f -l --forest وقتی یک برنامه روی سیستم اجرا میشه خودش رو به صورت پروسه نشون میده برای دیدن اینکه چه پروسه هایی روی سیستم فعال هستند ، از دستور ps استفاده میکنیم که میتونه ضمن نشون دادن پروسه ها اطلاعات مربوط به هرکدومشونم بهمون بده در اینجا من چند تا از اپشن های جالبش رو مثال میزنم اپشن A- نمایش تمام پروسه ها اپشن M- نمایش اطلاعات امنیتی مربوط به پروسه ها اپشن f- نمایش لیست ( فول فرمت ) اپشن l- نمایش به صورت لانگ لیست ( اطلاعات بیشتر ) اپشن forest-- که یکی از پارامتر های لانگ گنو محصوب میشه ، برای به تصویر کشیدن رابطه بین پروسه ها استفاده میشه برخی از مقادیری که دستور ps میتونه بهمون بده رو براتون لیست میکنم UID PID PPID STIME TTY CMD فیلد uid : مربوط به کاربریه که پروسه رو فعال کرده فیلد pid : کد پی ایدی پروسه ( یک کد منحصر به هر پروسه ) فیلد ppid : اگه یک پروسه از طریق پروسه دیگه ای فعال شده باشه pid پروسه اولیه رو نمایش میده فیلد stime : سیستم تایمی که پروسه فعال شده فیلد TTY : نمایش اینکه هر پروسه در کدوم TTY فعال شده فیلد Cmd : اسم خود برنامه ی هر پروسه همون طور که دیدید دستور ps در نوع خودش عالی کار میکنه ضمن اینکه پویایی این دستور به مثال کوچیک ما محدود نمیشه ولی اگه هدف شما زیر نظر گرفتن روند پروسه هاییه که فعالیت منقطع دارن باید از دستور top استفاده کنید top دستور top هم مثل ps پروسه ها و اطلاعات برامون لیست میکنه ولی این کارو در حالت ( real-time ) انجام میده ، که باعث میشه به هدفمون برسیم اولین بخش خروجی اطلاعات عمومی سیستم رو نمایش میده خط اول : زمان فعلی ، زمانی که سیستم بالا بوده ، تعداد کاربر های لاگین کرده و load average رو نشون میده خط دوم اطلاعات عمومی پروسه ها رو نشون میده مثل : تعداد کل پروسه ها ، چند پروسه فعال وجود داره ، چند پروسه متوقف شدن ، چند پروسه خواب هستن الان و چند پروسه به زامبی تبدیل شدن زامبی : پروسه هایی که کارشون تموم شده ولی پروسه هایی که اینهارو فعال کرده بودن هنوز هیچ پاسخی بهشون ندادن خط سوم اطلاعات عمومی در مورد cpu نشون میده و دو خط اخر هم در مورد وضعیت system memory هستند ، خط اول وضعیت physical memory , و خط دوم swap memory بخش دوم دستور هم شامل اطلاعات پروسه ها میشه ، مثل دستور ps kill 3940 killall http* از دستور kill و killall برای متوقف کردن پروسه ها استفاده میشه در مثال اول pid یک پروسه که 3940 هست رو به عنوان مقدار میدیم به دستور تا اون پروسه متوقف شه در مثال دوم به دستور killall میگیم هر پروسه ای که با http شروع میشه رو متوقف کن mount mount -t ntfs /dev/sdb1 /media/disk umount directory device همونطور که قبلا در موردش صحبت کردیم لینوکس تمام فایل سیستم رو در یه دایرکتوری مرجع ( / ) قرار میده قبل از اینکه شما بتونید از یک مدیا دیسک استفاده کنید ، باید اونو در سیستم دایرکتوری جا بدید ، که به این کار میگن mounting که برای این کار به دسترسی روت نیاز دارید ( البته این موضوع مربوط به اون دسته از removable media هایی میشه که به صورت خودکار این عمل براشون اتفاق نمیوفته ، که شامل موارد مرسوم نیست) با وارد کردن دستور mount به صورت تنها ، لیستی از دیوایس های مونت شده نمایش داده میشه ، به همراه مسیرشون ، نوع فایل سیستمشون و وضعیت سطح دسترسیشون در مثال اول ما یک فلش مموری رو با نوع فایل سیستم ntfs در ادرس دیوایس و ادرس مدیا ی مشخص شده به ترتیب ، مونت کردیم البته در حالت پیشفرض فقط همون یوزر روت به مدیا ی مونت شده دسترسی داره ، که میتونه سطح دسترسی رو تغیر بده در مثال دوم هم از دستور umount هم برای unmount کردن استفاده کردیم df -h از دستور df برای دیدن فضای خالی تمام دیوایس ها استفاده میکنیم ( اینترنال و اکسترنال ) اپشن h- مقادیر خروجی رو به صورت مگ و گیگ و ... نمایش میده که راحت تر قابل درک باشه du -h دستور du بر خلاف دستور df مقادیر مربوط به فضای استفاده شده رو نمایش میده اپشن h- هم همون اپشن مثال قبله sort file1 sort -n file1 sort -M file1 sort -r file1 sort -t ':' -k 3 /etc/passwd از دستور sort برای مرتب سازی مقادیر استفاده میشه از اپشن n- برای مرتب سازی بر اساس ترتیب اعداد استفاده میشه از اپشن M- برای مرتب سازی بر اساس ترتیب ماه های میلادی استفاده میشه ( برای مواقعی که اسم مقادیر دارای نام ماه هستن ، مثل لاگ فایل ها ) از اپشن r- برای برعکس کردن ترتیب فعلی مقادیر استفاده میشه و اما ترکیب جالب t- و k- که در مرحله اول یک کاراکتر رو به عنوان جدا کننده انتخاب میکنه و در مرحله دوم بین بلاک های ساخته شده بلاک مورد نظر رو انتخاب میکنه ، در مثال ما سومین بلاک انتخاب شده ، از بین بلاک هایی که کاراکتر ( : ) به وجود اورده grep root passwd grep -e red -e blue file-name grep -v xxxx file-name grep -n grep -c از دستور grep برای جستجو و تعامل با مقادیر و فایل استفاده میکنیم در مثال اول با مشخص کردن الگوی جستجو root برای فایل passwd به دستور grep میگیم بین مقادیر فایل passwd هر خطی که الگوی مارو داشت نمایش بده اپشن e- برای مشخص کردن چند الگو استفاده میشه ، تو مثال ما الگو های red و blue مشخص شدن اپشن v- به دستور میگه تمام مقادیر فایل رو نمایش بده به جز قسمت هایی که الگوی ما رو دارن اپشن n- شماره خطی که مقدار الگوی مارو داشته هم باهاش نمایش میده اپشن c- به جای نمایش مقادیر ، تعداد خط هایی که الگوی مارو داشتن رو نمایش میده gzip gzcat gunzip از دستور gzip برای زیپ کردن فایل استفاده میشه از دستور gzcat برای نمایش مقادیر فایل زیپ استفاده میشه از دستور gunzip برای از زیپ خارج کردن مقادیر استفاده میشه tar -cvf test.tar test/ test2/ tar -tf test.tar tar xvf test.tar tar -zxvf file-name.tgz. از دستور tar برای ساخت فایل های فشرده tar استفاده میشه که بخشی از فایل های فشرده مرسوم رو تشکیل میدن اپشن c- برای ساخت فایل استفاده میشه اپشن v- برای نمایش فرایند استفاده میشه اپشن f- برای مشخص کردن فایل خروجی استفاده میشه اپشن x- برای استخراج مقادیر فایل فشرده استفاده میشه در مثال اول ما یک فایل فشرده به اسم test.tar میسازیم که مقادیر فولدر های test و test2 رو دریافت کرده در مثال دوم ما مقدار فایل ساخته شده در مثال اول رو بدون استخراج فایل میبینیم در مثال سوم فایل رو استخراج میکنیم در مثال چهارم هم فایل رو استخراج میکنیم ، که البته مربوط به فرمت پیشفرض نیست ، مثلا برای استخراج تربال ها استفاده میشه در ادامه لیست دستورات پر استفاده رو براتون گذاشتم که بخشیش رو تا الان دیدید و بقیش هم در قسمت های بعد با توجه به موضوع بحث اون قسمت میبینید head Displays the fi rst portion of the specifi ed fi le’s contents help Displays the help pages for bash built-in commands killall Sends a system signal to a running process based on process name kwrite Invokes the KWrite text editor less Advanced viewing of fi le contents link Creates a link to a fi le using an alias name ln Creates a symbolic or hard link to a designated fi le ls Lists directory contents makewhatis Creates the whatis database allowing man page keyword searches man Displays the man pages for the designated command or topic mkdir Creates the specifi ed directory under the current directory more Lists the contents of the specifi ed fi le, pausing after each screen of data mount Displays or mounts disk devices into the virtual fi lesystem mv Renames a fi le nano Invokes the nano text editor nice Runs a command using a different priority level on the system passwd Changes the password for a system user account ps Displays information about the running processes on the system pwd Displays the current directory renice Changes the priority of a running application on the system rm Deletes the specifi ed fi le rmdir Deletes the specifi ed directory sed Streams line editing using editor commands sleep Pauses bash shell operation for a specifi ed amount of time sort Organizes data in a data fi le based on the specifi ed order stat Views the fi le statistics of the specifi ed fi le sudo Runs an application as the root user account tail Displays the last portion of the specifi ed fi le’s contents tar Archives data and directories into a single fi le top Displays the active processes, showing vital system statistics touch Creates a new empty fi le or updates the timestamp on an existing fi le umount Removes a mounted disk device from the virtual fi lesystem uptime Displays information on how long the system has been running useradd Creates a new system user account userdel Removes an existing system user account. usermod Modifi es an existing system user account vi Invokes the vim text editor vmstat Produces a detailed report on memory and CPU usage on the system chage Changes the password expiration date for the specified system user account chfn Changes the specifi ed user account’s comment information chgrp Changes the default group of the specifi ed fi le or directory chmod Changes system security permissions for the specifi ed fi le or directory chown Changes the default owner of the specifi ed fi le or directory chpasswd Reads a fi le of login name and password pairs and updates the passwords chsh Changes the specifi ed user account’s default shell clear Removes text from a terminal emulator or virtual console terminal compress Original Unix fi le compression utility coproc Spawns a subshell in background mode and executes the designated command cp Copies the specifi ed fi les to an alternate location crontab Initiates the editor for the user’s crontable fi le, if allowed cut Removes a designated portion of each specifi ed fi le’s lines date Displays the date in various formats df Displays current disk space statistics for all mounted devices du Displays disk usage statistics for the specifi ed fi le path emacs Invokes the emacs text editor file Views the fi le type of the specifi ed fi le find Performs a recursive search for fi les free Checks available and used memory on the system gawk Streams editing using programming language commands grep Searches a fi le for the specifi ed text string gedit Invokes the GNOME Desktop editor getopt Parses command options including long options groups Displays group membership of the designated user groupadd Creates a new system group groupmod Modifi es an existing system group gzip The GNU Project’s compression using Lempel-Ziv compression whereis Displays a designated command’s fi les, including binary, source code, and man pages which Finds the location of an executable fi le who Displays users currently logged into system whoami Displays the current user’s username xargs Takes items from STDIN, builds commands, and executes the commands zip Unix version of the Windows PKZIP program پایان قسمت سوم از بخش یک در قسمت بعد وارد مباحث مرتبط با شل میشیم
  34. 6 امتیاز
    این ویدیو رو از قبل داشتم که براتون آپلود کردم. tracing-hacker.rar
  35. 6 امتیاز
    درود, آموزش دیفیس(هک) وبسایت با کمک افزونه Noredirect در فایرفاکس سوالی هست زیر همین تاپیک جواب میدم امیدوارم مفید باشه و در راه آموزش استفاده شه! پسورد : guardiran.org Goodzilam.part1.rar Goodzilam.part2.rar
  36. 6 امتیاز
    پارت آخر: Dork Combine v1.2 by Volevanya [Guardiran.org].z05
  37. 6 امتیاز
    سلام دوست عزیز لطفا قبل از ارسال پست قوانین انجمن را مطالعه کنید که این قوانین شما را مجاب میکنه که به زبان فارسی تایپ کنید تا مطالب انجمن یک دست باشه سایت های ذکر شده در این آموزش قدیمی می باشند و احتمالا تعدادی از آن ها منسوخ شده که به زودی این لیست آپدیت خواهد شد همانطور که توسط مدیر ارشد عزیز ذکر شد این وی پی اس ها مناسب عملیات سنگین نیستند و اصولا فقط برای تست مورد استفاده قرار میگیرند موفق باشید
  38. 6 امتیاز
    داون لول کاندید های مدیریت : @armanbabaei & @MR.wIzArD بنا بر عدم فعالیت مفید و مستمر کاندید های مدیریت مربوطه در مدت زمانه طولانی مدیریت آزمایشی ، داون لول ایشان رو رسما اعلام می کنم ضمن تشکر ، موفق باشید
  39. 6 امتیاز
    سلام در بخشی از کانفرانس بلک هت 2014 این موضوع مطرح شد https://www.blackhat.com/docs/eu-14/materials/eu-14-Apvrille-Hide-Android-Applications-In-Images-wp.pdf برای ویندوز شانس بیشتری دارید جهت اینکار, در هر دو صورت یک مبحث حساس هستش و شما باید یک سناریو درست حسابی و دقیق داشته باشید سعی میکنم به مقاله یا آموزش در این باره در انجمن قرار بدم .
  40. 6 امتیاز
    سلام روز بخیر. طی روزهای اخیر یک آسیب پذیری جدی از سرورهای مبتنی بر Citrix با کد cve 2019 19781 یافت شده که سطح بالایی از خطر رو دارا هست. در اینجا یک ویدیوی آموزشی در مورد استفاده از این اکسپلویت خدمتتون تقدیم میکنم. فرایند حمله: یافتن یک سرور مبتنی Citrix و IP آن استفاده از توزیع های لینکس (پیشنهادی) برای راحتی در حمله نیازمندیهای اکسپلویت: requests و netaddr در این حمله میتوانید اطلاعات یوزرهای روی سرور را به دست آورید. این اکسپلویت بصورت Remote کد را بر روی سرور اجرا میکند و خروجی را به شما می دهد. محتویات : ویدیو آموزشی + اکسپلویت رمز عبور: guardiran.org cve-2019-19781-master.zip cve-2019-19781-master.z01 cve-2019-19781-master.z02
  41. 6 امتیاز
  42. 6 امتیاز
    outsider

    metasploit

    درود بعد از این که این پیام رو داد Enter رو بزنید سپس دستور sessions -l رو بزنید و در پاسخ ببینید چه نشست هایی دارید اگر نشستی داشتید باید شماره ی id اون رو در پاسخ دستور بالا پیدا کنید و برای نمونه اگر 1 بود دستور زیر رو بزنیید sessions -i 1 تا نشست ساخته شده براتون باز بشه
  43. 6 امتیاز
    1TED

    Dmitry Footprinting Tool

    درود ../ با آموزش جمع آوری اطلاعات در مورد تارگت مورد نظر با ابزار Dmitry در کالی لینوکس در خدمت شما هستیم پوزش اگه کیفیت صدا مطلوب نیست امید وارم به دردتون بخوره یا حق ../ Screencast_12-04-2019_10:23:31 PM.mp4 Download
  44. 6 امتیاز
  45. 6 امتیاز
    ۱.آموزش ساخت بچ فایل برای ساخت یک بچ فایل شما ابتدا باید یک سند متنی ایجاد کنید مثل new text document و درون سند کد نویسی خودتون آغاز و از منوی file گزینه save as انتخاب کرده و در قسمت file name اسم بدید و در انتها bat. , cmd. btm. اضافه و ذخیره کنید . (این هم اضافه کنم که بعد از تغییر پسوند آیکون فایل متنی شما به چرخ دنده تغییر شکل پیدا میکنه !) خب هر زبانی برای خودش یک سری قوانین خاص داره و یک سری قوانین عام که همه زبان های برنامه نویسی دارند ! برای آشنایی شما با اولین دستور در زبان بچ ؛ دستور Echo Off@ بهتون میگم ! این دستور هم جالب هم پرکاربرد و همینطور ساده هست ! ببینید دوستان دستور Echo در حالت عادی برای نمایش یک پیغام کاربرد داره اما وقتی که ما برای مثال میخوایم محیط cmd (command prompt) خودمونو به حالت تعاملی تبدیل کنیم مینویسیم Echo On@ یا همینطور برعکس اگر بخوایم به حالت غیر تعاملی تبدیل کنیم مینویسیم Echo Off@ ! نکته : علامت @ در زبان بچ برای غیر فعال کردن ورباس(verbose) کاربرد داره . مثال یه دستور ساده : @echo off وقتی این دستور اجرا کنید در همون محیط cmd دیگه آدرس درایو نمیبینید همچنین وقتی در کد نویسی هاتون ازش استفاده کنید همونطور که قبلا گفتم محیط cmd با استفاده از دستور بالا به حالت غیر تعاملی تبدیل میکنه ! خب گفتیم که دستور Echo کارش نشون دادن پیام هست ! تمرین 1 : پیغام Hello World را در cmd چاپ کنید. @echo off echo Hello World نکته : دستورات در زبان بچ به حروف بزرگ و کوچک حساس نیستند . نکته : دوستان ما در زبان سی پلاس پلاس برای ایجاد یک خط جدید از دستور n\ استفاده میکردیم ! به همین منظور برای ایجاد یک خط خالی در زبان بچ ما از دستور زیر استفاده میکنیم . echo. دستور بعدی که باهاش آشنا میشیم دستور pause هست بدون این دستور در حالت عادی دستورات ما در لحظه نشون داده میشه و بسته میشه و ما برای اینکه بعد از نمایش اون دستورات به سرعت بسته نشن از pause استفاده میکنیم. مثل دستور زیر : @echo off ایجاد حالت غیر تعاملی echo. ایجاد یک خط خالی جدید echo Hello World نشون دادن پیغام مورد نظر pause استاپ خوردن یا همون ایست دادن دستور جهت دیدن آموزش شماره ۱ تموم شد ! اگر راضی بودید ادامه بخش اول میزارم اگر هم نه میتونید برای مدیران گزارش کنید تا تاپیک بسته یا حذف بشه ! لطفا اسپم ندید !
  46. 6 امتیاز
    تیم آلفا که ثابت شده هست و جواب دندون شکنی دادند . ما هم میتونیم در چنین مناسباتی شرکت کنیم و به اسم تیم کارهای تمیزی بکنیم از این مدل کارها در آشیانه زیاد انجام میدادیم اگر مدیران موافق هستند یه تیم تشکیل بشه که در چنین مناسباتی برای دفاع از هویت و تاریخ و پرچم کشور گاردایران هم حرفی برای گفتن داشته باشه
  47. 6 امتیاز
    http://koonnapab.chiangmaihealth.go.th/gallery/edge.php
  48. 6 امتیاز
    http://mim.tbs.tu.ac.th/cms/upload_images/71edge.php با Open BaseDir 11 تا ساب دامین قابل نفوذ هست
  49. 6 امتیاز
    بسم الله الر حمن الر حیم با پیشرفت فناوری و اطلاعات ، همه کسب و کار ها و فعالیت های اداری به بستر فضای مجازی منتقل میشه و همین امر ، یک فرصت بسیار مناسب برای امنیت کار هاست که بتونن درآمد بسیار خوبی برای خودشون داشته باشن ../ همین امر باعث میشه که خیلی ها به سمت این تخصص هجوم بیارن ولی چون راهکار مناسب برای ادامه ندارن ، نا امید میشن ! تو این تایپک میخوایم راجع اینکه اولا یه امنیت کار باید چه چیزا هایی رو بدونه و دوما اینکه یه هکر خوب چه کسیه صحبت کنیم برای ورود به دنیای تخصص در فضای مجازی قطعا ما نیاز به درک سه چیز داریم ! 1- شبکه ! یکی از مهم ترین اقدام ها برای یک تستر امنیتی ، فهمیدن اینه که سیستم ها در شبکه با هم دیگه چطور ارتباط میگیرن داشتن دانش در رابطه با IP/TCP شما باید راجع پروتکل ها بیشتر بدانید شما باید تمام لایه های OSI را با دقت یاد بگیرید و بتونید با تمام جزئیات اون رو برای یک شخص توضیح بدید ! شما باید پروتکل های مربوط به هر سطح در OSI را به خوبی بشناسید یکی از مهم ترین مسائل در مبحث شبکه شناخت کامل همین پروتکل هاست یک امنیت کار باید بتواند به خوبی دستکاری های انجام شده در شبکه رو متوجه بشود ../ 2- درک اینترنت ! اکثر امنیت کار های ما فکر میکنن نحوه عملکرد اینترنت رو درک میکنن ولی خوب باید بگیم که در اشتباهن ! شما میتونین همه request و response (درخواست و پاسخ) یک پروتکل را بنویسین !؟ میتونین تفاوت بین HTTP 1.0 و HTTP 1.1 و HTTP 2.0 یا HTTP 0.9 را بدون تحقیق در موردش بگین !؟ شما کدهای پاسخ HTTP ، نه فقط اطلاعات کلی بلکه کدهای خاص رو میشناسین !؟ میدونین CDE چطوری کار میکنه !؟ جواب بعضی از این سوالات احتمالا خیر خواهد بود ! با توجه به اینکه تو کشور ما منابع کاملی وجود نداره باید قبول کنیم که یکمقدار دانشمون نسبت به این مسائل سطحیه ! شما وقتی یه وبسایت یا یه API یا یه سری کد رو رو تست امنیت میکن ، باید بدونید که اینها چطوری کار میکنند ! 3- درک سیستم عامل ها ! شما به عنوان یک امنیت کار ، باید تقریبا تمام سیستم عامل هارو تجربه کنید فقط ویندوز برای تخصص ما کافی نیست ! شما حتما باید لینوکس و مکینتاش را تجربه و یاد بگیرید ! شما باید بتونید به خوبی انواع سیستم عامل هارو نصب و اجرا کنید ، با ابزار های خط فرمان ( CMD, Powershell, Bash ) کار کنید ! قطعا یادگیری همه ی خط فرمان ها کار بسیار دشواری براتون خواهد بود ولی خوب حدالامکان یادگیری و حفظ بودن دستورات بسیار شمارو از بقیه امنیت کار ها جلو خواهد انداخت ../ ولی خوب اگه نتونستید حفظ کنیدم مشکلی نیست ! گوگل دوست همیشگی ماست 🤩 تا اینجا فهمیدیم برای ابتدای کار به چه چیز هایی نیاز داریم ! در پست های بعدی خواهیم گفت : 1- انواع امنیت و نحوه یادگیریشون (امنیت عمیق) رو یاد خواهید گرفت امیدوارم این تاپیک براتون مفید باشه ! لطفا هیچ اسپمی ایجاد نکنید تا پست های بعدی در اصرع وقت ارسال شه ♥ ممنون از همکاریتون برای تشکر میتونید از دکمه لایک استفاده کنید ، لطفا سوالات مربوط به تاپیک رو تحت یک پیام خصوصی به بنده ارسال کنید به امید موفقیت روز افزون برای امنیت مملکتون ♥ در پناه حق ../
  50. 6 امتیاز
    سلام با یک اسکریپت خوب پایتون که خودم ساختم در خدمتتونم امیدوارم کم کاری این مدتمو جبران کنه اسکریپت رو ران کنید بعد قند شکن رو روشن کنید لینک پست تلگرامتون رو بهش بدید و بعد هم پروکسی بعدش هم حالشو ببرید TVC.py