درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک قانونمند در خدمتتون هستیم.
در جلسه ی قبل مبحث هک کردن یک وب سرور رو آغاز نمودیم. همان طور که بیان شد، وب سرورهای اطلاعات شخصی و مهمی را می توانند ذخیره کنند پس ممکن است مورد هجوم مهاجمان و هدفی برای هکرها شوند. به ابزارها و انواع حملات که شامل حملات Denial of Service و Domain Name System Hijacking و غیره نیز اشاره ای شد. ادامه ی نحوه هک کردن یک وب سرور و جلوگیری از حملات بر روی وب سرور رو در این جلسه خواهیم داشت.
دوستان عزیز از آن جایی که مباحث پیوسته است، برای درک بهتر مطالب این بخش از آموزش بهتر است مباحث جلسه ی قبل رو نیز مرور نمایید.
در ادامه تکنیک های جلوگیری از حملات بر روی وب سرور ها رو داریم.
یک سازمان می تواند سیاست هایی را برای محافظت از خود در مقابل حملات وب سرور اتخاذ نماید. بنابراین روش های جلوگیری از حملات بر روی وب سرور رو خواهیم داشت.
در این سناریوی عملی، ما در حال بررسی آناتومی یک حمله به سرور هستیم. فرض می کنیم ما www.techpanda.org را هدف قرار داده ایم. در واقع نمی خواهیم آن را هک کنیم چون این کار غیرقانونی است. ما فقط از این دامنه برای اهداف آموزشی استفاده خواهیم کرد.
باید آدرس IP مقصد خود را دریافت کنیم و سایر وبسایت هایی که با همان آدرس IP مشترک هستند را پیدا کنیم.
از یک ابزار آنلاین برای پیدا کردن آدرس IP هدف و سایر وب سایت هایی که آدرس IP را به اشتراک می گذارند استفاده می کنیم.
بر اساس نتایج فوق ، آدرس IP هدف ۶۹٫۱۹۵٫۱۲۴٫۱۱۲ است.
همچنین متوجه شدیم که دامنه های ۴۰۳ در همان وب سرور وجود دارد.
گام بعدی ما این است که وب سایت های دیگر را برای آسیب پذیری های تزریق SQL اسکن کنیم.
توجه: اگر ما بتوانیم یک SQL آسیب پذیر در هدف پیدا کنید، می توانیم به طور مستقیم، بدون استفاده از وب سایت های دیگر از آن بهره ببریم.
=ip:69.195.124.112 .php?id
“ip: 69.195.124.112” جستجو را برای تمام وب سایت های میزبانی شده در وب سرور با آدرس IP 69.195.124.112 محدود می کند.
“=php?id.” برای جستجوی متغیرهای URL GET از یک پارامتر برای دستورات SQL استفاده شده است.
شما نتایج زیر را دریافت خواهید کرد.
همان طور که می توانید از نتایج فوق ببینید، تمام وب سایت هایی که از متغیرهای GET به عنوان پارامترهای تزریق SQL استفاده می کنند فهرست شده اند.
گام منطقی بعدی این است که وب سایت های ذکر شده برای آسیب پذیری های SQL Injection را اسکن کنید. شما می توانید این کار را با استفاده از دستور تزریق SQL یا استفاده از ابزارهای ذکر شده انجام دهید.
هیچ یک از وب سایت های ذکر شده را به دلیل این که غیرقانونی است، اسکن نمی کنیم. فرض کنید که ما موفق به ورود به یکی از آن ها شده ایم. شما باید PHP Shell را که از / http://sourceforge.net/projects/icfdkshell دانلود کرده اید، آپلود کنید.
هنگامی که شما دسترسی به فایل ها را پیدا کردید، می توانید اعتبار ورود به پایگاه داده و هر آن چه شما می خواهید مانند defacement ، دانلود داده ها از قبیل ایمیل و غیره را دریافت کنید.
با جلوگیری از حملات بر روی وب سرور مبحث هک کردن یک وب سرور رو به پایان می رسونیم.
هک کردن یک وب سرور باعث در دسترس شدن اطلاعات مهم از جمله رمز های عبور، توسط عموم می شود و در صورت هک شدن یک سرور، ما دچار مشکلات زیادی از جمله از دست رفتن اعتبار، وارد شدن ویروس ها، تروجان ها و غیره یا حتی مشکلات قضایی می شویم . بنابراین باید راهکارهایی برای جلوگیری از حملات بر روی وب سرور ها داشته باشیم. در جلسه ی بعد با هک کردن یک وبسایت در خدمتتون خواهیم بود. امیدوارم آموزش هک کردن یک سرور مفید واقع شده باشد و از آن استفاده ی لازم رو برده باشید. ما را با مبحث آموزش هک قانونمند و آموزش هک یک وبسایت از سایت آموزشی پی وی لرن دنبال نمایید.