در این بخش می‌توانید در رابطه با شبکه و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید
Major II

Major II



no avatar
پست ها

402

تشکر کرده: 69 مرتبه
تشکر شده: 402 مرتبه
تاريخ عضويت

يکشنبه 6 تیر 1389 19:04

آرشيو سپاس: 6 مرتبه در 2 پست

فیلم آموزشی نفوذ به سرور از طریق دایرکت ادمین

توسط IrIsT » دوشنبه 19 بهمن 1394 11:09

سلام و درود.
یک ویدیو برای شما آپلود کردم که ویدیو جالب و مفیدی برای نفوذ از طریق دایرکت ادمین می باشد.
یکی از مشکلات دایرکت ادمین,cronjob می باشد که از طریق کرون جان میشه به بعضی از سرورها نفوذ انجام داد.
در این آموزش,ما از طریق کنترل پنل دایرکت ادمین,آموزش بک کانکت گرفتن رو یاد میگیرم.آموزش قدیمی هستش.اما هنوز پرکاربرده و یکی از روش هایی هستش که از طریق این قسمت,میشه نفود رو انجام داد.حالا ما از این طریق بک کانکت گیری و نفوذ به سرور رو انجام میدیم.

لینک دانلود :

http://iedb.ir/video/directadmin_backco ... edb.ir.mp4

این فیلم با اینکه در رابطه با هک هستش.
اما میشه گفت یکی از نقاط ضعف دایرکت ادمین کرون جاب هستش.
حالا تو این آموزشی ما پرل رو اجرا میکنیم.اما با کرون جان میشه wget یا php یا ... رو استفاده کرد که یک نقطه ضعف بزرگی برای سرورهایی هستش که کانفیگشون مناسب نیست و به راحتی قابل نفوذ هستند.
به این دلیل اینو گذاشتم که هم یک اطلاع رسانی شه,هم اینکه با نقطه ضعف دایرکت ادمین آشنایی پیدا کنید و اینکه مدیران سروری که دایرکت ادمین دارن,به فکر امنیت خودشون باشن.
با این روش خیلی از جاها هک شدن و میشن.بااینکه میگم توی ورژن جدید داییرکت ادمین این قسمت دیگه جواب نمیده
اما این اصلا درست نیست.روی آخرین ورژن هم میشه خیلی راحت از این طریق سرور رو بایپس کرد.
باید یک کانفیگ درستی انجام بدین که این مشکل به وجود نیاد.
این یکی از مشکلات دایرکت ادمین هستش.
انشالله واسه قسمت های دیگه خود دایرکت ادمین که مشکل امنیتی دارن,خواهم گذاشت.چون چند قسمت از دایرکت ادمین هستند که واقعا ضعف بزرگی محسوب میشه.اما ما از کنارش به سادگی رد میشیم.

نکته : فایل بک کانکنت در منبع آپلود شده که لینکشو خواهم گذاشت.
اما اینو بگم که این برای این انجمن,یک آموزش امنیتی هم محسوب میشه.

منبع : http://kkli.ir/VT6yd - تیم امنیتی IeDb

برای اینکه جلوی این نوع حمله رو از این طریق بگیرید,نیاز به کانفیگ درست دایرکت ادمین دارید.
اما خواستم بگم که لطفا به این آموزش هم جنبه هک و هم جنبه ضعف امنیتی نگاه کنید.
واسه اولین بار ما در سایت گذاشتیم.با اینکه این روش خیلی وقته جواب میده و راحت خیلی سایت ها هم شدن و میشن.

امیدوارم که مفید باشه و در پایین بحث و گفتگو در تیم را خواهید دید.

http://iedb.ir/acc/thread-2805-post-6386.html

برای امنیت هم اگه خواسته باشید راه حلشو میتونم از طریق خود سرور بگم.یکم طولانیه.اما میتونم جلوشو از طریق خود سرور بگیریم.نه اینکه کرون جاب رو غیر فعال کنیم.
بعضی ها میگن suphp یا ....
اما یک راه حل بهتر داره که اینو میشه گفت دو روز طول کشید تا کامل تونستم این راه حل رو پیدا کنم.حتی داخل سایت دایرکت ادمین هم راه حل رو کامل نذاشتن.یک چیزایی گذاشتن.اما کامل نیست.
انشالله در آموزش های بعدی,یکی دیگه از قسمت هایی که به صورت دیفالت در دایرکت ادمین فعاله و نقطه ضعف حساسی برای دایرکت حساب میشه روخواهم گذاشت.
البته اگه از این آموزش حمایت شه.
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 


 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 

آیدی تلگرام : [url]@AmirAm67[/url]    -   ایمیل :  iedb.team@gmail.com

گروه پرسخ و پاسخ تیم امنیتی Iedb.ir در تمام زمینه ها :  لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 

SMH از این پست سپاسگزاري کرده است

 


  • موضوعات مشابه
    پاسخ ها
    بازديدها
    آخرين پست

چه کسي حاضر است ؟

کاربران حاضر در اين انجمن: بدون كاربران آنلاين و 1 مهمان