رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

سلام

در مورد این شل تمرینی سوال داشتم

اگه بخایم سایت های روی سرور که الان این شل روش آبلود شده رو بدست بیاریم بچه صورت هست یا همون symlink ؟

الان سیملبنک زدن چطوری هست

توی این شل

http://www.dcbox.com.tw/m/images/logo/16305203440.php

ایا بعد از سیملینک زدن میشه admin page سایت رو هم دراور!

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

درود 

 

... دوست عزیز اول بهتره شما با مفاهیم پایه سرور هکینگ اشنا بشید .. سیملینک یه قابلیت یا دسترسیه که به ما اجازه میده دایرکتوری های بقیه دامین هارو ببینیم.بیشتر هم جهت خوندن فایل config ( فایل حاوی اطلاعات دیتابیس ) استفاده میشه

 

 اینجا رو یه نگاه بنداز 

 

 

برای بدست اوردن سایت های رو یه سرور میایم ازش reverse میگیریم  که  اکثرا با سایت زیر انجام میدن ..(اسکریپت های دیگم هست )

 

 

 

این هم اموزش کامل سیم لینک توسط دوست خوبم MR,IMAN  

 

واسه قسمت اخر سوالتون هم باید بگم سیم لینک فقط خواندن فایل config  

 

یا حق

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

سلام

ممنون از آموزش ها تون

این لینک الان شل تمرینی هست

سول من اینه اگه بخوام یک سایتی رو که شل توش هست به سایت دیگه برم و انو دیفیس کنم باید چکار کنم

لینک شل تمرینی

http://www.dcbox.com.tw/m/images/logo/16305203440.php

با این شل که توی سایت هست وصل بشم به سایت دیگه؟

ممنون از دوستان گران قدر

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

درود ... ببینید دوسته عزیز .. قطعا اول باید روت بشیم به سرور ... خب  اول مشخص میکنیم سرور ویندوزه یا لینوکس ... اگه لینوکسه که میایم لوکال روتش رو پیدا که میکنیم که  کرنل تو این شل 2016 هست فک نکنم پیدا بشه .. راه دیگشم سیم لینک ..

 

خب اگه سرور ویندوزی باشه میایم یه یوزر میسازیم دسترسی administrator بهش میدیم 

 

البته هیچ سروری بصورت هلو بپر توی گلو نیست و قطعا  نیاز به بایپس های زیادی داره(safe mode , function bypass .......) 

 

خب حالا روت شدیم چیکار میتونیم بکنیم؟؟؟؟؟؟؟؟؟ سرور زیر دستته .. حالا فایل config.php ..دیتایس سایت ها  .. همه رو میتونی گشت و گذار کنی :))

 

خب دیگه حل شد ..میای دیتابیس رو یه چک میکنی یوزر ادمین اون سایت رو یه نگاه میندازی و بقیه کارها ...

 

یه مس دیفیس هم بزنی کل سایت های روی سرور یک جا بمب :| 

 

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

سلام دوست عزیز
من واقا این توضیحاتی که گفتید رو متوجه نشدم:دی
اگه امکان داره یک فیلم کوتاه از اون شل تمرینی که هست تهیه کنید و بفرستید!

یه راهنمایی کنید!
من سیملینگ توی اون شل باید چطور بزنم

الان این شل رو سرور لینوکس هست
ممنون از شما
منتظر باسخ
 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

درود.

خوب دوست عزیز ببینید انگار شما حتی نمیدونید که سیملینک چیه پس اجازه بدید تا کاملا توضیح بدم.

خوب ابتدا سیملینک چیست؟

متد سیملینک Symlink یکی از متدهای رایج در لینوکس هست مانند : شورت کات ShortCut در ویندوز میمونه و اما در سرورهای لینوکس و بطور کلی

چرا هکرها سیملینک میزنند ؟

با استفاده از این تابع که مانند همان shortcut یا میانبر در ویندوز عمل میکنه باعث میشه که هکر بتونه به پوشه و دایرکنوریهای سایر دومین ها Domain بروند و اونا رو بخونند .

روش کار رو بصورت معمول بخوام توضیح بدم بدین صورته که هکر ابتدا میاد و روی یکی از دامین های روی سرور مورد نظر شل آپلود می کنه و از طریق شل میاد

و کارهایی از قبیل :

آپلود Cgi.pl که همون Cgi Telnet هست رو با توجه به پرم لازم آپلود می کنه

سیملینک 
Symlink بر روی میزنه بر روی سرور

فایلهای 
کانفیگ رو میخونه

دیفیس می کنه و یا مس دیفیس MAssDeface می کنه

و...


و همونطور که عرض کردم سیملینک هم برای خواندن فایلهای کانفیگ هست و هکر میادو از طریق فایلهای کانفیگ

یوزر دیتابیس

پسورد دیتابیس

نام دیتابیس


رو بدست میاره و معمولا از طریق شل و یا اسکریپت های رایج و معمول برای اینکار به دیتابیس متصل میشه .

 

خوب حالا سوالات رو تک تک پاسخ میدم

 

 

اگه بخایم سایت های روی سرور که الان این شل روش آبلود شده رو بدست بیاریم بچه صورت هست یا همون symlink ؟

خوب این کار سیملینک نیست و فقط کافیه فایل named.conf یا دایرکتوری /home/ رو چک کنید.

یا از این سایت استفاده کنید.

که در این تارگت اگر این دایرکتوری رو چک کنید تمام سایت های روی سرور رو میبینید.

http://www.dcbox.com.tw/m/images/logo/16305203440.php?y=/home/

به عنوان مثال:

سایت http://holar.is/en/english 

یوزر و پسورد دیتابیش در این قسمت قرار داره:

http://www.dcbox.com.tw/m/images/logo/16305203440.php?y=/home/holar/&view=/home/holar/connect.php

اسکریپت وصل شدن به دیتا بیس با این اطلاعات رو در پست پیوست میکنم.

و بقیه هم به همین ترتیب.

 

 

ایا بعد از سیملینک زدن میشه admin page سایت رو هم دراور!

خوب اینم ربطی به سیملینک نداره.

اگر هم بالفرض ربطی داشت اصلا لازم نبود که ادمین پیج رو پیدا کنیم چون ما دسترسی بالاتری داریم و اونم شل است.

 

 

سول من اینه اگه بخوام یک سایتی رو که شل توش هست به سایت دیگه برم و انو دیفیس کنم باید چکار کنم

خوب ما در این تارگت میایم و دایرکتوری /home/ رو چک میکنیم و در اونجا ما سایت ها و فایل کانکت سایت ها رو میبینیم.

ولی اگر نبود باید سیملینک بزنید که در این تاپیک آموزشش موجود هست

موفق باشید

Mysql2.php

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

خوب ما در این تارگت میایم و دایرکتوری /home/ رو چک میکنیم و در اونجا ما سایت ها و فایل کانکت سایت ها رو میبینیم.

ولی اگر نبود باید سیملینک بزنید که در این تاپیک آموزشش موجود هست

سلام ممنون از توضیحات خوبتون

اون لینکی که دادیدو دیدم ولی اون شل یکی دیگس و توی home سایت ها هستن. باخودم کلی بحث کردم که ببرسم سوالم و یا نه چون سوال من خیلی ازیتتون شاید میکنه !

الان من یک شل دارم از شل تمرینی شما همون طوری که شما گفتید دایرکتوری /home/ رو چک میکنیم و در اونجا ما سایت ها و فایل کانکت سایت ها رو میبینیم ولی اگر نبود باید سیملینک بزنید! خب الان home این شل دایرکتوی های دیگه ی نداره فقط یک نام msternew هست که برای خود همین سایت هست الان توی این شل b374k باید چطوری سیملینک کنم اگه میشه بگید دستورش چیه با همین شل

لینک شل شما و دیفیس شد شما

 قسمت home شل

http://www.master-new.com.tw/a/images/logo/16305202617.php?y=%2Fhome%2Fmsternew%2Fpublic_html%2Fa%2Fimages%2Flogo%2F&view=%2Fhome%2F&submitcmd=Enter+!

قسمت آبلود شل

http://www.master-new.com.tw/a/images/logo/16305202617.php?y=/home/msternew/public_html/a/images/logo/

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

قرار نیست که همه سرور ها سیمیلینک خور باشن اگه اینطوری بود که شرکت های مختلف هاست دهی و ... به وجود نمی یومد

 

این سرور هم از اوناست که کلی پایبیس میخواد و احتمالم داره نشه

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...