نوشته‌شده در

تزریق SQL با یک URL غیر قابل تزریق

من اخیرا به یک زیر دامنه داده شدم که با SQLi: gov.ns.agency سعی و بهره برداری شود. بر خلاف آنچه که در بیشتر آموزشها مشاهده میکنم، نمیتوانم پارامترها را به نشانی اینترنتی تزریق کنم، مثل اینکه در هر جای دیگر میبینم.

این چیزی است که من سعی کردم:

  1. در صفحه ورود، هر نام کاربری با رمز عبور مناسب بود: 'OR '1' = '1 و من به gov.ns.agency /users هدایت می شود. در اینجا یک فرم باز می کند که آیا یک کاربر وجود دارد. من قصد دارم از ستون "نام" و "عبور" از جدول "کاربران" اطلاعات دریافت کنم. یک نکته نیز وجود دارد که MySQL پایگاه داده است و درخواستهای فرستاده شده GET و NOT POST با استثناء برخی از پرس و جوهایی که یک خطای داخلی سرور POST 500 را نشان می دهند وجود دارد.

  2. 'UNION ALL SELECT NULL، version ()' – MySQL بازگشتی نسخه 8.0.11 – حذف نقل قولهای تک کاربره پیدا نشد.

  3. 'UNION SELECT' یافت، COLUMN_NAME FROM information_schema.columns WHERE table_name = 'users' AND column_name LIKE 'pa٪ returned [name] Found -> [priv] گذشت من هنوز هم سرم را از دست می دهم، چه چیزی می تواند باشد، ممکن است امتیازات را توصیف کند؟ مدیر ممکن است؟

  4. 'اتحاد همه را انتخاب NULL، concat (schema_name) FROM information_schema.schemata'
    این نام DB را می دهد اما به جای آن من 500 خطای سرور داخلی را به من داد.

من کاملا جدید برای آزمایش نفوذ هستم و مطمئن نیستم که چه query ها جدول ها را دریافت می کنند و حتی چگونه از ابزارهایی مثل SQLMap یا Burpsuite برای انجام این کار، و یا حتی اینکه چگونه من به این نوع سایت مراجعه کردم، جایی که من حتی نمیتوانم پرس و جوها را به نشانی اینترنتی (معمولا در php؟ id = 123 به پایان برسد) انجام می دهم، بنابراین هر گونه راهنمایی بسیار قدردانی خواهد شد!

نوشته‌شده در

گزینه هنگامی که شما غیر مقیم

نمی توان باز کردن حساب بانکی نمی تواند انکار کرد که کانون جهانی تجارت است که امروز ایالات متحده آمریکا. حتی مستقل از کارهایی است که به کشورهای دیگر در آسیا بیشتر برون سپاری است سرچشمه گرفته از ایالات متحده. به این ترتیب، آن است که اغلب لازم برای باز کردن یک حساب بانکی غیر مقیم است.

هنوز باقی مانده سوال: زمانی که شما محل فیزیکی در داخل ایالات متحده خود نیست چه هستند بهترین گزینه باز کردن حساب بانکی غیر مقیم گفت? در حال حاضر، که یک معضل است که در این مقاله سعی در حل از طریق ارائه گزینه های سه پایه است.

از دست دادن به کارگزاری گزینه

این ساده ترین گزینه ها برای اکثر افراد زیاد است. برای یک چیز، کارگزاری سازمان به عنوان واحد بین المللی یکپارچه عمل می کنند و از این رو، قادر به ارائه خدمات بانکی از بانک ها بیشتر به اشتراک گذاری به همین نام است، اما می تواند عامل در سطوح مختلف. به این ترتیب مفهوم بانکداری جهانی ندارم، متوجه شدم.

برای another چیز کارگزاری اغلب برای سال اول که ممکن است یا ممکن است برای یک حساب بانکی غیر مقیم رایگان هستند. پس از آن، شما باید هزینه های مناسب برای آنها را به تجارت حساب خود را پرداخت. و گزینه های پرداخت را نمی توان شکست هم معمولا فقط $1.000 اکثر موارد شروع.

ترفند این است که در شرکت کارگزاری راست برای پول خود را پیدا. این نباید باشد مشکلی در دسترسی به اطلاعات از طریق اینترنت.

باز کردن یک حساب با بانک بین المللی

در حال حاضر، اگر شرکت های کارگزاری شما چیز به خصوص با ترس گسترده سقوط بازار سهام این سازمان ها را تحت تاثیر قرار نیست، و سپس بانک آمریکا با شاخه های بین المللی در کشور خود است بهترین گزینه بعدی. فقط مطمئن شوید که هر کدام معاملات با دیگر به عنوان کوچک خصوصی نوار قرمز و کارمزدی که ممکن است به رسمیت می شناسد را.

در غیر این صورت، شما نیز به ایالات متحده برای باز کردن یک حساب بانکی غیر مقیم برای هزینه گزاف پرداخت با این گزینه باید به رفتن ممکن است. بله، واقعا، و آن را روند باز کردن حساب بانکی در ایالات متحده آسان تر است، بیش از حد.

حرکت نزولی برای این گزینه با این حال، است که شما هزار دلار به حساب باز کنید. یا شما می توانید اثبات درآمد بالا که بستگی به تعریف این بانک چه به منزله درآمد بالا در حال حاضر. یا شما می توانید وام مسکن بانک همان است که هنوز به شما هزینه را.

برای غیر ساکنان بهتر صدا در حال حاضر فکر فقط به قصد ایالات متحده فقط قادر به باز کردن حساب بانکی کند? اگر شما خوب، شما نمی شود مورد سرزنش است.

فرم خود را خود شرکت آمریکایی

در اینجا یکی از راه های یقین برای باز کردن یک حساب بانکی غیر مقیم در ایالات متحده بدون نیاز به واقع به پا مجموعه در کشور است. شما فقط نیاز به یک شرکت آمریکایی است که پایبند به قوانین و مقررات دولت ایالات متحده و شما زیادی برای رفتن.

به ویژه هنگامی که شما در نظر زحمتی و هزینه های اختلاط خوب، البته، این سخت ترین گزینه است. و اگر امپراتوری خود را آنلاین فقط پیدا کردن پای خود در بازار طاقچه است، شما ممکن است بخواهید به صبر کنید چند سال تا زمانی که واقعا یک امپراطوری است. پادشاهی و یا حداقل.

این گزینه برای باز کردن یک حساب بانکی غیر مقیم ایالات متحده در حالی که شما در قاره های دیگر هستند. دشوار است و هیچ کس می تواند شما را در آن مسابقه اما ممکن است.

manager

نمی توان باز کردن حساب بانکی نمی تواند انکار کرد که کانون جهانی تجارت است که امروز ایالات متحده آمریکا. حتی مستقل از کارهایی است که به کشورهای دیگر در آسیا بیشتر برون سپاری است سرچشمه گرفته از ایالات متحده. به این ترتیب، آن است که اغلب لازم برای باز کردن یک حساب بانکی غیر مقیم است.

هنوز باقی مانده سوال: زمانی که شما محل فیزیکی در داخل ایالات متحده خود نیست چه هستند بهترین گزینه باز کردن حساب بانکی غیر مقیم گفت? در حال حاضر، که یک معضل است که در این مقاله سعی در حل از طریق ارائه گزینه های سه پایه است.

از دست دادن به کارگزاری گزینه

این ساده ترین گزینه ها برای اکثر افراد زیاد است. برای یک چیز، کارگزاری سازمان به عنوان واحد بین المللی یکپارچه عمل می کنند و از این رو، قادر به ارائه خدمات بانکی از بانک ها بیشتر به اشتراک گذاری به همین نام است، اما می تواند عامل در سطوح مختلف. به این ترتیب مفهوم بانکداری جهانی ندارم، متوجه شدم.

برای another چیز کارگزاری اغلب برای سال اول که ممکن است یا ممکن است برای یک حساب بانکی غیر مقیم رایگان هستند. پس از آن، شما باید هزینه های مناسب برای آنها را به تجارت حساب خود را پرداخت. و گزینه های پرداخت را نمی توان شکست هم معمولا فقط $1.000 اکثر موارد شروع.

ترفند این است که در شرکت کارگزاری راست برای پول خود را پیدا. این نباید باشد مشکلی در دسترسی به اطلاعات از طریق اینترنت.

باز کردن یک حساب با بانک بین المللی

در حال حاضر، اگر شرکت های کارگزاری شما چیز به خصوص با ترس گسترده سقوط بازار سهام این سازمان ها را تحت تاثیر قرار نیست، و سپس بانک آمریکا با شاخه های بین المللی در کشور خود است بهترین گزینه بعدی. فقط مطمئن شوید که هر کدام معاملات با دیگر به عنوان کوچک خصوصی نوار قرمز و کارمزدی که ممکن است به رسمیت می شناسد را.

در غیر این صورت، شما نیز به ایالات متحده برای باز کردن یک حساب بانکی غیر مقیم برای هزینه گزاف پرداخت با این گزینه باید به رفتن ممکن است. بله، واقعا، و آن را روند باز کردن حساب بانکی در ایالات متحده آسان تر است، بیش از حد.

حرکت نزولی برای این گزینه با این حال، است که شما هزار دلار به حساب باز کنید. یا شما می توانید اثبات درآمد بالا که بستگی به تعریف این بانک چه به منزله درآمد بالا در حال حاضر. یا شما می توانید وام مسکن بانک همان است که هنوز به شما هزینه را.

برای غیر ساکنان بهتر صدا در حال حاضر فکر فقط به قصد ایالات متحده فقط قادر به باز کردن حساب بانکی کند? اگر شما خوب، شما نمی شود مورد سرزنش است.

فرم خود را خود شرکت آمریکایی

در اینجا یکی از راه های یقین برای باز کردن یک حساب بانکی غیر مقیم در ایالات متحده بدون نیاز به واقع به پا مجموعه در کشور است. شما فقط نیاز به یک شرکت آمریکایی است که پایبند به قوانین و مقررات دولت ایالات متحده و شما زیادی برای رفتن.

به ویژه هنگامی که شما در نظر زحمتی و هزینه های اختلاط خوب، البته، این سخت ترین گزینه است. و اگر امپراتوری خود را آنلاین فقط پیدا کردن پای خود در بازار طاقچه است، شما ممکن است بخواهید به صبر کنید چند سال تا زمانی که واقعا یک امپراطوری است. پادشاهی و یا حداقل.

این گزینه برای باز کردن یک حساب بانکی غیر مقیم ایالات متحده در حالی که شما در قاره های دیگر هستند. دشوار است و هیچ کس می تواند شما را در آن مسابقه اما ممکن است.

نوشته‌شده در

نحوه غیر فعال کردن زبانه های ویندوز 10 از نمایش در Alt + Tab

ویژگی "تنظیمات" در به روز رسانی Redstone 5 ویندوز 10 باعث می شود زبانه ها در کنار پنجره ها در Alt + Tab switcher ظاهر شوند. زبانه های مرورگر مایکروسافت لبه در Alt + Tab ظاهر می شود. اما شما می توانید این برگه ها را پنهان کنید و به جای آن رفتار Classic Alt + Tab را باز کنید.

به روز رسانی Redstone 5 در حال حاضر در فرم پیش نمایش خودی در دسترس است. این نسخه بعدها در پاییز سال 2018 منتشر خواهد شد و به نام دیگری به نام «به روز رسانی اکتبر 2018» یا «به روز رسانی نوامبر 2018» منتشر خواهد شد.

مرتبط: ویندوز 10 تغییر نحوه کار Alt + اینجا چیزی است که باید بدانید

برای تغییر این تنظیم، به تنظیمات> سیستم> چندرسانهای بر روی کامپیوتر خود بروید.

به بخش «تنظیمات» بروید، کلیک کنید منوی کشویی زیر "فشار دادن Alt + Tab جدیدترین استفاده شده را نشان می دهد"، و سپس گزینه "تنها ویندوز" را انتخاب کنید. تنظیمات پیش فرض ویندوز و زبانه ها است که هر دو پنجره ها و زبانه ها را نشان می دهد.

شما همچنین می توانید بر روی جعبه زیر "برنامه ها و وب سایت ها به طور خودکار در یک جدید باز" کلیک کنید و تنظیمات "پنجره" را انتخاب کنید برای جلوگیری از برنامه ها و وب سایت ها از باز کردن در زبانه ها.

ویندوز 10 در حال حاضر هیچ گزینه ای برای غیر فعال کردن زبانه مجموعه، بنابراین این بیشتر است که شما می توانید انجام دهید اگر شما آن را دوست ندارم. شما هنوز هم می توانید بین زبانه ها را با استفاده از کلید های میانبر مانند Ctrl + Windows + Tab تغییر دهید حتی پس از اینکه آنها را از کلید Alt + Tab مخفی کنید.

مرتبط: نحوه استفاده از تنظیمات در ویندوز 10 برای سازماندهی برنامه ها به داخل زبانه ها

توجه داشته باشید که زبانه های گوگل کروم و موزیلا فایرفاکس در زبانه Alt + Tab ظاهر نمی شوند، زیرا از نوع خاصی از برگه خود استفاده می کنند. سایر برنامه های کاربردی که از نوع خاصی از تب استفاده می کنند، زبانه های آنها در Switch Alt + Tab وجود نخواهد داشت.

اگر این برنامه ها پشتیبانی از مجموعه ها را فعال کنند، برگه های آنها نیز در Alt + Tab ظاهر می شود. [19659013]

نوشته‌شده در

فای – استفاده از airolib-ng با خرج کردن و سپس با استفاده از فایل با aircrack-ng نتیجه غیر منتظره را دریافت می کند

من با استفاده از airlib-ng و crunch برای ایجاد پایگاه داده رمز عبور و از پایگاه داده رمز عبور در aircrack-ng برای بازداشت دستگیره دستگیر شده یک WPA2 Wireless Network

دستورات ترمینال من و خروجی – 

 root @ VAIO-PC: ~ / Desktop / files # crunch 8 8 1234567890abcdefghijklmnopqrstuvwxyz --stdout | airolib-ng testdb -import passwd -
Crunch در حال حاضر مقدار زیر را تولید می کند: 25389989167104 bytes
24213780 مگابایت
23646 گیگابایت
23 بایت
0 PB
Crunch حالا تعداد خطوط زیر را تولید می کند: 2821109907456
پایگاه داده  در حال حاضر وجود ندارد، ایجاد آن ...
پایگاه داده  با موفقیت ایجاد شد
خواندن فایل ...
^ CCrunch پایان دادن به خطوط 1111y3z4id نادیده گرفته شد.
root @ VAIO-PC: ~ / Desktop / files # clear

حالا من testdb را ایجاد کرده ام که با استفاده از کلید -r می توانم فایل فتوشاپ را باز کنم (* .cap). 

 root @ VAIO-PC: ~ / Desktop / files # aircrack-ng '/root/Desktop/hs/TEST-NET.cap' -r '/ root / دسک تاپ / فایل / testdb'
باز کردن /root/Desktop/hs/TEST-NET.cap
خواندن 4 بسته.

   # BSSID ESSID رمزگذاری

   1 AA: 8E: E8: 04: 02: EE TEST-NET WPA (1 دستشویی)

انتخاب شبکه اول به عنوان هدف.

باز کردن / root / desktop / hs / TEST-NET (کپی) .cap
خواندن بسته ها، لطفا صبر کنید ...


                                 Aircrack-ng 1.2 rc4

ترک سیگنال هواپیما ...
root @ VAIO-PC: ~ / Desktop / files #

اما برای یک دلیل غیر منتظره رها می شود، آیا کسی می تواند به من این مشکل را در اینجا بگوید؟ یک فایل journal نیز حذف می شود. من نمی دانم مشکل چیست، من سعی کردم جستجو در انجمن ها و وب سایت های دیگر، اما من در مورد این بسیار کمک نکردم.

مرتبط – https://tools.kali.org/wireless-attacks/airolib-ng
اما به جای تولید آنها با استفاده از کریستس، یک واژهنامه استفاده می کند.

نوشته‌شده در

رمزگذاری – این روش به ارسال ایمن EFAIL از پیام های رمزگذاری شده OpenPGP اجازه می دهد به غیر از خوانندگان ناامن EFAIL: TRUE یا FALSE

مدیران: لطفا توجه داشته باشید که این یک نسخه از (آیا این یک حفاظت ساده در برابر EFAIL نیست؟)
زیرا استراتژی متفاوت است که در ابتدای هر متن ساده به عنوان یک بلوک واحد رمزگذاری می شود.

Background

تهدید امنیتی EFAIL از اجرای ناقص استاندارد OpenPGP RFC0448 سوء استفاده می کند. بعضی توضیحات بسیار مختصر در زیر آمده است.

در برخی از تاریخ های محدود در (امیدوارم) آینده ای نزدیک، اکثر مشتری های ایمیل بیش از کاربران GnuPG یک راه اندازی سیستم ایمنی خواندن EFAIL داشته باشند، اگر قبلا آنها را انجام ندهند. استاندارد OpenPGP به شدت اجرا خواهد شد.

با این حال، وضعیت ارسال یک پیام مخفی خیلی خوب نیست. هیچ راهی برای تضمین اینکه خواننده / گیرنده نرم افزار و / یا تنظیمات خود را به روز کرده است وجود ندارد. به روز رسانی امنیتی به لحاظ آمار به طور یکسان اجرا نمی شود؛ همیشه لجباز هستند بنابراین، بدون هیچ گونه احتیاط اضافی اضافی، همیشه پیام پیام نویس / فرستنده پیام مخفی که توسط مهاجم EFAIL بخاطر خواننده با یک تنظیم ناامن EFAIL خوانده می شود وجود دارد.

بنابراین در یک روش بالقوه وجود دارد که اجازه می دهد تا ارسال امن بدون در نظر گرفتن اینکه آیا خواننده دارای تنظیم غیر ایمن EFAIL بود یا خیر.

روش پیشنهادی

توضیحات مختصر و ساده از حمله:

هر کدام و هر بلوک رمزگذاری شده B از پیام رمزگذاری شده می تواند توسط داده های رمزگذاری شده psuedo تروجان قرار داده شود تا یک پیام رمزگذاری شده چند بلوک ABC را فراهم کند. قطعات A و C به صورت هوشمندانه انتخاب می شوند، به طوری که وقتی ABC رمزگشایی می شود، پیامی از شکل را ارائه می دهد:

که نحو معتبر HTML با یک img برچسب، یک ویژگی src و یک مقدار مربوطه است که URL معتبر است. متن رمز گشایی رمزگذاری شده بلوک B در آدرس URL پس از آدرس معتبر مهاجم تعبیه شده است.

بسته به برنامه نویسی و تنظیمات ایمیل مشتریان خواننده، سرویس گیرنده ایمیل به طور خودکار درخواست HTTP را به آدرس URL ارسال می کند ، باعث شده است که متن ساده B به مهاجم منتقل شود.

این توضیح بیش از حد ساده تر شده است، که ظرفیت استراتژی EFAIL را غلط و غلبه می دهد. از این رو کافی است که یک استراتژی کاهش EFAIL نشان داده شود که این توضیح بیش از حد ساده را شکست می دهد.

مهم: یک بلوک رمزگذاری یک اصطلاح فنی خاص است که به الگوریتم کدگذاری بلوک CBF اشاره دارد در RFC4880 13.9 حالت OpenPGP CFB. بلوک B دارای اندازه ثابت است (16 بایت برای تمام رمزهای AES)، و محدوده بلوک B در زمان رمزگذاری ثابت می شوند. مهاجم هیچ کنترلی بر انتخاب مرزهای بلوک ندارد و نمی تواند آنها را تغییر دهد.

ابهام با استفاده از نحو HTML

از آنجا که هر بلوک آسیب پذیر است، این راه حل به صورت جداگانه محافظت از هر بلوک را به طور کامل به عنوان بخش ارزش یک ویژگی HTML این ممکن است به این دلیل که مهاجم محدود به تقسیم پیام در کنار محدودیت های بلوک رمز شده موجود است.

راه حل بسیار ساده است. متن ساده که در یک بلوک رمزگذاری می شود به دو بخش تقسیم می شود. این بخش اول رشته مبهوت کننده o است و قسمت دوم پیام m است. انتخاب o مانع از m از ویژگی ویژگی های مهاجم است

به طور خاص، رشته obfuscating o باید حداقل سه کاراکتر تک نقل قول (')، نقل قول دو (و) و فضای () این به اندازه کافی برای خاتمه بسته شدن ویژگی HTML و حفاظت از پیام m است. این توسط مشخصات HTML تعیین شده است

شما می توانید بازی را با مهاجمین انتخاب کنید که شروع به تعویض در این مثال سندبلاست Try jsoup (https://try.jsoup.org/٪7E_nyXks5PuAs-zJeek8CVhpuAvtI)

هنگامی که توسط کاربر در قالب خام خود رمزگشایی شود، پیام کل قابل خواندن انسان خواهد بود. اما کمی زشت است، زیرا حاوی رشته مبهم است o ، اما از EFAIL امن خواهد بود.

این روش نیازمند فشرده سازی قبل از رمزگذاری نیست، زیرا این امر مرزهای بلوک را خراب می کند.

قابل توجه است که محققان احتمال استفاده از د محدود کننده ها به عنوان یک استراتژی کاهش در خلاصه آنلاین خود. با این حال، می توان فرض کرد که آنها فقط موارد محرمانه را با توجه به مرزهای بلوک رمزگذاری قرار نمی دهند.

سؤال

آیا شکل دیگری از رشته های HTML وجود دارد که توسط مهاجم برای غلبه بر پیشگیری از EFAIL پیشنهادی و اجازه دادن به انفیلتراسیون را می دهد؟

این یک بحث باز پایان نیست که به

  • مسائل مربوط به پیاده سازی
  • مسائل ارگونومیک
  • حملات دیگر با استفاده از فرایند HTML مبتنی بر نیست [19659026] ضعف غیر EFAIL معرفی شده بدون فشرده سازی و / یا کاراکترهای ناشناخته کمتر در هر بلوک رمزگذاری. (این ممکن است محدود شود اضافه کردن کاراکترهای تصادفی اضافی به رشته obfuscating)

در غیر این صورت این سوال مجاز نمی باشد. (با این حال، چنین نظریات به عنوان طول نظرات محدود می شود خوش آمدید.)

بنابراین پاسخ ها باید محدود است که نشان می دهد که این روش می تواند شکسته شود.

این را می توان پرش کرد: زمینه های اضافی در مورد آسیب پذیری EFAIL

بهره برداری ناشی از اجرای MDC نیست (کد تشخیص اصلاح) همانطور که در بخش RFC4880-5.14 مشخص شده است. در مورد اجرای GnuPG OpenPGP، داده ها ممکن است در یک جریان بازگردانده شوند و در انتهای جریان یک مقدار برای نشان دادن اینکه آیا یک کد معتبر MDC تایید داده یافت می شود، بازگشت می شود. متاسفانه، بسیاری از پیاده سازی های ایمیل، ارزش آن را بررسی نمی کنند و یا پردازش داده ها را قبل از چک کردن آن ارزش.

مرجع

این روش و اجرای کاهش EFAIL در اینجا کمی عمیق در اینجا مورد بحث قرار گرفته است.