2013. szeptember 21., szombat

Sebezhetőségek keresése

Szóval ha valaki nem lenne azzal tisztában, hogy mit is fogunk most csinálni, akkor megmondom hogy sebezhetőségeket fogunk keresni egy oldalon. SQL Injection, XSS (Cross Site Scripting) és még sorolhatnám...
Most a ZAP (Zad Attack Proxy) nevű programot fogjuk használni ami eléggé jól lett ki fejlesztve mert elég sok sebezhetőséget tud megtalálni. :)
Egyébként Java nyelven írták ezért kell Java 7. telepíteni a mi kis rendszerünkre amin használni fogjuk. :)
Java 7. az alábbi parancsok segítségével lehet telepíteni linux alatt:
Előszor jelentkezzünk be root ként ezt a su parancsal lehet megtenni ha beírtad,hogy su akkor írd be a jelszavadat és miután be vagy jelentkezve rootként írd be ezeket:
sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java7-installer
Ha ezekkel végeztél, akkor töltsd le a ZAP-ot innen:
http://code.google.com/p/zaproxy/downloads/list
Ha letöltötted csomagold ki és indítsd el a zap.sh nevű fájlt ami kiadja a parancsot,hogy elinduljon az program és vele minden ami kell...

2013. szeptember 18., szerda

Botnetek (Zeus)

Mik is ezek a botnetek? Ezek olyan számítógépeknek a csoportját jelentik amelyeket egyszerre irányítanak, és legtöbbször rossz célokra használják őket, a felhasználó tudta nélkül valamilyen trójai segítségével. A trójaival nem csak irányítani tudják a gépeket, de el tudják lopni a jelszavak, bankkártya adatokat, lényegében bármit. Nagy botnet hálózathoz több 10.000 fertőzött gép tartozik, míg egy kisebb pár ezer. Minél több a kliens annál nagyobb támadásokat lehet kivitelezni. Ezeket a botneteket ki lehet "kölcsönözni" egy bizonyos időre jó pénzért...

2013. szeptember 15., vasárnap

Jelszavak elfogása böngésző kiegészítővel.

Először is tisztázzuk le azt, hogy ez a csak otthon működik de otthonra is elég jó mert mondjuk elfoghatod, hogy mondjuk a tesód milyen oldalakat nézett meg, továbbá jelszavakat is elfoghatunk vele. Ennek  böngésző kiegészítőnek a neve Tamper Data telepítsd fel. Ha nem tudod,hogy kell akkor leírom:
Eszközök >> Kiegészítők >> Kiegészíttők letöltése
És a keresőbe írd be,hogy Tamper Data és telepítsd fel aztán indítsd újra a böngészőt és ott lesz az eszközökben,hogy Tamper Data. Indítsd el mielőtt el akarsz fogni dolgokat. :)

És most a bejelentkezés után nézd meg a Tamper-t és figyeld meg,hogy ott lesz csak meg kell keresni :)
Ha nem hiszed,hogy tényleg működik, akkor próbáld ki! :)
Ennyi lenne remélem érthető volt kösz,hogy elolvastad. :)

2013. szeptember 5., csütörtök

Jelszólista keszítése

Mi is az a jelszólista?
A jelszólistát mondják wordlistnek(magyarul:szólista) vagy dictionarynek (magyarul:szótár).
De tisztázzuk mire is való ez. Egy wordlist inkább brute force-nál játszik elég sokat mondjuk mikor telnet jelszót törünk vagy valami WPA2 key-t, mindenhez amit szótárazni kell. :)
Most pár programot fogok mutatni amik képesek ilyeneket csinálni, ezeknek a programoknak a nevei:
1.)Crunch (http://sourceforge.net/projects/crunch-wordlist/)
2.)APG (sudo apt-get install apg)
3.)Cupp (https://github.com/Mebus/cupp)
Ezekkel a kis szerény programokkal fogunk most wordlistet készíteni. Kezdjük is el a Crunch-al :)
használat: ./crunch (minimum) (maximum) (Karakterszett) -o (mentésfájl) -c jelszavak mennyisége...
Nem kell zárójelbe tenni a parancsokat (nooboknak) :D
Példa: ./crunch 10 10 abc123456789 -o test.txt -c 400
Meg is van az eredmény :)
Most jöhet az APG ez sem túl bonyolult program. Nagyban hasonlít a Crunch-ra, de itt nincs mentés funckió hanem a > jelet fogjuk használni ami pont erre jó, mert ugye csak a jelszavakat dobja majd ki és amit ki fog írni azt el fogja menteni mondjuk 1 txt-be vagy amit a > után írsz.
példa: apg -n (jelszavak száma) -m (minimum karakterek) -x (maximum karakterek)   > nemtom.txt
parancs példa: apg -n 100 -m 6 -x 15 > test.txt
Kész is :)
Ez sem volt nehéz nyugodtan próbáljátok ki :)
Most jön a Cupp. A Cupp egy kis python progi, ami jelszavakat generál szintén de úgy, hogy neveket írsz be csak neveket írj! Mikor szülinapot kér oda ne írj semmit csak nyomd meg az entert és kész :D
De ha akarod akkor írhatsz... :)
Ha ezt kérdezi: Do you want to add some key words about the victim?
Akkor írj egy Y-t  ha ezt írja, hogy: lease enter the words, separated by comma.
Akkor írj be valamit például hacker és az lesz a wordlist neve amit legelőször beírtál. :)
Végeredmény:

Ennyi lenne remélem érthető volt kösz,hogy elolvastad :)