نوشته‌شده در

مهندسی معکوس – Shellcodes ساده من segfaults را به من بدهید

من تعدادی shellcodes را از http://shell-storm.org سعی کردم و از کتابی که خواندن "Handcover shellcoder" را دارم، مشکلی در هنگام کامپایل کردن ندارم، اما وقتی آنها را اجرا می کنم، آنها را به صورت جداگانه اجرا می کنم یا پوسته ای ندارند و فقط شروع خطوط خالی
یکی از shellcodes هایی که من تلاش کردم فقط خطوط خالی را به من نشان داد: 

 // shellcode.c

char shellcode [] =

    " xeb  x1a  x5e  x31  xc0  x88  x46  x07  x8d  x1e  x89  x5e  x08  x89  x46"

" x0c  xb0  x0b  x89  xf3  x8d  x4e  x08  x8d  x56  x0c  xcd  x80  xe8  xe1"

    " xff  xff  xff  x2f  x62  x69  x6e  x2f  x73  x68"؛





int main ()
{
  int (* ret) ()؛
  ret = (int (*) ()) shellcode؛
  (int) (* ret) ()؛
}

با gcc -mabm -fno-stack-protector -z کامپایل می کنم -z execstack shellcode.c -o shellcode

نوشته‌شده در

چگونه به پول با ساده فیس بوک فیس بوک پول

پرس و جو چگونه پول با فیس بوک سراسر وب است تکان دهنده. دلیل بودن، فیس بوک است نه تنها گسترده ترین خروجی رسانه های اجتماعی در این سیاره در حال حاضر، اما در ماه گذشته اگر شما چک کنید در alexa.com سفر کرده بود شما که نه یک بار متوجه خواهید شد، اما دو برابر فیس بوک گوگل در ترافیک در سراسر جهان برای اولین بار گذشت زمان آنها را فعال سازی خیابان محبوب وب سایت در اینترنت.

شما احساس نمی مانند رقص کمی? فیس بوک تبریک شما پایین مرد-دو بار در ماه ضرب و شتم- & هیچ سایت دیگر که برای 5 سال انجام داده است. بنابراین سوال می شود چه می کند این معنی کسب و کار شما- & از چه منبع می تواند یک کمی تجمع را با فیس بوک?

قبل از من به ‘چگونه’ آن مهم است برای درک دلیل فیس بوک حتی گوگل پیشی & دلیل ساده است است: به عنوان معنای اجتماعی بیشتر & بیشتر مردم با استفاده از وب سایت. مردم هم به صرف چند ساعت با همسایگان در کافی شاپ همیشه دیگر-از این رو جای نداشته، به عنوان آنها در حال کار کار خود را روز آنها در فیس بوک چند بار چند tasking گفتگوی ویدیویی هستید!

در صورتی که دلیل چرا افراد در فیس بوک هستند در نتیجه سپس آن آسان به کشف چگونگی کسب درآمد با فیس بوک است. شما باید اجتماعی! در توجه مردم تمام این کاملا عقب باشی. آنها به خارج وجود دارد در فیس بوک هرزه نگاره، لینک های وابسته خود را و ما چند سطح بازاریابی تا لینک در همه فیس بوک دیوار که کسی کلیک کنید بر روی لینک و فقط از “خودکار” دعا فروش محصولات وابسته خود را و یا پیوستن به خود چند سطح بازاریابی فرصت. مشکل در اینجا چیست؟ که حتی از راه دور اجتماعی است! اگر شما در حال تلاش برای کسب درآمد در شبکه های اجتماعی، شما فقط نمی تواند درخواست فروش شخص که ‘چیزهای روی دیوار نگه می دارد به برخی از پرتاب & چوب به آن امیدوارند. (ببخشید بیان).

قسمت خوب این است که شما می توانید بپرسید اجتماعی در فیس بوک بدون داشتن حتی یک میلیون دوستان-و یا حتی هزاران نفر از دوستان که برای ماده. را در تنها حدود 400 دوستان & استفاده از فیس بوک به عنوان سود تولید ماشین همه چیز در فقط انجام کاملا متفاوت از بسیاری از افراد دیگر. کلید ارائه حقایق ارزشمند به جای به سادگی جمع می شوند و سعی کنید آنها را به چیزی گول زدن مردم است. به عنوان مثال، اگر شما عضو گروه بازاریابی چندسطحی در فیس بوک به جای ارسال خود ما تا لینک بر روی دیوار، ارسال ویدیو “چگونه به” یا چیزی مطالب شما خوب است که در صنعت بازاریابی شبکه ای. شاید آن است حمایت شاید آن را به داشتن طرز فکر حق و یا حال سفت & توقف نیست تا زمانی که شما آن را. قبل از پرش حق از & فروش کسب و کار خود را بر روی آنها هر چه، آن را در دیوار فیس بوک وجود پست & مردم اجازه می دهد فرصت برای ‘می دانم شما’ با استفاده از ماده یا ویدئو است.

فکر می کنم در مورد آن-زمانی که لینک های وابسته را سراسر دیوار فیس بوک خود را پیدا می کنید و یا یک گروه فیس بوک شما هستند بخشی از شما همیشه را کلیک کنید و یا خرید هر چیزی را از آن شخص وسوسه احساس? اگر شما چیزی مانند من، شما در حال بدون شک کاملا درست اذیت که کسی، spammed خود دیواری و یا دیوار گروه و کمی ‘x’ به حذف اسپم و به جلوگیری از کاربر را کلیک کنید. درست است؟ که آنچه من انجام شده است. در نتیجه پول در فیس بوک انجام نمی شود آن شخص را-که خارج از غرفه را از ظروف سرباز یا مسافر spammy باشد.

facebook

پرس و جو چگونه پول با فیس بوک سراسر وب است تکان دهنده. دلیل بودن، فیس بوک است نه تنها گسترده ترین خروجی رسانه های اجتماعی در این سیاره در حال حاضر، اما در ماه گذشته اگر شما چک کنید در alexa.com سفر کرده بود شما که نه یک بار متوجه خواهید شد، اما دو برابر فیس بوک گوگل در ترافیک در سراسر جهان برای اولین بار گذشت زمان آنها را فعال سازی خیابان محبوب وب سایت در اینترنت.

شما احساس نمی مانند رقص کمی? فیس بوک تبریک شما پایین مرد-دو بار در ماه ضرب و شتم- & هیچ سایت دیگر که برای 5 سال انجام داده است. بنابراین سوال می شود چه می کند این معنی کسب و کار شما- & از چه منبع می تواند یک کمی تجمع را با فیس بوک?

قبل از من به ‘چگونه’ آن مهم است برای درک دلیل فیس بوک حتی گوگل پیشی & دلیل ساده است است: به عنوان معنای اجتماعی بیشتر & بیشتر مردم با استفاده از وب سایت. مردم هم به صرف چند ساعت با همسایگان در کافی شاپ همیشه دیگر-از این رو جای نداشته، به عنوان آنها در حال کار کار خود را روز آنها در فیس بوک چند بار چند tasking گفتگوی ویدیویی هستید!

در صورتی که دلیل چرا افراد در فیس بوک هستند در نتیجه سپس آن آسان به کشف چگونگی کسب درآمد با فیس بوک است. شما باید اجتماعی! در توجه مردم تمام این کاملا عقب باشی. آنها به خارج وجود دارد در فیس بوک هرزه نگاره، لینک های وابسته خود را و ما چند سطح بازاریابی تا لینک در همه فیس بوک دیوار که کسی کلیک کنید بر روی لینک و فقط از “خودکار” دعا فروش محصولات وابسته خود را و یا پیوستن به خود چند سطح بازاریابی فرصت. مشکل در اینجا چیست؟ که حتی از راه دور اجتماعی است! اگر شما در حال تلاش برای کسب درآمد در شبکه های اجتماعی، شما فقط نمی تواند درخواست فروش شخص که ‘چیزهای روی دیوار نگه می دارد به برخی از پرتاب & چوب به آن امیدوارند. (ببخشید بیان).

قسمت خوب این است که شما می توانید بپرسید اجتماعی در فیس بوک بدون داشتن حتی یک میلیون دوستان-و یا حتی هزاران نفر از دوستان که برای ماده. را در تنها حدود 400 دوستان & استفاده از فیس بوک به عنوان سود تولید ماشین همه چیز در فقط انجام کاملا متفاوت از بسیاری از افراد دیگر. کلید ارائه حقایق ارزشمند به جای به سادگی جمع می شوند و سعی کنید آنها را به چیزی گول زدن مردم است. به عنوان مثال، اگر شما عضو گروه بازاریابی چندسطحی در فیس بوک به جای ارسال خود ما تا لینک بر روی دیوار، ارسال ویدیو “چگونه به” یا چیزی مطالب شما خوب است که در صنعت بازاریابی شبکه ای. شاید آن است حمایت شاید آن را به داشتن طرز فکر حق و یا حال سفت & توقف نیست تا زمانی که شما آن را. قبل از پرش حق از & فروش کسب و کار خود را بر روی آنها هر چه، آن را در دیوار فیس بوک وجود پست & مردم اجازه می دهد فرصت برای ‘می دانم شما’ با استفاده از ماده یا ویدئو است.

فکر می کنم در مورد آن-زمانی که لینک های وابسته را سراسر دیوار فیس بوک خود را پیدا می کنید و یا یک گروه فیس بوک شما هستند بخشی از شما همیشه را کلیک کنید و یا خرید هر چیزی را از آن شخص وسوسه احساس? اگر شما چیزی مانند من، شما در حال بدون شک کاملا درست اذیت که کسی، spammed خود دیواری و یا دیوار گروه و کمی ‘x’ به حذف اسپم و به جلوگیری از کاربر را کلیک کنید. درست است؟ که آنچه من انجام شده است. در نتیجه پول در فیس بوک انجام نمی شود آن شخص را-که خارج از غرفه را از ظروف سرباز یا مسافر spammy باشد.

نوشته‌شده در

php – اگر متن cypher، متن ساده و nonce شناخته شده باشد، می تواند کلید مخفی تعیین شود؟

من با استفاده از sodium_crypto_secretbox و sodium_crypto_secretbox_open توابع در PHP (در حال حاضر PHP 5.6، با استفاده از paragonie / sodium_compat )

متن cypher، متن غیر کجایی و رمزگشایی، آیا می توانند کلیدی را که برای رمزگذاری اطلاعات استفاده می شود تعیین کند؟

متن: رمزگذاری ورود کاربر (یک کوکی، ذخیره شده در دستگاه) و استفاده از آن به عنوان یک نشانه CSRF نشانه CSRF لزوما شامل nonce برای رمزگشایی در هنگام ارسال است. Token CSRF رمزگشایی شده و در ارسال فرم POST ها برای محافظت در برابر حملات CSRF تأیید شده است.

نگرانی من برای حمله کنندگان CSRF بسیار زیاد نیست، بلکه به عنوان کلیدی برای دسترسی به کوکی ها وجود ندارد. برای ساده بودن، استفاده از همان کلید برای سایر توابع رمزگذاری در نرم افزار مفید است، اما من نمی توانم از این اطلاعات به راحتی استفاده کنم. یک کاربر مشروع میتواند نشانه و کوکی CSRF را ببیند: آیا میتوانند کلید را کشف کنند؟

نوشته‌شده در

تغییر از hash bcrypt به sha1 یا حتی متن ساده برای عملکرد

یک برنامه کاربردی را که در مفهوم به یک سرور FTP مشابه است، توسعه دادم. چند صد حساب کاربری وجود دارد و از bcrypt برای ذخیره کلمات عبور هشدار استفاده می کند.

تمام رمزهای عبور کاربر به صورت تصادفی تولید شده اند. GUID های 128 بیتی v4

یکی از ویژگی های برنامه من، بسیاری از ورودی های همزمان را ایجاد می کند. وقتی این اتفاق می افتد، bcrypt بر پروفیل های عملکرد غلبه می کند و تجربه کاربر را تضعیف می کند. من می خواهم CPU را با جایگزین کردن bcrypt با استفاده از تابع هش CPU کمتری کاهش دهم.

برنامه های کاربردی وب از bcrypt برای کلمه عبور استفاده می کنند به جای هش های بسیار ضعیف (مانند SHA-1 یکپارچه یا حتی ROT13)، به طوری که کرک آنلاین به طور ناگهانی غیر منتظره.

اما، از آنجا که یک برنامه FTP-server-like فقط فایل ها را بر روی دیسک محلی خواند / می نویسد، هر مهاجم با دسترسی به پایگاه داده ورود به سیستم، این دسترسی محلی را به هر حال خواهد داشت. بنابراین فکر نمی کنم آفلاین hash-cracking یک تهدید معتبر باشد.

که فقط بروتفورس آنلاین را ترک می کند، اما از آنجایی که من خوش شانس هستم تا تضمین رمز عبور قوی (GUID های 128 بیتی v4) داشته باشم، این نیز غیر قابل اجرا است.

بنابراین من در این وضعیت فکر میکنم امنیت را برای چیزی که به طور قابل توجهی ضعیف (به عنوان مثال SHA-1 یک یا حتی ROT13) پایین میآید، پایین میآورم.

سوال من این است:

آیا چیزی را فراموش کردهام ؟ آیا این تحلیل اشتباه است؟