📝 چند نکته برای یادگیری 👇



💠 یادگیری زمانی اتفاق میفته که منجر به بروز رفتار در انسان بشه مثلا کتابی راجع به اصلاح عادات میخونی اگر عاداتتو اصلاح نکردی یعنی هنوز یاد نگرفتی

💠 اگه ما نمی تونیم چیزهایی که به ذهن آگاهمون سپردیم و نتونیم ازش استفاده کنیم یاد نگرفتیم منظورش اینه راجب عادات خوندی ولی به رفتار تبدیل نکردی

💠 برای اینکه بدونیم یادگیری چیه باید تعریف صحیحی از یادگیری داشته باشیم، اطلاعاتی که دریافت میشه توسط ما اگه منجر بروز به رفتار در ما بشه بهش میگن یادگیری

💠 تعریف درست یادگیری اینکه اطلاعاتی را که دریافت می کنیم اگر منجر به بروز رفتار در ما شود یادگیری گفته می شود.

💠 مجموعه اطلاعاتی که باعث بروز رفتار و احساس میشه در ذهن ناخودآگاه ثبت میشه که بهش میگیم پارادایم که منبع بروز رفتار و افکار است مثالش یادگیری زبان مادری که تو ۲ سال یاد گرفتی و سال ها سال هاست که داری زبان مادریتو رشد میدی اما در مقایسه با کتاب هایی که خواندی خیلی بیشتر تکرار داره ولی مطالعه ات کمه، زبان مادریتو خوب صحبت میکنی چون تو روز بارها و بارها تکرارش میکنی

💠 پارادایم دسته ای از باورها اطلاعات و عقاید و تصاویر و مطالبی هس که از اول زندگی وارد وجودت کردی و اونجا هست و پارادایم منبعی میشه برای بروز افکار و رفتار

💠 تمام مطالب کتاب ها و دوره ها و سمینار ها و ... در ذهن آگاه ثبت میشن ولی رفتار نمیشن مثلا میدونی که باید ورزش کنی خب اون در ذهن آگاهت ثبت میشه ولی عمل نمیکنی یعنی رفتار نمیشه که معنیش اینه مطالب به ذهن نیمه آگاهت نمیره

💠 اطلاعاتی که در ذهن نیمه آگاهت هستن باعث میشن واکنش بدی، وقتی تو تشنه مرده یه مطلب نیستی اون موقع فقط داری اونو میشنوی اما اگر تشنه مرده یه مطلب باشی و با عشق دنبالش باشی اون موقع بهش گوش میدی

💠 تکرار اطلاعاتی که تو با عشق و علاقه بهش گوش میدی و کشته مرده اش هستی باعث میشه که این مطالب بره به ذهن نیمه آگاهت

💠 اطلاعات زمانی میره به ذهن نیمه آگاه که بصورت احساسی کشته مرده اون باشی و با تمام وجود قبولش داشته باشی مثل یادگیری زبان مادری در کودکی

💠 تکرار مکرر این اطلاعات باعث میشه که ذهنت تغییر کنه، نتایجی که در زندگی بدست میاری اطلاعاتی هست که هزاران بار تکرارش کردی

💠 ما هیچ وقت یاد نمی گیریم فقط و فقط با هر بار تکرار کردن اندکی درک خود را بالا میبریم، باید به حدی تکرار کنی که اون کار برات اتوماتیک وار انجام بشه مثل راه رفتن

💠 و تو تنها در یادگیری موقعی موفق میشی که روزانه اون کارو تکرار کنی مثل نفس کشیدن و راه رفتن و حرف زدن و...

الان راه رفتن رو که هزاران
بار تمرین کردی اشتباه راه میری؟ نه
یادت میره چطور راه بری؟ نه
وقتی راه میری نمیدونی کدوم قدمتو اول بزاری؟ نه

💠 پس تمرین و تکرار کن تا اون چیزی که میخوای یاد بگیری مثل لاس زنی تا برات مثل راه رفتن بشه

⭕ بقول استاد بزرگ بروس لی
"من از کسی نمیترسم که صد ضربه رو یکبار تمرین کرده باشد، من از کسی میترسم که یک ضربه را صدها بار تمرین کرده است"
#Tip #نکته
@TryHackBox

چگونه یک دستور لینوکس را بدون ذخیره آن در History اجرا کنیم

به طور دیفالت، هر دستوری که روی ترمینال اجرا می کنید توسط (شل) در یک فایل خاص به نام فایل تاریخچه یا تاریخچه فرمان شل ذخیره می شود.
در Bash (محبوب ترین شل در سیستم های لینوکس)، تعداد پیش فرض دستورات ذخیره شده در تاریخچه 1000 و در برخی از توزیع های لینوکس 500 است.


برای بررسی اندازه تاریخچه در Bash، این دستور را اجرا کنید:
$ echo $HISTSIZE

برای مشاهده دستورات قدیمی که اجرا کرده اید، می توانید از دستور history برای نمایش تاریخچه دستورات شل استفاده کنید:
$ history
گاهی اوقات ممکن است بخواهید از نوشتن دستورات در تاریخچه دستورات توسط شل جلوگیری کنید.
این کار را می توان به روش زیر انجام داد.

حذف دستور لینوکس از تاریخچه پس از اجرا
می توانید بلافاصله پس از اجرای دستور در خط فرمان با افزودن history -d $(history 1) به آن دستور را از تاریخچه پوسته(شل) حذف کنید.
دستور فرعی $(history 1) آخرین ورودی تاریخچه را در جلسه ترمینال فعلی بازیابی می کند، جایی که 1 مقدار افست است و گزینه -d به حذف آن کمک می کند.

ادامه دارد ...
#Linux
@TryHackBox

هر دستوری که در حالت عادی اجرا شود در تاریخچه پوسته ذخیره می شود.

$ echo "This command is saved in history"
$ history | tail

با این حال، هنگامی که دستور history -d $(history 1) را به خط فرمان اضافه می کنید، بلافاصله از تاریخچه پوسته حذف می شود، همانطور که در زیر نشان داده شده است:

$ echo "This command is not saved in history";history -d $(history 1)
$ history | tail

راه دیگر برای جلوگیری از ذخیره شدن یک فرمان در تاریخ، قرار دادن پیشوند دستور با فاصله است.
اما این کاملاً به مقدار متغیر پوسته $HISTCONTROL تعریف شده در فایل راه اندازی ~/.bashrc Bash بستگی دارد.
برای کارکرد این روش باید یکی از مقادیر زیر باشد: ignorespace یا ignore هر دو.
می توانید مقدار متغیر $HISTCONTROL را به صورت زیر بررسی کنید:

$ echo $HISTCONTROL
یا
$ cat ~/.bashrc | grep $HISTCONTROL


اگر متغیر پوسته بالا تنظیم شده باشد، هر دستوری با فاصله در تاریخچه ذخیره نمی شود:

$ echo "This command is not prefixed with space, it will be saved in history!"
$ echo "This command is prefixed with space, it will not be
پایان.
@TryHackBox

هدف ما ارتقاع سطح سواد جامعه سایبری هست و ( از پایه تا سطح های بالاتر ) .

دوستان این کانال  رو کانال خودتون بدونید و دوستانی هم که عضو هستند رو اعضای کانال خود بدونید . پس اگر فکر میکنید واقعا مهارتی رو خوب بلدید و دوست دارید اون رو به دوستاتون بیاموزید با ما در ارتباط باشید .

مهارت هایی مثل : امنیت / تست نفوذ / برنامه نویسی هر زبانی / لینوکس / اوسینت / مهندسی اجتماعی / شبکه / وب / ولاغیر ....

@Unique_exploitbot

گروه ما
https://news.1rj.ru/str/+9v6veyz4T4YwZjM0

تایپ های شخصیتی MBTI:

تایپ ENFJ: برون گرا، شهودی، احساسی، قضاوتی
تایپ ENFP: برون گرا، شهودی، احساسی، ادراکی
تایپ ESFJ: برون گرا، حسی، احساسی، قضاوتی
تایپ ESFP: برون گرا، حسی، احساسی، ادراکی
تایپ INFJ: درون گرا، شهودی، احساسی، قضاوتی
تایپ INFP: درون گرا، شهودی، احساسی، ادراکی
تایپ INTJ: درون گرا، شهودی، منطقی، قضاوتی
تایپ INTP: درون گرا، شهودی، منطقی، ادراکی
تایپ ISFJ: درون گرا، حسی، احساسی، قضاوتی
تایپ ISFP: درون گرا، حسی، احساسی، ادراکی
تایپ ISTJ: درون گرا، حسی، منطقی، قضاوتی
تایپ ISTP: درون گرا، حسی، منطقی، ادراکی
تایپ ESTJ: برون گرا، حسی، منطقی، قضاوتی
تایپ ENTJ: برون گرا، شهودی، منطقی، قضاوتی
تایپ ENTP: برون گرا، شهودی، منطقی، ادراکی
تایپ ESTP: برون گرا، حسی، منطقی، ادراکی

جهت تست دادن👇🏻:
https://www.16personalities.com/fa

تایپ شخصیتی شما چیست ؟ ( کامنت کنید )
#وقت_گذراندن_با_اعضا
@TryHackBox

سایت دارک نت (.onion) خود را در لینوکس ایجاد کنید

همانطور که می دانیم، وبسایت های دارک وب از .onion برای گسترش دامنه خود استفاده می کنند.
این سوال پیش می‌آید که آیا می‌توانیم وب سایت تاریک خود را با استفاده از سیستم کالی لینوکس خود ایجاد کنیم؟
پاسخ این است که بله، آسان است.
بدون نیاز به فوروارد پورت ها، بدون نیاز به صرف هزینه برای خرید نام دامنه.
با دنبال کردن راهنمای دقیق ما، می‌توانیم وب سایت یا کل برنامه وب خود را در Deep Web با پسوند دامنه پیاز در 5 دقیقه میزبانی کنیم.
برای این پست، ما از سیستم لینوکس کالی مورد علاقه خود استفاده کردیم، اما هر توزیع لینوکس مبتنی بر دبیان (Ubuntu، Linux Mint، Parrotos، ElementaryOS) این کار را انجام خواهد داد.
ایجاد هاست خود در دارک وب
در این پست یاد می گیریم که چگونه یک وب سایت سفارشی .onion را در کالی لینوکس میزبانی کنیم.

نصب و پیکربندی Tor
ابتدا سرویس Tor را در کالی لینوکس نصب و پیکربندی می کنیم. برای انجام این کار، دستور زیر را در ترمینال لینوکس کالی اجرا کنید:
sudo apt-get install tor -y
پس از ارائه رمز عبور روت، Tor بر روی سیستم ما نصب خواهد شد.

سپس باید فایل torrc واقع در /etc/tor/torrc را پیکربندی کنیم.

بنابراین دستور زیر را اعمال خواهیم کرد:

sudo mousepad /etc/tor/torrc

ادامه دارد
#DarkWeb #Site #Onion
@TryHackBox

سپس باید این دو خط را پیدا کنید (که در تصویر بالا مشخص شده است) و # را از هر دو خط بردارید و فایل را ذخیره کنید (کامنت نگذارید).
حالا این فایل را با CTRL+S ذخیره کنید و بعد از ذخیره آن را ببندید.
سپس سرویس Tor را با دستور زیر راه اندازی مجدد کنید:

sudo service tor restart

ایجاد و میزبانی وب سایت در لوکال هاست

اکنون یک صفحه وب در دسکتاپ خود به نام index.html یا index.php ایجاد می کنیم.
این کار با دستور زیر قابل انجام است:

cd Desktop && touch index.html

سپس فایل صفحه وب را ویرایش می کنیم و یک وب سایت دمو ساده ایجاد می کنیم.
فایل html/php را در موس پد یا هر ویرایشگر متن دیگری باز کنید.

mousepad index.html

سپس یک کد html ساده برای وب سایت می نویسیم.
ما می توانیم برنامه های وب بزرگتر را میزبانی کنیم.
سپس (CTRL+S) را ذخیره کرده و این فایل را می بندیم.
این فایل روی دسکتاپ ما است، بنابراین سرور php localhost را با دستور زیر روی دسکتاپ خود راه اندازی می کنیم:

php -S 127.0.0.1:8080

ما اکنون لوکال هاست میزبانی شده خود را با پیمایش به 127.0.0.1:8080 از مرورگر خود بررسی می کنیم.
در اینجا ما سرور لوکال هاست را با استفاده از php در پورت 8080 راه اندازی کرده ایم.
ما همچنین می‌توانیم از پورت 80 استفاده کنیم (اگر قبلاً در حال اجرا نیست)، اما این به حقوق ریشه نیاز دارد (sudo php -S 127.0.0.1:80).
همچنین می توانیم از سرور پایتون، سرور آپاچی یا هر وب سرور دیگری برای میزبانی وب سایت لوکال هاست استفاده کنیم.
ادامه دارد ...
#Onion
@TryHackBox

اتصال سرویس Tor به Localhost ما

سپس این پنجره ترمینال را همانطور که هست رها می کنیم (سرور میزبان محلی در حال اجرا است).
سپس ترمینال دیگری را باز کنید و دستور زیر را در ترمینال جدید وارد کنید:
sudo -u debian-tor tor

کمی صبر کنید و اجازه دهید تا 100 درصد تنظیم شود.
این یک زنجیره Tor ایجاد می کند.
بسته به عملکرد سیستم و سرعت اینترنت ممکن است چند دقیقه طول بکشد.
همه چیز آماده است، وب تاریک ما میزبانی شده است.
سلام صبر کنید، لینک پیاز کجاست؟
پیوند .onion به طور تصادفی ایجاد می شود.
برای دیدن .onion سایت دارک خود پنجره ترمینال دیگری را باز می کنیم (ترمینال سوم چون نمی توانیم این ترمینال ها را ببندیم یا از آنها استفاده کنیم وگرنه اتصال قطع می شود) و دستور زیر را وارد می کنیم تا آدرس سایت خود را ببینیم:

sudo cat /var/lib/tor/hidden_service/hostname

اکنون می‌توانیم با استفاده از مرورگر Tor از هر کجا و در هر دستگاهی به این سایت .onion دسترسی داشته باشیم.
پایان
#Onion
@TryHackBox

7 افسانه مسخره در مورد هکرها

درود به همه دوستان عزیز!
آنها متوجه شدند که برای بسیاری، هک چیزی از دسته فانتزی است. و چند فیلم و سریال در مورد هکرها؟ به همین دلیل، این منطقه هنوز پر از تصورات غلط است.
ما تصمیم گرفتیم تا محبوب ترین افسانه ها در مورد هکرها را جمع آوری کنیم و به شما بگوییم که چرا اینها حدس و گمان هستند.

هکرها فقط برنامه نویس هستند

باور کنید، وقتی آزمایش کنندگان، تحلیلگران داده و سایر متخصصان در زمینه خود این را می شنوند، پوزخند می زنند)
در زمینه هک، متخصصانی از رشته های مختلف کار می کنند، نه فقط برنامه نویسان. مدیران سیستم، متخصصان امنیت سایبری، متخصصان تست نفوذ وجود دارند. باور کنید همه آنها برنامه نویس نیستند اما بسیاری از آنها هم مدرک دانشگاهی IT ندارند.

@TryHackBox

هکرها فقط مرد هستند

این افسانه که هکرها فقط مرد هستند هنوز وجود دارد. بله، در واقع، تعداد زنان کمتری در هک وجود دارد. اما اگر بخواهند به راحتی می توانند در اینجا شغلی بسازند. و به هر حال، در میان آنها موارد شناخته شده زیادی وجود دارد، به عنوان مثال: Ying Cracker چینی - او یک نابغه واقعی کامپیوتر با درآمد قانونی است. او سخنرانی می کند که در آن در مورد مزایای هک صحبت می کند و به کاربران عادی یاد می دهد که چگونه از آنها محافظت کنند. سخت افزار و سیستم از حملات متجاوزان.

آیا ریون آدلر را می شناسید؟ این او بود که اپل را به آسیب‌پذیری در سیستم محصولاتش متهم کرد. کامپیوتر شخصی آدلر که روی OS X اجرا می‌شد، مورد حمله ویروس‌ها قرار گرفت. او گزارش مفصلی تهیه کرد، آن را برای شرکت ارسال کرد و منتظر پاسخ ماند. اگرچه اقدامات این دختر متین با واکنش منفی شرکت روبرو شد، اما به همین دلیل است که او به شهرت رسید و در حال حاضر به عنوان مشاور امنیتی فعالانه مشغول به کار است. در میان مشتریان او بزرگترین شرکت های آمریکایی هستند.

تمام تخصص های هک برای زنان و مردان آزاد است.

هکرها زندگی خسته کننده ای دارند

بله، هکرها مدام مهارت های خود را بهبود می بخشند، زیاد تمرین می کنند و البته کار را فراموش نمی کنند.اما این بدان معنا نیست که هکرها زندگی خسته کننده و یکنواختی دارند. آنها عاشق گذراندن وقت با خانواده و دوستان هستند. بسیاری از مردم ورزش های مختلف فعال را ترجیح می دهند .

بسیاری از کارفرمایان به متخصصان امنیت سایبری شرایط کاری انعطاف‌پذیری را پیشنهاد می‌کنند: ساعات کاری انعطاف‌پذیر، توانایی کار از راه دور و موارد دیگر. این به شما اجازه می دهد تا زمانی را برای استراحت، فعالیت های مورد علاقه و زندگی شخصی اختصاص دهید.

باید از دانشگاه فارغ التحصیل شود

این افسانه به دلیل این کلیشه ظاهر شد که هر فردی برای یک شغل موفق و در واقع در زندگی به طور کلی به تحصیلات عالی نیاز دارد. ما استدلال نمی کنیم که دانش آکادمیک پایه قوی برای کار فراهم می کند، اما تمرین مداوم در هک مهم است. علاوه بر این، همه چیز در فناوری اطلاعات به سرعت در حال تغییر است. به همین دلیل است که هکرها به طور مداوم مهارت های خود را ارتقا می دهند، در کنفرانس ها شرکت می کنند، به جوامع مختلف می پیوندند.

در اینجا کسب تجربه واقعی، حتی در فرآیند یادگیری، و همچنین تمرین منظم و دنبال کردن روندهای دنیای هک بسیار مهم است.


هکر شدن بسیار آسان است

"در 15 دقیقه در روز هکر شوید"، "در 3 روز به حرفه یک متخصص امنیت سایبری مسلط شوید" - از چنین تبلیغاتی، یک هکر یا لبخندی بر لبانش می‌نشیند. و برای کسانی که از دنیای هک فاصله دارند، این افسانه وجود دارد که می‌توان در عرض چند روز وارد این حرفه شد.

برای تسلط بر حرفه یک متخصص امنیت سایبری، پنتستر یا مدیر سیستم از ابتدا، باید دوره های آموزشی با کیفیت بالا را طی کنید (بهتر است حداقل 1.5 ماه طول بکشد)، اخبار دنیای فناوری اطلاعات را دنبال کنید و مهمتر از همه، تمرین مداوم
این ترکیبی از "عمل + تئوری" است که به شما کمک می کند یاد بگیرید که چگونه در زمینه هک کار کنید. اگر بلافاصله پس از اتمام دوره، خودآموزی را رها کنید، مهارت های کسب شده را از دست خواهید داد - پس فقط ادامه دهید!

هکرها 24/7 کار می کنند

در واقع، هکرها اغلب پس از پایان روز کاری به کار خود ادامه می دهند. موقعیت‌هایی پیش می‌آید که وقتی مهلت نزدیک است، باید خواب و کار بیش از حد را قربانی کنند. اما چنین شرایطی در هر حرفه ای زمانی اتفاق می افتد که فرد هدفمند به سمت هدف خود می رود. موافقید؟
اما کار بیش از حد و کم خوابی تنها بهره وری شما را کاهش می دهد، بنابراین متخصصان با تجربه این را درک می کنند و 24/7 کار نمی کنند.

چیزی که ما توصیه نمی کنیم :)

@TryHackBox

دوستان دوره بعدی از پیش نیازها که میخواهیم برای بقیه دوستان بزاریم دوره CCNA هست از چه مدرسی پیشنهاد میکنید دوره فارسی کامنت کنید ..

CVE چیست ؟
مخفف "شناسه‌ی تهدید واحد" (Common Vulnerabilities and Exposures) است که یک شناسه‌ی یکتا برای هر آسیب پذیری در یک نرم‌افزار، سیستم عامل، دستگاه یا سرویس اینترنتی است. این شناسه‌ها برای شناسایی آسیب پذیری‌ها و مدیریت ریسک‌های امنیتی بسیار مفید هستند.

از سال 1999 توسط رابرت مارتین (Robert Martin) به همراه تیم امنیتی MITRE Corporation تاسیس شده است و با هدف دادن یک شناسه‌ی یکتا به هر آسیب پذیری، کمک به تبادل اطلاعات و تطابق بین بخش‌های مختلف صنعت امنیتی را فراهم کرده است.

هر CVE شامل یک شناسه‌ی یکتا، توضیحاتی در مورد آسیب پذیری، اثرات آن، راه حل‌های احتمالی و منابع مرتبط است. این شناسه‌ها به صورت عمومی در دسترس هستند و هرکسی می‌تواند از آن‌ها برای شناسایی و رفع آسیب پذیری‌های مشابه در سیستم‌های خود استفاده کند

چگونه cve خود را ثبت کنیم ؟

ثبت یک CVE (شناسه‌ی تهدید واحد)، مراحلی نیاز دارد که در ادامه توضیح داده شده است:

جمع آوری اطلاعات: اولین مرحله در ثبت یک CVE، جمع آوری اطلاعات مربوط به آسیب پذیری است. این اطلاعات شامل نوع و نسخه سیستم عامل، نوع و نسخه نرم‌افزار، قابلیت‌های مورد تاثیر و … می‌شود.

ایجاد گزارش: پس از جمع آوری اطلاعات، باید یک گزارش ایجاد کرد. این گزارش شامل توضیحات دقیق در مورد آسیب پذیری، روش‌های تست آن، نتایج حاصل، و… می‌شود.

تأیید گزارش: پس از ایجاد گزارش، باید مطمئن شوید که آن آسیب پذیری، واقعی و قابل تأیید است.

ارسال گزارش: برای ثبت یک CVE باید به سایت CVE Mitre رفته و فرم مربوط به ثبت CVE را پر کرد. در این فرم، باید اطلاعات جمع آوری شده و همچنین گزارش ایجاد شده را بارگذاری کنید.

منتظر ماندن: پس از ارسال گزارش، باید منتظر تأیید و پذیرش CVE باشید. این فرآیند ممکن است چند هفته طول بکشد.

دریافت CVE: در صورت پذیرش CVE، شما یک شناسه‌ی یکتا برای آن آسیب پذیری دریافت می‌کنید. سپس می‌توانید این شناسه را در گزارش خود و یا در سایر مستندات مربوط به آن آسیب پذیری استفاده کنید.

توجه داشته باشید که CVE تکراری نباشد .
#CVE
@TryHackBox

Elf binary structure

15 دستور کارآمد برای pentest در لینوکس:

nmap:
nmap -p- <target IP> (Scan all ports on a target)

netcat:
nc -nv <target IP> <port> (Open a TCP connection to a target)

tcpdump:
tcpdump -i eth0 tcp port 80 (Capture network traffic on port 80)

wireshark:
wireshark (Start the Wireshark GUI)

traceroute:
traceroute <target IP> (Show the route that packets take to reach a target)

dig:
dig <target domain> (Query DNS information for a domain)

whois:
whois <target domain> (Lookup WHOIS information for a domain)

ncat:
ncat -lvp <port> (Listen on a specific port for incoming connections)

snort:
snort -c /etc/snort/snort.conf -l /var/log/snort/ -A console (Start Snort with a specific configuration file and log directory)

john:
john --wordlist=/usr/share/wordlists/rockyou.txt --format=raw-md5 <hashfile> (Crack an MD5 hash using the rockyou wordlist)

hydra:
hydra -l <username> -P /usr/share/wordlists/rockyou.txt <target IP> ssh (Brute-force SSH login using a username and password list)

metasploit:
msfconsole (Start the Metasploit Framework console)

sqlmap:
sqlmap -u "http://example.com/?id=1" --dbs (Scan a website for SQL injection vulnerabilities)

nikto:
nikto -h <target IP> (Scan a web server for vulnerabilities and misconfigurations)

wpscan:
wpscan --url <target URL> --enumerate u (Scan a WordPress site for vulnerabilities and user information)

#Linux #Pentest
@TryHackBox

هرکس به دوره های زیر مسلط هست در بات بگه :
Net+
Lpic1
CEH
PWK
Security +

برای ظبط کردن آموزش ها به صورت ویدئویی میخواییم .

@Unique_exploitBot

دوستان در اینجا آموزش پایتون نخواهیم داشت میتوانید آموزش پایتون و پایتون برای هکرها را در کانال مخصوص به خودش یاد بگیرید .


اگر برنامه نویسی پایتون را به خوبی بلد هستید و پروژه زده اید و دوست داشتید دانش خود را انتقال دهید با ما در ارتباط باشید :
@Unique_exploitbot
لینک :
https://news.1rj.ru/str/+2uGCrrWuqc01ZjZk

یک نفر از من #سوال کرد که :
چه کسی به گروه های APT شماره میدهد به طور مثال میگویند APT34 و .. ؟

#جواب :
گروه های APT معمولاً توسط شرکت های امنیتی یا سازمان های تحقیقاتی شماره می گیرند. به عنوان مثال، شرکت تشخیص تهدید APT FireEye و سازمان امنیت رایانه ای MITER Corporation هر دو برچسب های عددی را به گروه های هکر و تهدیدات بدافزار اختصاص می دهند.

#APT
@TryHackBox

نحوه هش کردن رمزهای عبور در سیستم های لینوکس

رمزهای عبور هرگز نباید در متن ساده ذخیره شوند.
چه یک برنامه وب یا یک سیستم عامل، همیشه باید هش شوند (مثلاً در لینوکس، رمزهای عبور هش شده در فایل /etc/shadow ذخیره می شوند).
هش کردن فرآیندی است که در آن الگوریتم های پیچیده رمز عبور را به رشته ای دیگر تبدیل می کنند.
این فرآیند یک طرفه است: هیچ راهی برای بازگشت رمز عبور هش شده به شکل اصلی وجود ندارد.
هش کردن اغلب شامل استفاده از داده های تصادفی به عنوان ورودی اضافی به الگوریتم هش می شود، به طوری که رمز عبور یکسانی که دو بار هش شده است، نتیجه یکسانی ایجاد نمی کند.

این داده های تصادفی salt نامیده می شود.

در این آموزش، به برخی از روش هایی که
می توان برای هش رمزهای عبور در لینوکس استفاده کرد، خواهیم پرداخت.

هش رمز عبور با mkpasswd

اولین روش برای ایجاد هش رمز عبور که در این راهنما به آن نگاه خواهیم کرد، استفاده از ابزار mkpasswd است، بنابراین اولین قدم این است که مطمئن شویم روی سیستم ما نصب شده است.
این برنامه در مخازن رسمی همه توزیع های رایج لینوکس موجود است.

برای نصب روی فدورا دستور زیر را اجرا کنید:

$ sudo dnf install mkpasswd

در دبیان و بقیه برنامه در بسته "whois" گنجانده شده است (باید به طور پیش فرض نصب شود):

$ sudo apt install whois

هنگامی که برنامه روی سیستم ما نصب شد، می توانیم از آن برای هش رمز عبور معمولی خود استفاده کنیم.

نحو اصلی به شرح زیر است:

$ mkpasswd -m <hashing-algorithm>

با گزینه -m (مخفف -method) مشخص می کنیم که از کدام الگوریتم هش استفاده کنیم.
برای دریافت لیستی از الگوریتم های موجود، فقط باید "help" را به عنوان آرگومان گزینه ارسال کنید:

$ mkpasswd -m help
Available methods:
yescrypt        Yescrypt
gost-yescrypt   GOST Yescrypt
scrypt          scrypt
bcrypt          bcrypt
bcrypt-a        bcrypt (obsolete $2a$ version)
sha512crypt     SHA-512
sha256crypt     SHA-256
sunmd5          SunMD5
md5crypt        MD5
bsdicrypt       BSDI extended DES-based crypt(3)
descrypt        standard 56 bit DES-based crypt(3)
nt              NT-Hash

الگوریتم پیشنهادی sha512crypt است (که لینوکس از آن استفاده می کند).
هنگامی که دستور را اجرا می کنیم، رمز عبوری که می خواهیم هش کنیم از ما خواسته می شود.
این برنامه به دلایل امنیتی به صورت تعاملی اجرا می شود: اگر مجبور بودیم رمز عبور را به صورت متنی ساده به عنوان آرگومان برای هر گزینه ای وارد کنیم، در خروجی ps به عنوان بخشی از دستور و در تاریخچه شل قابل مشاهده است.
رمز عبور هش شده به عنوان خروجی دستور برگردانده می شود:

$ mkpasswd -m sha512crypt
Password:
$6$2sE/010goDuRSxxv$o18K52wor.wIwZp6aXXBC69phYwPQahKQo2ex8ce2.f0V9BtnYZc0KtTB0WGm2m5pNOcL1Ep3kgDWmJCz36B./

Salt
به صورت تصادفی تولید می‌شود، اما می‌توانیم از گزینه -s (مخفف -salt) برای انتقال صریح مقدار استفاده کنیم.
اگر به دلایلی همچنان می‌خواهیم رمز عبور قابل هش را به صورت غیر تعاملی وارد کنیم (باز هم توصیه نمی‌شود)، از گزینه --stdin و مقداری جادوی تغییر مسیر استفاده می‌کنیم:

$ mkpasswd -m sha512crypt --stdin <<< "plainpassword"

هش کردن رمز عبور با پایتون

هش رمز عبور با openssl ( این با شما )

نتیجه
در این آموزش دو روش برای هش کردن پسوردها در سیستم های لینوکس را بررسی کرده ایم.
ما نحوه استفاده از ابزار mkpasswd، نحوه تولید هش رمز عبور با استفاده از زبان برنامه نویسی پایتون با استفاده از ماژول crypt را توضیح داده ایم.

#hash #linux
@TryHackBox