رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

سلام

دوستان میخوام اپلودرهای سرور رو پیدا کنم و شل اپلود کنم یا میخوام از طریق باگهای سرور به سرور نفوذ کنم باید چیکار کنم؟

 

تاکید میکنم میخوام به سرور از طریق باگ خود سرور نفوذ کنم

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • پاسخ 24
  • ایجاد شد
  • آخرین پاسخ

بهترین ارسال کنندگان این موضوع

سلام.

شما میخواین به خود سرور نفوذ کنین.

خوب بستگی به سرور داره.الان فکر نکنم سروری به این داغونی باشه که بشه مستقیما به خود سرور نفوذ کرد.امنیت بالا رفته.اگر همپیدا بشه اصلا ارزش نداره بهش نفوذ بکنی چون سایت های روی سرورش کمه قطعا.

اما اگر ما بیایم یکی از سایت های روی سرور رو با اسکنر های مثل Acountix و Vega و Nesus مورد اسکن و تحلیل قرار بدین قطعا به نتایجی خواهید رسید.

ما میتونیم در صورت وجود آپلودر بایپس بزنیم و شل آپ کنیم و یا اگر اکسپلویتی از اون CMS وجود داشت از اون استفاطه کنید.

اما این دو(نفوذ مستقیم و نفوذ به یکی از سایت ها)هر دو نیاز به رد کردن یکسری پروسه هاست،مثل روت و مس دیفیس یااگردستی بخواین بزنین خوندن فای. Shadow و Config و سیملینک زدن و.. هست.

پس درکل کار ساده ای نخواهد بود.

موفق باشید

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

بله منظورم خود سرور هستش

 

و اینکه بحث سر داغون بودن سرور یا نبودنش نیس در کل میخوام راه های نفوذ به یه سرور رو بدونم

 

و شما فکر کن با اسکنرا نمیشه اسکن کرد سرور رو اونوقت باید چیکار کرد؟

 

برای بدست اوردن dns سرور چه راهی رو پیشنهاد میکنین و بعد بدست اوردن dns چیکار باید کرد؟

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

شما میخواین راه های نفوذ رو بدونین.

خوب ما نمیتونیم یک راه نفوذ کلی برای همه سرور ها در نظر بگیریم.

به عنوان مثال سرور x دارتی باگ xss هست.ولی ما نمیتونیم بگیم که سرور y هم دارای این باگ هست.

در کل ما باید سرور رو تحت تسکن قرار بدیم.

خوب حالا اومدیم و سرور رونتونستیم اسکن کنیم.حالا چیکار کنیم?

راه های پیشنهادی من در این رابطه:

استفاده از htaccess. ها

تست نفوذ با کاای برای پیدا کردن بخش های آسیب پذیربا ابزاری مثل w3af.

برای پیدا کردن DMS سرور ما میتونیم از DNS SERVER در کالی لینوکس استفاده کنیم.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

شما میخواین راه های نفوذ رو بدونین.

خوب ما نمیتونیم یک راه نفوذ کلی برای همه سرور ها در نظر بگیریم.

به عنوان مثال سرور x دارتی باگ xss هست.ولی ما نمیتونیم بگیم که سرور y هم دارای این باگ هست.

در کل ما باید سرور رو تحت تسکن قرار بدیم.

خوب حالا اومدیم و سرور رونتونستیم اسکن کنیم.حالا چیکار کنیم?

راه های پیشنهادی من در این رابطه:

استفاده از htaccess. ها

تست نفوذ با کاای برای پیدا کردن بخش های آسیب پذیربا ابزاری مثل w3af.

برای پیدا کردن DMS سرور ما میتونیم از DNS SERVER در کالی لینوکس استفاده کنیم.

با تشکر از شما ولی منظور من باگهای سرور هستش نه xss وsql...که برای نفوذ به سایت هستش

مثلا اسیب پذیری bash که برای سرورهای لینوکسی بود  یا اسیب پذیری Webdav و...

بعد گفتین که استفاده از htaccess خب من این رو چجوری باید روی سرور اجرا کنم؟ طبیعتا یا باید اپلود شه یا به سرور دسترسی داشته باشم که اگه این دوتا باشه که نیازی به چیزای دیگه نیس و سرور رو میزنم

بعد گفتین w3af که خودش اسکنر هستش و من گفتم که اگه جلوی اسکنر گرفته بشه باید چیکار کنیم؟

گفتین سرور رو باید تحت اسکن قرار بدیم خب اینم معقول نیس 

خب حالا با استفاده از ایپی سرور میشه چیکار کرد و چجوری میشه با ایپی به سرور نفوذ کرد؟

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

سلام

خوب شما اولین مرحله و مهم ترین مرحله که اسکن و جمع اروی اطلاعات هست رو کلا بی خیال شدید که به نظرم اشتباه

اول شما باید اطلاعات کاملی از سرور داشته باشید مثل پورت ها و سرویس های در حال اجرا بعد دنبال نفوذ باشید :)

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

دوست عزیز فک کنم شما سوال و جواب های منو اقای demon رو نخوندین

چون من گفتم اگه سایت و سرور غیر قابل اسکن باشه چیکار باید کرد؟در مورد پورت ها و نحوه کارشون هم اطلاعات دارم 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...