pivoting در تست نفوذ چیست؟
Pivoting در تست نفوذ عمل انتقال از میزبان به میزبان از طریق سازش است. Pivoting را می توان به عنوان lateral movement نامید.پنتستر از اکسپلویت ها برای دسترسی به یک سیستم استفاده می کند، سپس از آن سیستم بر دیگری غلبه می کند. اغلب لازم است که سیستم دوم غیرقابل نفوذ یا امن تر باشد اگر سیستم اول در معرض خطر قرار نگیرد.
Pivoting شبکه چیست؟
Pivoting شبکه عمل دستیابی به سیستم های دیگری است که به طور مستقیم در دسترس نیستند.
این میتواند در شبکههای دیگر یا در edge points شبکه یا در همان شبکه باشد، اما به پنتستر امکان دسترسی به سیستمهای جدیدی را میدهد که قابل exploitable نیستند.
تکنیک های Pivoting شبکه
تکنیکهای Pivoting شبکه بر سیستمهای در معرض خطری که دسترسی ویژه دارند، متکی هستند. این می تواند یک سیستم با دو کارت شبکه باشد که به مهاجم اجازه دسترسی به شبکه دوم را می دهد. یکی دیگر این است که کنترل سیستمی را به دست آورید که اعتبار فایروال یا روتر را ذخیره کرده است و می توان از آنها برای تغییر لیست های کنترل دسترسی استفاده کرد. آزمایشکنندگان همچنین میتوانند ابزارهایی را به صورت محلی روی سیستم اجرا کنند تا اعتبار حساب کاربری را در سیستمهای دیگر به دست آورند.
Pivoting vs lateral movement
Lateral movement عمل گسترش در یک محیط با Pivoting از سیستمی به سیستم دیگر است. به یک معنا آنها یکسان هستند، فقطLateral movement اغلب شامل چندین pivots است.
Pivoting pentest/Tam red pivoting
یک تست خوب قلم یا تمرین تیم قرمز به آزمایشکنندگان اجازه میدهد تا در محیط pivot.
این کار می تواند درک بهتری از آنچه که یک هکر در واقع می تواند فراتر از اسکن آسیب پذیری ها انجام دهد، به دست آورد.
#pivot
@TryHackBox
Pivoting در تست نفوذ عمل انتقال از میزبان به میزبان از طریق سازش است. Pivoting را می توان به عنوان lateral movement نامید.پنتستر از اکسپلویت ها برای دسترسی به یک سیستم استفاده می کند، سپس از آن سیستم بر دیگری غلبه می کند. اغلب لازم است که سیستم دوم غیرقابل نفوذ یا امن تر باشد اگر سیستم اول در معرض خطر قرار نگیرد.
Pivoting شبکه چیست؟
Pivoting شبکه عمل دستیابی به سیستم های دیگری است که به طور مستقیم در دسترس نیستند.
این میتواند در شبکههای دیگر یا در edge points شبکه یا در همان شبکه باشد، اما به پنتستر امکان دسترسی به سیستمهای جدیدی را میدهد که قابل exploitable نیستند.
تکنیک های Pivoting شبکه
تکنیکهای Pivoting شبکه بر سیستمهای در معرض خطری که دسترسی ویژه دارند، متکی هستند. این می تواند یک سیستم با دو کارت شبکه باشد که به مهاجم اجازه دسترسی به شبکه دوم را می دهد. یکی دیگر این است که کنترل سیستمی را به دست آورید که اعتبار فایروال یا روتر را ذخیره کرده است و می توان از آنها برای تغییر لیست های کنترل دسترسی استفاده کرد. آزمایشکنندگان همچنین میتوانند ابزارهایی را به صورت محلی روی سیستم اجرا کنند تا اعتبار حساب کاربری را در سیستمهای دیگر به دست آورند.
Pivoting vs lateral movement
Lateral movement عمل گسترش در یک محیط با Pivoting از سیستمی به سیستم دیگر است. به یک معنا آنها یکسان هستند، فقطLateral movement اغلب شامل چندین pivots است.
Pivoting pentest/Tam red pivoting
یک تست خوب قلم یا تمرین تیم قرمز به آزمایشکنندگان اجازه میدهد تا در محیط pivot.
این کار می تواند درک بهتری از آنچه که یک هکر در واقع می تواند فراتر از اسکن آسیب پذیری ها انجام دهد، به دست آورد.
#pivot
@TryHackBox
👍4
Try Hack Box
اصل شماره 1: متقابل اولین اصلی که دکتر سیالدینی توضیح می دهد «مقابله» است. به طور خلاصه، مردم وقتی کاری برای آنها انجام می دهند احساس بدهکاری می کنند و اغلب اطلاعاتی را ارائه می دهند یا فعالیت های نمادینی را برای پرداخت "بدهی" انجام می دهند. تفاوت های ظریف…
یک مثال میزنم واستون :
در یک شرکتی در هلند اوردم یک ایمیل از شخص رییس شرکت به دو نفر از کارمندان زدم و درخواست کردم که یه سری مطالب رو از یک سایت که خودم گذاشته بودم رو مطالعه کنن اونها اومدن از همون ایمیل و رمز شرکت استفاده کردن و ورود زدن با این کار من دسترسی به این این کارمندها و رمزهاشون رو داشتم شروع کردم به این که ببینم این کارمندها در گوگل و ایمیلهاشون چیکار می کنن و دنبال چی هستن و یکی از کارمندان به دنبال داروی خاصی می گشت و پس از بررسی فهمیدم که این دارو برای شیمی درمانی هستش و میشه کاری کرد پس اومدم یک پیشنهاد به عنوان کمک بهش دادم که ایا می تونم در پیدا کردن دارو کمکش کنم که مشتاقانه قبول کرد و این باعث شد دوستی و رفت و امد داشته باشیم و از شرکت و کارهاش اطلاعات بگیرو و نرم افزارهای روی سیستمو و یک روز از طریق یک فلش دسترسی به کل سیستم رو دریافت کردم و دستور پرداخت پول به حسابداری برای یک اکانتی که ناشناس در یک کشور دیگه بود که با من در ارتباط بود رو دادم و حتی یک قرارداد هم از طرف اونها امضا شد و پول از شرکت انتقال داده شد و کار من تمام شده بود و درصد انتقال و کار رو به صورت بیت دریافت کردم
#SE
@TryHackBox
در یک شرکتی در هلند اوردم یک ایمیل از شخص رییس شرکت به دو نفر از کارمندان زدم و درخواست کردم که یه سری مطالب رو از یک سایت که خودم گذاشته بودم رو مطالعه کنن اونها اومدن از همون ایمیل و رمز شرکت استفاده کردن و ورود زدن با این کار من دسترسی به این این کارمندها و رمزهاشون رو داشتم شروع کردم به این که ببینم این کارمندها در گوگل و ایمیلهاشون چیکار می کنن و دنبال چی هستن و یکی از کارمندان به دنبال داروی خاصی می گشت و پس از بررسی فهمیدم که این دارو برای شیمی درمانی هستش و میشه کاری کرد پس اومدم یک پیشنهاد به عنوان کمک بهش دادم که ایا می تونم در پیدا کردن دارو کمکش کنم که مشتاقانه قبول کرد و این باعث شد دوستی و رفت و امد داشته باشیم و از شرکت و کارهاش اطلاعات بگیرو و نرم افزارهای روی سیستمو و یک روز از طریق یک فلش دسترسی به کل سیستم رو دریافت کردم و دستور پرداخت پول به حسابداری برای یک اکانتی که ناشناس در یک کشور دیگه بود که با من در ارتباط بود رو دادم و حتی یک قرارداد هم از طرف اونها امضا شد و پول از شرکت انتقال داده شد و کار من تمام شده بود و درصد انتقال و کار رو به صورت بیت دریافت کردم
#SE
@TryHackBox
👍4
سلام هکرهای آینده ، به دنیای هک خوش آمدید. شما به اینجا آمدید زیرا نمی خواهید در این نسل از هک کردن، یک noscript kiddie باشید. شما باید بدانید که چگونه ابزارهای هک خود را بنویسید و همچنین باید بدانید که چگونه بدافزار خود را بنویسید (به عنوان مثال:-ویروس، تروجان، نرم افزارهای جاسوسی، باج افزار،...) و بسیاری دیگر.
قبل از بررسی عمیق در یک جلسه برنامه نویسی، ابتدا باید برخی از اصول محاسبات و بسیاری موارد دیگر فراتر از هک را بدانیم.
موضوعی اماده کردیم تحت عنوان :
زبان C برای هکرها و فراتر از آن!
با هشتگ #ProHack این پست را دنبال کنید
@TryHackBox
قبل از بررسی عمیق در یک جلسه برنامه نویسی، ابتدا باید برخی از اصول محاسبات و بسیاری موارد دیگر فراتر از هک را بدانیم.
موضوعی اماده کردیم تحت عنوان :
زبان C برای هکرها و فراتر از آن!
با هشتگ #ProHack این پست را دنبال کنید
@TryHackBox
🔥7👍3
دوستان بدلیل اینکه از شما عزیزان در سطح های مختلف هستید تصمیم گرفتم یک بخش از کانال را آموزش های پایه Lpic1 و Lpic2 و Net+ و CCNA , CCNP , MCSA , MCSE اضافه بشه ولی برای عدم سردرگمی شما عزیزان یک کانال و گروه جدا تهیه کردیم در کانال زیر عضو شید و به پشتیبانی ما پیام بدید تا لینک و گروه برای شما عزیزان ارسال شود .
@TryHackBox_Network
💢 ظرفیت 100 نفر .
متاسفانه امکان همکاری با دوستانی که پیام دادند نشد ، شرایط لازم نداشتند اگر قصد دارید در این راه به عزیزان دیگر کمک کنید با ما در ارتباط باشید .
@TryHackBox
@TryHackBox_Network
💢 ظرفیت 100 نفر .
متاسفانه امکان همکاری با دوستانی که پیام دادند نشد ، شرایط لازم نداشتند اگر قصد دارید در این راه به عزیزان دیگر کمک کنید با ما در ارتباط باشید .
@TryHackBox
👍3
#همکاری
دوستان بعد از پایان آموزش #SE آموزش pwk را برگزار میکنم
من خودم خوشم نمیاد دوره ظبط کنم برای همین در قالب مقاله هست اموزش ها ولی اگر کسی از دوستان دوست داشت دوره ضبط کنه ( البته باید pwk رو خودش بلد باشه ) من تمامی مطالب در اختیارش میذارم و میتونه شروع به ظبط کنه ، فرقی نداره به جز pwk برای هر دوره ام خواستید میتونید اینکارو کنید من حمایتتون میکنم ، شما هم دوره رو با اسم خودتون (رایگان) منتشر کنید تو کانال ما ، اینجوری یک رزومه خوب هم برای خودتون اماده میکنید .
اگر کسی دوست داشت همکاری کنه با ما در ارتباط باشه
> @THB_support
دوستان بعد از پایان آموزش #SE آموزش pwk را برگزار میکنم
من خودم خوشم نمیاد دوره ظبط کنم برای همین در قالب مقاله هست اموزش ها ولی اگر کسی از دوستان دوست داشت دوره ضبط کنه ( البته باید pwk رو خودش بلد باشه ) من تمامی مطالب در اختیارش میذارم و میتونه شروع به ظبط کنه ، فرقی نداره به جز pwk برای هر دوره ام خواستید میتونید اینکارو کنید من حمایتتون میکنم ، شما هم دوره رو با اسم خودتون (رایگان) منتشر کنید تو کانال ما ، اینجوری یک رزومه خوب هم برای خودتون اماده میکنید .
اگر کسی دوست داشت همکاری کنه با ما در ارتباط باشه
> @THB_support
👍7👎1
Try Hack Box
اصل شماره 1: متقابل اولین اصلی که دکتر سیالدینی توضیح می دهد «مقابله» است. به طور خلاصه، مردم وقتی کاری برای آنها انجام می دهند احساس بدهکاری می کنند و اغلب اطلاعاتی را ارائه می دهند یا فعالیت های نمادینی را برای پرداخت "بدهی" انجام می دهند. تفاوت های ظریف…
اصل شماره 2: اثبات اجتماعی
دومین اصلی که سیالدینی توصیف می کند، اصلی است که او آن را «اثبات اجتماعی» می نامد. در اصل، این مفهوم به این موضوع مربوط میشود که چگونه انسانها وقتی نمیدانند چگونه عمل کنند یا پاسخ دهند، به دنبال اطمینان هستند. بیشتر افراد اگر بخشی از گروه اطرافیان باشند، مانند دیگران رفتار میکنند و به ویژه زمانی که توسط رهبران یا کسانی که در موقعیتهای قدرت یا اقتدار هستند، رفتارهایی را تقلید میکنند.
به عنوان مثال، ایمیلهایی که کاربر را به انجام عملی ترغیب میکنند (مثلاً کلیک کردن بر روی لینک یا باز کردن یک فایل) میتوانند جعل شده و شبیه فردی در گروه همتای هدف یا گروه دیگری به نظر برسند، که ممکن است احتمال این را افزایش دهد. حمله موفق شد اگر سایرین در گروه همتا یا یک گروه مرتبط همگی از یک برنامه یا فناوری خاص استفاده می کنند، یک حمله هدفمند که از "فشار اطرافیان" برای استفاده از همان فناوری یا برنامه استفاده می کند (با یک لینک فرضی به برنامه در یک ایمیل، شاید ) ممکن است موفق تر باشد. هنجارهای گروهی، مانند سیگار کشیدن در بیرون یا بازدید از کافی شاپ خاصی در نزدیکی، نیز می تواند برای هدف قرار دادن و به خطر انداختن قربانی استفاده شود.
این روش باید شخصی سازی شود، به این معنی که برخی از تکالیف را برای پنتستر انجام دهید. به منظور ایجاد تکنیکهای اجباری قانعکننده از اطرافیان دوستان و سایر همکاران، پنتسترها باید درباره آنها و رفتارهایشان بیاموزند.
+ وقتی مردم در مورد مسیر عملی خود مطمئن نیستند، تمایل دارند به اطرافیان خود نگاه کنند تا تصمیمات و اقدامات خود را راهنمایی کنند.
+ ذهنیت "به دنبال گله" یا "تطبیق در".
+ کاربرد در مهندسی اجتماعی:
- جعل ایمیل (مشکلات اعتماد)
- نصب برنامه هایی که دیگران استفاده می کنند
- هنجارهای گروهی (سیگار کشیدن در بیرون و غیره)
+ شخصی سازی کلید این روش است
#SE
@TryHackBox
دومین اصلی که سیالدینی توصیف می کند، اصلی است که او آن را «اثبات اجتماعی» می نامد. در اصل، این مفهوم به این موضوع مربوط میشود که چگونه انسانها وقتی نمیدانند چگونه عمل کنند یا پاسخ دهند، به دنبال اطمینان هستند. بیشتر افراد اگر بخشی از گروه اطرافیان باشند، مانند دیگران رفتار میکنند و به ویژه زمانی که توسط رهبران یا کسانی که در موقعیتهای قدرت یا اقتدار هستند، رفتارهایی را تقلید میکنند.
به عنوان مثال، ایمیلهایی که کاربر را به انجام عملی ترغیب میکنند (مثلاً کلیک کردن بر روی لینک یا باز کردن یک فایل) میتوانند جعل شده و شبیه فردی در گروه همتای هدف یا گروه دیگری به نظر برسند، که ممکن است احتمال این را افزایش دهد. حمله موفق شد اگر سایرین در گروه همتا یا یک گروه مرتبط همگی از یک برنامه یا فناوری خاص استفاده می کنند، یک حمله هدفمند که از "فشار اطرافیان" برای استفاده از همان فناوری یا برنامه استفاده می کند (با یک لینک فرضی به برنامه در یک ایمیل، شاید ) ممکن است موفق تر باشد. هنجارهای گروهی، مانند سیگار کشیدن در بیرون یا بازدید از کافی شاپ خاصی در نزدیکی، نیز می تواند برای هدف قرار دادن و به خطر انداختن قربانی استفاده شود.
این روش باید شخصی سازی شود، به این معنی که برخی از تکالیف را برای پنتستر انجام دهید. به منظور ایجاد تکنیکهای اجباری قانعکننده از اطرافیان دوستان و سایر همکاران، پنتسترها باید درباره آنها و رفتارهایشان بیاموزند.
+ وقتی مردم در مورد مسیر عملی خود مطمئن نیستند، تمایل دارند به اطرافیان خود نگاه کنند تا تصمیمات و اقدامات خود را راهنمایی کنند.
+ ذهنیت "به دنبال گله" یا "تطبیق در".
+ کاربرد در مهندسی اجتماعی:
- جعل ایمیل (مشکلات اعتماد)
- نصب برنامه هایی که دیگران استفاده می کنند
- هنجارهای گروهی (سیگار کشیدن در بیرون و غیره)
+ شخصی سازی کلید این روش است
#SE
@TryHackBox
👍4
اصل سوم: تعهد و ثبات
سومین اصل Cialdini تعهد یا سازگاری است. اگر کسی قبول کند کاری را به صورت شفاهی یا کتبی انجام دهد، به احتمال زیاد آن را دنبال خواهد کرد. لازم نیست این اتفاق یکباره بیفتد یا توافقات کوچک و تدریجی برای انجام کارها در نهایت می تواند منجر به درخواست یک مهاجم برای تعهد بزرگتر شود، که ممکن است بعدا اتفاق بیفتد. معمولاً درخواست فوراً برای یک تعهد بزرگ ممکن است باعث سوء ظن شود، بنابراین مهاجمان دقیق باید یک تعهد کوچک بخواهند (کلیک کردن روی لینک) یا به یک تعهد بزرگتر (پرداخت داده های حساس) عمل کنند.
ثبات فقط یک ویژگی انسانی است. ما تمایل داریم هر روز از الگوها پیروی کنیم. ما تمایل داریم در صورت امکان، هر روز در همان نقطه پارک کنیم، در برخی از رستورانهای مشابه غذا بخوریم و در همان زمانها برای سیگار استراحت کنیم. مهاجمان می توانند این الگوها را یاد بگیرند و به طور بالقوه از آنها سوء استفاده کنند. کوین میتنیک به این سبک حمله معروف بود. او به طور منظم با مردم تماس می گرفت (ایجاد قوام) و سپس به تدریج درخواست لطف می کرد. در نهایت، او آنچه را که از آنها می خواست به دست می آورد.
بعد از اینکه به صورت شفاهی یا کتبی با آن موافقت کردیم، به احتمال زیاد کاری را انجام خواهیم داد
+ هر چه فرد مسن تر باشد، این موضوع نیز بیشتر صادق است
+ کاربرد در مهندسی اجتماعی:
- حملات چند قسمتی (اول، درخواست، سپس، پیگیری)
-تاثیر طولانی مدت بر رفتار
+ کوین میتنیک از این به خوبی استفاده کرد
#SE
@TryHackBox
سومین اصل Cialdini تعهد یا سازگاری است. اگر کسی قبول کند کاری را به صورت شفاهی یا کتبی انجام دهد، به احتمال زیاد آن را دنبال خواهد کرد. لازم نیست این اتفاق یکباره بیفتد یا توافقات کوچک و تدریجی برای انجام کارها در نهایت می تواند منجر به درخواست یک مهاجم برای تعهد بزرگتر شود، که ممکن است بعدا اتفاق بیفتد. معمولاً درخواست فوراً برای یک تعهد بزرگ ممکن است باعث سوء ظن شود، بنابراین مهاجمان دقیق باید یک تعهد کوچک بخواهند (کلیک کردن روی لینک) یا به یک تعهد بزرگتر (پرداخت داده های حساس) عمل کنند.
ثبات فقط یک ویژگی انسانی است. ما تمایل داریم هر روز از الگوها پیروی کنیم. ما تمایل داریم در صورت امکان، هر روز در همان نقطه پارک کنیم، در برخی از رستورانهای مشابه غذا بخوریم و در همان زمانها برای سیگار استراحت کنیم. مهاجمان می توانند این الگوها را یاد بگیرند و به طور بالقوه از آنها سوء استفاده کنند. کوین میتنیک به این سبک حمله معروف بود. او به طور منظم با مردم تماس می گرفت (ایجاد قوام) و سپس به تدریج درخواست لطف می کرد. در نهایت، او آنچه را که از آنها می خواست به دست می آورد.
بعد از اینکه به صورت شفاهی یا کتبی با آن موافقت کردیم، به احتمال زیاد کاری را انجام خواهیم داد
+ هر چه فرد مسن تر باشد، این موضوع نیز بیشتر صادق است
+ کاربرد در مهندسی اجتماعی:
- حملات چند قسمتی (اول، درخواست، سپس، پیگیری)
-تاثیر طولانی مدت بر رفتار
+ کوین میتنیک از این به خوبی استفاده کرد
#SE
@TryHackBox
👍2
اصل چهارم: دوست داشتن
درک این موضوع بسیار آسان است.
برای استفاده از این اصل Cialdini، پنتسترها باید با اهداف ارتباط برقرار کنند. از آنجایی که این یکی از مؤثرترین تکنیکها برای مهندسی اجتماعی موفق است، کلید جلب علاقه مردم به شما این است که درباره سرگرمیها و علایق آنها تحقیق کنید و آنها را تکرار کنید. این نیاز به تمرین دارد. شما همچنین می توانید از مردم تعریف کنید، اما این یک هنر است، زیرا تعریف بیش از حد در واقع منجر به مشکوک شدن هدف یا از بین بردن مهاجم می شود.
اگرچه کلیشه ای به نظر می رسد، اما گاهی اوقات کلید جلب علاقه مردم این است که تا حد امکان شبیه آنها باشید. این ممکن است به معنای لباس پوشیدن به شیوه ای خاص، عمل کردن به شیوه ای خاص یا استفاده از نوع خاصی از زبان باشد.
+ مردم ترجیح می دهند به کسانی که می شناسند و دوست دارند «بله» بگویند.
مردم همچنین بیشتر از کسانی که از نظر فیزیکی جذاب هستند، شبیه خودشان هستند یا از آنها تعریف و تمجید می کنند، حمایت می کنند
کاربرد در مهندسی اجتماعی:
+ قسمت رو ببین "تناسب".
- بیشتر برای کار در محل کاربرد دارد، اما می توان آن را برای ایمیل ها اعمال کرد،
و غیره.
#SE
@TryHackBox
درک این موضوع بسیار آسان است.
برای استفاده از این اصل Cialdini، پنتسترها باید با اهداف ارتباط برقرار کنند. از آنجایی که این یکی از مؤثرترین تکنیکها برای مهندسی اجتماعی موفق است، کلید جلب علاقه مردم به شما این است که درباره سرگرمیها و علایق آنها تحقیق کنید و آنها را تکرار کنید. این نیاز به تمرین دارد. شما همچنین می توانید از مردم تعریف کنید، اما این یک هنر است، زیرا تعریف بیش از حد در واقع منجر به مشکوک شدن هدف یا از بین بردن مهاجم می شود.
اگرچه کلیشه ای به نظر می رسد، اما گاهی اوقات کلید جلب علاقه مردم این است که تا حد امکان شبیه آنها باشید. این ممکن است به معنای لباس پوشیدن به شیوه ای خاص، عمل کردن به شیوه ای خاص یا استفاده از نوع خاصی از زبان باشد.
+ مردم ترجیح می دهند به کسانی که می شناسند و دوست دارند «بله» بگویند.
مردم همچنین بیشتر از کسانی که از نظر فیزیکی جذاب هستند، شبیه خودشان هستند یا از آنها تعریف و تمجید می کنند، حمایت می کنند
کاربرد در مهندسی اجتماعی:
+ قسمت رو ببین "تناسب".
- بیشتر برای کار در محل کاربرد دارد، اما می توان آن را برای ایمیل ها اعمال کرد،
و غیره.
#SE
@TryHackBox
👍3
اصل ششم: کمبود
درک اصل کمیابی Cialdini آسان است، اما اجرای آن در تلاشهای مهندسی اجتماعی دشوارتر است. هر کس چیزی را می خواهد که دیگران داشته باشند در حالی که ندارند. این به راحتی با کمی ظرافت قابل استفاده است.
به عنوان مثال، ایمیلی که «پیشنهاد زمان محدود» یا «محصولات اپل قبل از انتشار رسمی» را ارائه میدهد، میتواند مورد توجه قرار گیرد، حتی اگر بدانیم که این موضوع بسیار بد به نظر میرسد.
یک مماس مرتبط با این به سادگی فشار زمان است. گاهی اوقات، افراد برای انجام برخی اقدامات در یک بازه زمانی کوتاه نیاز دارند که اغوا یا تحت فشار قرار گیرند. بسته به سناریو، می توان از پاداش یا مجازات برای فریب دادن اهداف برای انجام عمل مورد نظر استفاده کرد.
+ هر چه چیزی کمتر باشد، ارزش آن بیشتر است
+ هر چه یک چیز کمیاب تر و غیر معمول تر باشد، افراد بیشتری آن را می خواهند
+ کاربرد در مهندسی اجتماعی:
- لینک ها و سایت ها را با عباراتی مانند:
"این فرصت را از دست نده..."
"این چیزی است که شما از دست خواهید داد..."
#SE
@TryHackBox
درک اصل کمیابی Cialdini آسان است، اما اجرای آن در تلاشهای مهندسی اجتماعی دشوارتر است. هر کس چیزی را می خواهد که دیگران داشته باشند در حالی که ندارند. این به راحتی با کمی ظرافت قابل استفاده است.
به عنوان مثال، ایمیلی که «پیشنهاد زمان محدود» یا «محصولات اپل قبل از انتشار رسمی» را ارائه میدهد، میتواند مورد توجه قرار گیرد، حتی اگر بدانیم که این موضوع بسیار بد به نظر میرسد.
یک مماس مرتبط با این به سادگی فشار زمان است. گاهی اوقات، افراد برای انجام برخی اقدامات در یک بازه زمانی کوتاه نیاز دارند که اغوا یا تحت فشار قرار گیرند. بسته به سناریو، می توان از پاداش یا مجازات برای فریب دادن اهداف برای انجام عمل مورد نظر استفاده کرد.
+ هر چه چیزی کمتر باشد، ارزش آن بیشتر است
+ هر چه یک چیز کمیاب تر و غیر معمول تر باشد، افراد بیشتری آن را می خواهند
+ کاربرد در مهندسی اجتماعی:
- لینک ها و سایت ها را با عباراتی مانند:
"این فرصت را از دست نده..."
"این چیزی است که شما از دست خواهید داد..."
#SE
@TryHackBox
👍3
در نظرسنجی شرکت کنید برای اینکه بدونم پست های کانال در چه سطحی بزارم که همه استفاده کنید .
و اگر نگذروندید ایم دوره ها رو با ما بگذرونید
این فرصت از دست ندید .
و اگر نگذروندید ایم دوره ها رو با ما بگذرونید
این فرصت از دست ندید .
👍4🔥1
شما هر ماه میتونید یک موضوع به دلخواه خودتون انتخاب کنید که بزاریم تا استفاده کنید .
Final Results
21%
مروری بر احراز هویت پایه HTTP
26%
چگونه میلیون ها روتر را هک کنیم.
7%
هکرها بدافزار را در تصاویر تلسکوپ جیمز وب پنهان می کنند.
7%
استراتژی برای محافظت در برابر باج افزار
26%
ابزارهای Recon من
13%
راهنمای کامل SQLmap برای مبتدیان
ابراز John the Ripper
ابزار Cain یک ابزار آسان و نسبتا سریع است که توضیحات لازم در بخش پیشین بیانگر این موضوع بود. در ادامه یکی از سریعترین ابزارهای متن باز به منظور شکستن کلمات عبور را به شما معرفی مینماییم. که این ابزار John the ripper میباشد.
یکی از قابلیتهای مهم ابزار John the ripper، پشتیبانی از پلتفرمهای مختلفی است که شما میتوانید آن را هم بر روی سیستمعاملهای ویندوز و هم لینوکس و یونیکس با معماریهای مختلف اجرا نمایید. این قابلیت نفوذگر را قادر میسازد تا John را بر روی چندین سیستم اجرا نموده و برای شکستن کلمات عبور از منابع این سیستمها استفاده نماید.
معرفی ابزار john the ripper
برای استفاده از John شما باید فایل مربوط به کلمات عبور را به عنوان ورودی به این ابزار بدهید. اگر سیستم یونیکس بوده و بدون فایل Shadow میباشد تنها به فایل /etc/passwd نیاز میباشد و اگر کلمات عبور در یک فایل دیگر ذخیره میشود شما نیاز به دسترسی root داشته و باید هر دو فایل را یعنی هم /etc/passwd و هم /etc/shadow را به صورت ترکیب شده به John بدهید.
برای ترکیب این دو شما میتوانید از دستور زیر استفاده نمایید.
unshadow /etc/passwd /etc/shadow > combined
در صورتی که قصد شکستن کلمات عبور ویندوز را داشته باشید، کافی است تا خروجی ابزارهایی مانند pwdump یا fgdump را در قالب یک فایل متنی ذخیره نموده و آن را در اختیار ابزار john قرار دهید.
#Password_Attacks
@TryHackBox
ابزار Cain یک ابزار آسان و نسبتا سریع است که توضیحات لازم در بخش پیشین بیانگر این موضوع بود. در ادامه یکی از سریعترین ابزارهای متن باز به منظور شکستن کلمات عبور را به شما معرفی مینماییم. که این ابزار John the ripper میباشد.
یکی از قابلیتهای مهم ابزار John the ripper، پشتیبانی از پلتفرمهای مختلفی است که شما میتوانید آن را هم بر روی سیستمعاملهای ویندوز و هم لینوکس و یونیکس با معماریهای مختلف اجرا نمایید. این قابلیت نفوذگر را قادر میسازد تا John را بر روی چندین سیستم اجرا نموده و برای شکستن کلمات عبور از منابع این سیستمها استفاده نماید.
معرفی ابزار john the ripper
برای استفاده از John شما باید فایل مربوط به کلمات عبور را به عنوان ورودی به این ابزار بدهید. اگر سیستم یونیکس بوده و بدون فایل Shadow میباشد تنها به فایل /etc/passwd نیاز میباشد و اگر کلمات عبور در یک فایل دیگر ذخیره میشود شما نیاز به دسترسی root داشته و باید هر دو فایل را یعنی هم /etc/passwd و هم /etc/shadow را به صورت ترکیب شده به John بدهید.
برای ترکیب این دو شما میتوانید از دستور زیر استفاده نمایید.
unshadow /etc/passwd /etc/shadow > combined
در صورتی که قصد شکستن کلمات عبور ویندوز را داشته باشید، کافی است تا خروجی ابزارهایی مانند pwdump یا fgdump را در قالب یک فایل متنی ذخیره نموده و آن را در اختیار ابزار john قرار دهید.
#Password_Attacks
@TryHackBox
Telegram
Try Hack Box
معرفی ابزار John the Ripper
از این ابزار برای شکستن کلمات عبور استفاده می شود.
از ابزار John the Ripper به منظور حمله به پسورد ها به صورت آفلاین استفاده می گردد. این ابزار قادر به شکستن پسورد سیستم عامل های ویندوز، لینوکس، Mac و دیتابیس های SQL و اوراکل…
از این ابزار برای شکستن کلمات عبور استفاده می شود.
از ابزار John the Ripper به منظور حمله به پسورد ها به صورت آفلاین استفاده می گردد. این ابزار قادر به شکستن پسورد سیستم عامل های ویندوز، لینوکس، Mac و دیتابیس های SQL و اوراکل…
👍1