نفوذ – برگه 5 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

می 14, 2018

آزمون نفوذ – استفاده از فایل های EXE و DLL در دستگاه iOS است

من در مورد برنامه های کاربردی iOS شک دارم.

من یک برنامه iOS دارم. نرم افزار توسط نرم افزار MDM محافظت می شود.

فرایند نصب – هنگامی که MDM را بر روی دستگاه iPhone نصب می کنم و مدارک VPN سرور را ارائه می دهم، این شرکت نرم افزار را از سرور هل می دهد (به این معنی که من نیازی به دانلود برنامه از فروشگاه App) بنابراین، چگونه برنامه در دستگاه دستگاه iOS iOS پایه نصب می شود.

هنگامی که از طریق ساختار فایل / پوشه حرکت می کنم، فایل اصلی EXE و فایل های پشتیبانی کننده DLL آن را همراه با فایل های نرم افزار سنتی iOS در همان پوشه پیدا کردم.

سوال من این است: آیا این یک اشتباه یا هر گونه احتمال وجود دارد پل بین سیستم عامل iOS و فایل EXE / DLL. چرا آنها در آنجا هستند؟ هر گونه استفاده از EXE و DLL در دستگاه iOS؟ براساس درک من، استفاده از فایلهای EXE و DLL در دستگاه iPhone کاربردی ندارد. آیا درست است؟

Assumption – من برنامه Android خود را بررسی نکرده ام. اگر می توانستم آن را پیدا کنم، فرض می کنم که آنها بسته ی جهانی را در انتهای خود دارند که آنها را به انواع مختلف انواع دستگاه های کاربر مانند Android، Windows Desktop، iPhone و غیره فشار می دهد.

آیا این می تواند باشد یک دلیل؟ پس از گوگلینگ، متوجه شدم که برنامه ممکن است با استفاده از چارچوب فن آوری Xamarin – https://www.visualstudio.com/xamarin/

می 13, 2018

آزمون نفوذ – hostapd-wpe یک چالش و واکنش دریافت می کند، به طور متوسط اعتبار ارسال شد؟

یک نقطه دسترسی برای راه اندازی یک حمله "شر دوقلو" در یک شبکه سازمانی WPA2 موجود ایجاد کردم (من اجازه دارم این کار را انجام دهم)

من با استفاده از hostapd-wpe، در کوتاه مدت از امکان دسترسی به نقطه دسترسی من دستگاه ها شبکه را می بینند و احراز هویت می کنند و من یک چالش و پاسخ می گیرم.

هنگامی که چالش و پاسخ را می گیرم و تلاش می کنم برای اجرای یک حمله فرهنگی به آنها، من ناموفق باشم. حتی اگر من به نقطه دسترسی با رمز عبور رمز عبور وصل شوم یا به صورت دستی یک رمزعبور واقعی را به لیست لیست من اضافه کنم.

با jtr من از موارد زیر استفاده می کنم:

john – wordlist = / usr / share / wordlists / rockyou .txt.gz hash.txt

john –format = netntlm – naive –wordlist = / usr / share / wordlists / rockyou.txt.gz hash.txt

وقتی mschapv2 یا netntlmv2 را در jtr یا hashcat امتحان میکنم آن را بارها 0 هش. hashcat خطایی در مورد salt-length ارائه می دهد.

hostapd-wpe نشان می دهد که چالش و پاسخ mschapv2 است.

به دنبال یک پاسخ ساده اما هر گونه توصیه بسیار قدردانی است. آیا چالش و واکنش نشان می دهد که این ماشین ها فقط اعتبارنامه خود را به AP شر دوقلو ارسال کرد، و من فقط نیاز به ادامه کار در فهم چگونگی برداشتن mschapv2. یا اینکه چالش و پاسخ را لزوما به معنی موفقیت نیست و ممکن است برای ادامه کار بر روی AP شر دوقلو باید ادامه داشته باشد.

از زمان شما متشکرم.

آوریل 30, 2018

تست نفوذ – مرور کامل سازگار

من در انتهای این پاسخ برخی منابع خوب شما را پیوند خواهم داد. اما من فکر می کنم آنچه که شما باید بدانید این است که به طور کامل چیزی یاد بگیرند، من فکر نمی کنم شما باید تلاش کنید که از یک منبع یاد بگیرند. دهها هزار منبع خوب برای یادگیری در InfoSec وجود دارد (و در هر چیزی در واقع)

به نظر شما سوال شما این است که شما یک منبع را می خواهید، من متاسفم، اما شما آن را دریافت نخواهید کرد. یادگیری در مورد گرفتن چیزها، درک آن و پس از آن قادر به اجرای آن برای یادگیری از یک منبع است صادقانه … غیر ممکن است. می گویم غیرممکن است به ویژه هنگامی که در این زمینه بسیار فراگیر است.

https://www.amazon.co.uk/Penetration-Testing-Hands-Introduction-Hacking/dp/1593275641 – این کتاب فوق العاده برای دانش پایه است، می آموزد شما انواع حملات، چگونگی راه اندازی یک آزمایشگاه (برای یادگیری) و یک کتاب پایه و اساس خوب است که من معتقدم که بسیاری از افراد توصیه می کنند.

در اینجا یک سوال در مورد InfoSec با منابع برای آسیب پذیری های وب – بهترین منابع برای یادگیری حملات امنیتی اینترنتی

شما همچنین می توانید از این سایت استفاده کنید – https://www.owasp.org/index.php/Main_Page

I همچنین به خواندن این مطلب نگاه کنید – https://www.amazon.co. UK / Hacking-Art-Exploitation-Jon-Erickson / dp / 1593271441

به غیر از آنکه اینترنت را کشف کنید، منابع زیادی وجود دارد اما بهترین توصیه ها – از یک مکان یاد نمی گیرند.

EDIT این ممکن است یک پست خوب برای نگاه کردن به خوبی روش های آزمون نفوذ

آوریل 29, 2018

آزمون نفوذ – هر گونه جایگزین برای Ngrok برای اتصال ثابت؟

من در تلاش برای ساخت RAT برای آزمایش بر روی کامپیوتر من. من از ngrok برای هک کردن در WAN استفاده می کنم. اما ngrok مشکل تغییر زیر دامنه خود را هنگامی که اتصال تنظیم مجدد است. بنابراین، من نمی توانم از ngrok برای هک کردن بیش از WAN استفاده کنم. من سعی کردم با استفاده از زیر دامنه ngrok، اما در حال حاضر آن را به یک طرح حق بیمه تبدیل شده است. لطفا پیشنهادات من به برخی از گزینه های ngrok که به من Subdomain ثابت، حتی اگر اتصال تنظیم مجدد. همچنین پیشنهاد می شود اگر روش های دیگر برای هک کردن بیش از WAN به غیر از SSH Tunneling، استفاده از VPN و حمل و نقل پورت وجود دارد.

آوریل 24, 2018

آزمون نفوذ – Hydra – تمام رمزهای عبور کار می کنند

من می خواهم برخی از مکانیسم های وب سایت من را آزمایش کنم زمانی که رمز ورود یک کاربر چند بار در یک زمان کوتاه به صورت نامناسب در فرم ورود وارد شده است.

من اطلاعات زیر را دارم:

میزبان: 127.0.0.1 (همانگونه که من به صورت محلی امتحان میکنم)
روش: https-form-post (همانطور که سایت از HTTPS استفاده میکند
URL: / login
پارامترهای فرم: username = admin، password = از لیست رمز، submit_login (boolean)
من می خواهم از یک فایل رمز عبور (password.txt)

استفاده کنم ورود به سیستم کار نمی کند، یک صفحه نشان داده می شود، کدام عنوان اچ تی ام ال "ورود ناموفق" است – با این حال من مطمئن نیستم که چگونه این را به Hydra بگویم.

بنابراین من سعی کردم زیر اما نتیجه همه رمزهای عبور کار می کنند:

hydra -l admin -P password.txt 127.0.0.1 https-post-form "/ login: username = ^ USER ^ & password = ^ PASS ^ & submit_login & Login: Login failed" 19659002] خطای من کجاست؟