پنچ تا از بهترین سیستم عامل ها برای حوزه هک و امنیت

@ir_blackcode

6

زبان محبوب هکر ها :

‍۱. پایتون :
قطعا زبان پایتون هم مثل هر زبانی دارای نقطعه ضعف ها و قدرت هایی هست
که باعث میشه موافقان و مخالفان خود را داشته باشد اما قطعا همه یادگیری پایتون را به عنوان یک زبان ساده و سریع توصیه میکنند. به خصوص به افرادی که تازه قصد ورود به دنیای هک و امنیت را دارند و تجربه و مهارت زیادی ندارند. و نیاز به یک زبان ساده و قدرتمند دارند که بتوانند ایده های خود را ساده تر و سریع تر پیاده کنند.



۲. زبان PHP :
زبان PHP پر کاربرد ترین زبان سطح وب و وبسایتها هست و همین پر کاربردی این زبان باشه که هکرهای سمت وب به این زبان برای درک بهتر وبسایتها علاقه داشته باشند

3 - زبان SQL :
این زبان یک زبان پرس و جو برای ارتباط یک زبان برنامه نویسی با دیتابیس است که اهمیت آن در حملاتی نظیر SQL Injection بیشتر جلوه میکند



4. زبان روبی :
روبی یک زبان سطح بالا است. این ویژگی سبب شده که روبی یک زبان راحت و خیلی خیلی آسان باشد؛ این ساده بودن سبب شده متخصصین امنیت بسیاری به آن علاقمند باشند و به دنبال یادگیری این زبان باشند.

روبی در حوزه های مختلف تست نفوذ کاربرد دارد در این بین به وب و شبکه نیز می توان اشاره کرد.
همین ساده بودن سبب شده اکسپلویت ها و ابزار های زیادی با زبان روبی نوشته شوند از این بین می توان به فریم ورک قدرتمند و پر طرفدار متاسپلویت اشاره کرد که بسیاری از آن برای حوزه های مختلف از شبکه های وایرلس تا وب و استفاده میکنند. استفاده از روبی بین متخصصین و اکسپلویت نویسان بسیار مرسوم است.



5.زبان JavaScript :
بعضی از افراد با توجه جاوا اول اسم این زبان آن را با زبان جاوا هم خانواده میدانند . اما این تصور یک تصور غلط است و جاوا اسکریپت کاملا متفاوت و مستقل از جاوا است . این زبان کاربرد بسیاری در سمت بک اند و هم فرانت وبسایت ها دارند و همین باعث می شود که این زبان از اهمیت بالایی برای هکرها برخورد باشد.



6.زبان سی پلاس پلاس :
اگر به دنبال زبانی برای تست نفوذ در سیستم عامل ها هستید. یادگیری زبان ++C را فراموش نکنید این زبان به نوعی آپدیتی از زبان سی است که قابلیتهایی را به زبان سی اضافه کرده است و مناسب برای مانور در سیستم عامل ها به خصوص ویندوز است.

□《 بلک کد 》□

□《 @ir_blackcode 》□

معرفی ابزار nmap :

Nmap یا “Network Mapper” یکی از مشهورترین ابزارهای لینوکس برای جمع‌آوری اطلاعات است. به عبارت دیگر می‌توانید با آن درباره‌ی هاست، آدرس IP، نوع سیستم‌عامل و جزئیات مرتبط دیگر به امنیت شبکه، اطلاعات کسب کنید (مثل تعداد پورت‌های باز و نام آنها).

همچنین می‌توانید از آن برای دور زدن فایروال و حملات اسپوفینگ (Spoofing) نیز استفاده کنید


□《@ir_blackcode》□
□《چنل بلک کد》□

بزودی آموزش های ویدئویی همراه با ابزار های خفن
پای کار باشید....
@ir_blackcode

#معرفی ربات | مزاحم یاب

سلام و درود خدمت تمام اعضای چنل بلک کد
آقا من یه رباتی رو میخوام بهتون معرفی کنم
اگه از طریق شماره موبایل خواستید هویت شخص رو پیدا کنید با استفاده از این میتونید
این کار رو انجام بدید
برای بچه هایی که حالا اوسینت کار میکنن ربات خوبیه نیاز نیس نرم افزار های مختلفی رو بررسی کنید

《《@TrueCaller_irbot 》》👈 ربات


《●@ir_blackcode●》👈 ○چنل بلک کد○

سلام خدمت تمام اعضای چنل بلک کد
آقا من یه ابزاری نوشتم برای چک کردن‌ ایپی های فعال و غیر فعال ابزار به این صورت کار میکنه که لیست ایپی هارو ازتون میگیره و یکی یکی چک می‌کنه و میگه بهتون که کدوم ایپی انلاینه و کدوم ایپی افلاینه و در آخر ایپی های آنلاین رو داخل یک فایل براتون ذخیره میکنه

به زودی آموزشش و ابزار میاد تو چنل🧑‍💻🥷


Chanel : @ir_blackcode 👈

سلام رفقای گل گلاب چنل بلک کد اموزش و کار با ابزار اسکن ایپی اومد حالا برای خیلی از کار ها به کارمون میاد
مثلا لیستی از دوربین های مداربسته رو دارید و میخواید ببینید آنلاین هستن یا افلاین میتونید از این ابزار استفاده کنید
حمایت کنید تا آموزش‌ های بعدی ...

@ir_blackcode

ری اکشن فراموش نشه🙂

معرفی ابزار : Aircrack-ng.

Aircrack-ng مجموعه‌ای از ابزارهاست که با آنها می‌توانید امنیت شبکه‌ی وای‌فای (Wi-Fi) را ارزیابی کنید. با این ابزارها می‌توانید علاوه بر بررسی و دریافت اطلاعات، به یک شبکه نفوذ کنید (WEP، WPA 1 و WPA 2).

اگر رمزعبور وای‌فای خود را فراموش کرده‌اید، می‌توانید از Aircrack-ng برای بازیابی آن استفاده کنید. این ابزار هم‌چنین شامل مجموعه‌ای از حملات وایرلس مختلف است که با آن می‌توانید یک شبکه‌ی وای‌فای را هدف قرار داده و امنیت آن را بهتر کنید.

《 کانال بلک کد 》
□《@ir_blackcode》□

معرفی ابزار : Aircrack-ng.

Aircrack-ng مجموعه‌ای از ابزارهاست که با آنها می‌توانید امنیت شبکه‌ی وای‌فای (Wi-Fi) را ارزیابی کنید. با این ابزارها می‌توانید علاوه بر بررسی و دریافت اطلاعات، به یک شبکه نفوذ کنید (WEP، WPA 1 و WPA 2).

اگر رمزعبور وای‌فای خود را فراموش کرده‌اید، می‌توانید از Aircrack-ng برای بازیابی آن استفاده کنید. این ابزار هم‌چنین شامل مجموعه‌ای از حملات وایرلس مختلف است که با آن می‌توانید یک شبکه‌ی وای‌فای را هدف قرار داده و امنیت آن را بهتر کنید.

□《@ir_blackcode》□
□《کانال بلک کد》□

معرفی ابزار Hydra :

اگر به دنبال ابزاری هستی که با اون جفت‌های رمزعبور/نام‌کاربری را پیدا کنی، Hydra یکی از بهترین ابزارهای کالی هست که به صورت پیش‌فرض روی کالی نصبه.

Hydra در حال حاضر به صورت مداوم آپدیت نمی‌شه، اما کد اون تو گیت‌هاب موجود هست و می‌تونید در توسعه‌ی اون مشارکت داشته باشد

کانال بلک کد 》

□《@ir_blackcode》□

سلام و درود خدمت اعضای گل گلاب چنل بلک کد من الان ابزار هایی که دارم معرفی میکنم بهترین ابزار ها برای تست نفوذ هست که تو کالی به صورت دیفالت نصبه من الان ابزار هارو بهتون معرفی میکنم و جلوتر براتون ویدئو هاشو ریکورد میکنم و میزارم

■■□ چنل بلک کد □■■

Chanel : @ir_blackcode

معرفی ابزار Nikto:

Nikto یکی از بهترین اسکنرهای وب سرور و یکی از بهترین ابزارهای کالی هست. این ابزار وجود برنامه‌ها/فایل‌های خطرناک، نسخه‌های قدیمی
سرور و بسیاری موارد دیگر را بررسی می‌کنه

.

کانال بلک کد 》
□《@ir_blackcode》□

آموزش هک دوربین مداربسته

سلام و درود خدمت تمام اعضای چنل بلک کد
در خدمتتون هستیم با آموزش هک دوربین های مداربسته
تو این ویدئو اومدیم از شودان برای پیدا کردن تارگت ها استفاده کردیم
شما با این آموزش میتونید هر شهر یا کشوری رو دوربین هاشو نفوذ کنید امیدوارم از این آموزش لذت کافی رو برده باشید




《@ir_blackcode 》

آموزش + فایل مورد نیاز

password : @ir-blackcode

اینم لیست ایپی دوربین های مداربسته که با آموزش بالا میتونید بهشون نفوذ کنید
@ir_blackcode

باگ RCE

باگ RCE مخفف remot code execution است که این قابلیت را در اختیار نفوذگر قرار می دهد تا بتواند دستورات PHP یا دستورات سیستم را در ورودی سایت وارد کند و مستقیم به سرور دسترسی داشته باشد این باگ زمانی به وجود می اید که برنامه نویس در کدهای خود اعمال می کند که عبارت وارد شده توسط کاربر در متد GET و POST را چاپ کند و نفوذگر از این مشکل امنیتی استفاده کرده و دستورات سیستمی را اجرا می کند و دسترسی با سطح بسیار بالایی خواهد گرفت.

آشنایی بیشتر :

CSRF یکی از انواع باگ های مهم و مخفف CROSS SITE REQUEST FORGERIES است زمانی به وجود می اید که برنامه نویس سایت Session های ایمنی تعریف نکرده باشد و موجب شود تا یک حفره امنیتی بزرگ به وجود بیاید که اکثر سایت ها توانایی ایمن کردن خود در برابر این حفره امنیتی را ندارند به همین دلیل این حفره را ملقب به غول حفره می نامند این باگ همانند باگ XSS یک باگ سمت کلاینت است و نفوذگر توانایی جعل درخواست را دارد و می تواند با استفاده از این باگ یک user با سطح دسترسی ادمین برای خود ایجاد کند

کانال بلک کد》
□《@ir_blackcode》□

اشنایی با باگ lfi

یکی از اصلی ترین اسیب پذیری ها در انواع باگ ها این اسیب پذیری یکی دیگر از انواع باگ ها است که مخفف remot file inclusion می باشد این باگ تقریبا مشابه LFI است با این تفاوت که باگ LFI به صورت محلی و لوکال است و می توان فایل های مهم را فراخوانی کرد اما باگ RFI به صورت ریموت می باشد تصور کنید یک صفحه دیفیس یا یک شل اسکریپت را بر روی یک هاست اپلود کرده اید و حال قصد دارید تا ان صفحه مورد نظر که در هاست اپلود کرده اید را بر روی سایتی که باگ RFI دارد اپلود و استفاده کنید و دقت کنید که فایل شما باید حتما پسوند TXT باشد اما نگران نباشید زمانی که فایل را بر روی سایت مورد نظر که باگ RFI دارد اپلود کردید کامپایلرهای HTML و PHP به صورت خودکار صفحه شما را کامپایل کرده و کد را اجرا کرده و نتیجه را به شما نمایش میدهند برای استفاده از این باگ باید ادرس دقیق اینترنتی صفحه مورد نظر خود را در محل درستی در URL  قرار دهید و سپس Enter کنید اما امکان دارد تا مکانیزم های امنیتی جلوی اپلود شل شما را بگیرند که می توانید به راحتی صفحه دیفیس خود را اپلود کنید

.

کانال بلک کد》
□《@ir_blackcode》□

3 روش ساده برای پیدا کردن آدرس آیپی 🔗

⬛ 1- دیدن آیپی از روی Email Header
توی این روش اگر قربانی برای شما ایمیلی فرستاده باشه میتونید بازش کنید و روی 3 نقطه سمت چپ کلیک کنید و Show Orginal رو بزنید و اونجا میتونید ببینید با چه ip قربانی به شما ایمیل فرستاده...

⬛ 2- فرستادن یک لینک!
میتونید از سایت‌های آماده استفاده کنید، یا هم میتونید خودتون یه وب اپلیکیشن بسازین که نشون بده افراد با چه لینک‌هایی از وب اپلیکیشن‌ شما بازدید میکنن ولی خب استفاده از سایت‌های آماده سرعت کارتون رو میبره بالاتر!

⬛ 3- با CMD
اگر به کامپیوتر قربانی دسترسی دارین میتونید دستور ipconfig رو بزنید و آیپی آدرس اون فرد رو پیدا کنید یا اگر هدفتون یه وبسایت هستش میتونید از طریق دستور ping و بعدش اسم اون سایت، آیپی سایت رو پیدا کنید

کانال بلک کد》

□《 @ir_blackcode 》□

👾 سناریو نفوذ از طریق باگ csrf 👾

در یک برنامه کاربردی مخصوص بانک‌‌، نفوذگری قصد انتقال وجه به مبلغ 100 دلار، به فردی با شماره کارت فرضی 1234 را دارد. او پس از تعیین مبلغ و شماره کارت بانکی گیرنده‌‌، روی دکمه ” انتقال” کلیک می‌کند و مشاهده می‌کند که درخواست او به صورت GET درحال ارسال است و محتوای URL، رشته‌ای مانند زیر است:

jsx
http://bank.com/transfer.do?acct=1234&amount=100

این درخواست شرایط گفته شده آسیب‌پذیری CSRF را شامل می‌شود:

- وجود عملکرد حساس در GET
- احراز هویت بر اساس کوکی
- پارامتر‌های قابل تشخیص

او متوجه می‌شود که شماره کارت فرد گیرنده از طریق پارامتر acct و مبلغ مد نظر وی از طریق پارامتر amount در url تعیین می‌شود و احراز هویت وی هم از طریق کوکی صورت می‌گیرد.

پس نتیجه می‌گیریم که اگر درون پارامتر acct به جای شماره کارت بانکی مقصد، شماره کارت خود و در پارامتر amount مبلغ دلخواه خود را بنویسد‌‌، فردی که این درخواست را ارسال کند‌‌، در صورت Login بودن در سایت بانک مربوطه‌‌، مبلغ 100 دلار را به حساب او واریز می‌کند.

در اینجا نفوذگر برای اینکه قربانی را منجر به ارسال این درخواست جعلی بنماید‌‌، می‌تواند از روش‌ها و تکنیک‌های مهندسی اجتماعی بهره گیرد، به عنوان مثال می‌تواند از تکنیک‌هایی مانند موارد زیر استفاده کند:

- ارسال یک ایمیل به همراه یک فایل html .
- قرار دادن یک URL یا اسکریپت در صفحاتی که ممکن است قربانی حین عملیات بانکی آن را ببیند.



نفوذگر از کد‌های پیوندی که کاربر را به یک مسیر هدایت می‌کنند مثل کد اچ تی امل زیر‌‌، در سایت خود یا هر سایتی که به هر دلیلی قابلیت استفاده از این کد را دارد‌‌، استفاده می‌کند و با متنی وسوسه انگیز سعی بر ترغیب قربانی به کلیک روی متن مورد نظر مانند “کلیک کنید” می‌نماید:

html
<a href="http://bank.com/transfer.do?acct=4321&amount=100">
Click here!</a>

حالا میتونیم عکس هم بزاریم تو صفه که بلافاصله بعد از لود شدن کد اجرا بشه و نیازی به لینک نباشه

html
<img src=”http://bank.com/transfer.do?acct=4321&amount=1000″ width=”0″ height=”0″ border=”0″>

در صورتی که قربانی‌‌، صفحه ای حاوی این کد را باز کند‌‌، مرورگر قربانی به صورت خودکار برای باز کردن تصویر‌‌، درخواست مورد نظر نفوذگر را به سمت سایت بانک میفرستد . در اینجا درخواست با متد گیت فرستاده و وجه منتقل می‌شود ولی قربانی اثری از سایت بانک و تصویر اجرا شده را نمی‌بیند . زیرا صفت‌های تگ این تصویر ساخته شده‌‌، طول و عرض تصویر”0” قرار داده‌اند که باعث می‌شود تصویر نفوذگر دیده نشود.

کانال بلک کد》
□《@ir_blackcode》□