ثبت دامنه

آموزش استفاده از sqlmap برای فرم هاSqlmap یکی از مشهورترین و قوی ترین ابزار خودکار sql injection ای هست که در بحث امنیت وجود دارد. با وجود یک آدرس اینترنتی آلوده sqlmap میتواند از پایگاه داده آن به طرق مختلف بهره برداری و سوء استفاده کند و بسیاری از هکینگ های مختلف نظیر خارج کردن نام ها و جداول و ستون ها و همچنین تمامی اطلاعات درون جداول را انجام دهد! در این مقاله آموزش استفاده از sqlmap برای فرم ها را بررسی خواهیم کرد.در آموزش قبلی ما برای شما توضیح دادیم که SQLmap چیست ، آموزش استفاده از SQLmap و نحوه ی نفوذ در آدرس های آسیب پذیر از از طریق sql injection  با SQLmap آشنا شدیم.در آدرس نمونه زیر پارامتر id در برابر inject کردن sql آسیب پذیر است یا به عبارت دیگر ما توانایی sql injection  را داریم.http://www.site.com/section.php?id=59حال در این آموزش به نحوه ی inject کردن فرم ها می پردازیم.استفاده از sqlmap برای فرم هاما همین کار را با فرم ها انجام میدهیم .مخصوصا با فرم های ورود. این نوع فرم ها اطلاعات یا دیتا را از طریق پست ارسال می کنند. بنابراین نحوه کار ما برای اجرای فرمان های  sqlmap کمی متفاوت خواهد بود.نکته ی مهم این است که هنگام کار با فرم های ارسالی آدرس ارائه شده برای Sqlmap باید آدرس ارسال دیتا ها باشد و نه آدرسی که فرم را بارگیری یا لود می کند.بنابراین اگر فرم در آدرس اینترنتی شبیه به زیر بارگیری شده است:http://www.site.com/form.phpو آن را به آدرس اینترنتی زیر ارسال می کند :http://www.site.com/form_submit.phpپس آدرس استفاده ما برای sqlmap عبارت است از :http://www.site.com/form_submit.phpنکته دیگر این است که پارامترهای ارائه شده در فرم را پیدا کنید.این کار به راحتی و با استفاده از DOM Inspector مرورگر کروم و یا firebug در مرورگر فایر فاکس امکان پذیر است.خب اجازه بدید بگوییم پارامتر تزریقی username است بنابر این مثال ما مانند نمونه زیر است :$ python sqlmap.py -u "http://www.site.com/form_submit.php" --data="username=avc"گزینه های دیتا ی نشان داده شده برای درخواست پست است. حال اگر ما به اندازه ی کافی خوش شانس باشیم sqlmap برای sql injection را به سرعت کافی تشخیص می دهد. هرچند زمانی که با فرم ها در حال کار هست همه چیز به سرعت پیش نمی رود.در ادامه...Sqlmap ممکن است پارامتر را به عنوان گزینه تزریقی برای زمانی که username را شناسایی نکند، گزارش کند و گزینه مناسب TRUE را برای صفحه ارسال تهیه شده نمایش ننماید. sqlmap ابتدا نیاز دارد یک صفحه TRUE درست داشته باشد سپس با امتحان کردن یک صفحه قلابی مقایسه کند. در نهایت با مقایسه این دو امتحان کند تا ببیند پارامتر قابل تزریق و یا اینجکتیبیل است یا نه.در هر حال ما میدانیم که پارامتر قابل تزریق است. چون با استفاده از کلمات محصر به فرد میتوانیم تست کنیم !or '1'='1'اگر در کامنت اول sqlmap گزارش داد که پارامتر قابل تزریق نیست. پس ما با کلمات منحصر به فردمان امتحان می کنیم که بدانیم پارامتر صحیح است.$ python sqlmap.py -u "http://www.site.com/form_submit.php" --data="username=' or '1'='1"اگر در صفحه مرورگر کلمات منحصر به فردمان صحیح عمل کند پس این دستور به درستی عمل خواهد کرد. 

پنج‌شنبه, 06 شهریور 1399

آموزش نصب و کانفیگ VSFTPD در CentOS 8FTP (پروتکل انتقال فایل) یک پروتکل شبکه سرور-کلاینت است که به کاربران امکان می دهد فایل ها را به یک سرور انتقال دهند. بسیاری از سرورهای منبع باز FTP برای لینوکس در دسترس هستند. محبوب ترین و رایج ترین سرورهای PureFTPd, ProFTPD, و vsftpd هستند. در این آموزش ، نصب و کانفیگ vsftpd را در CentOS 8 توضیح خواهیم داد. این یک سرور FTP پایدار ، ایمن و سریع است. ما همچنین به شما نشان خواهیم داد چگونه vsftpd را پیکربندی کنید تا کاربران در home directory خود محدود شوند و انتقال داده را با SSL / TLS رمزگذاری کنند. نصب vsftpd در CentOS 8 بسته vsftpd در مخازن پیش فرض CentOS موجود است. برای نصب آن ، دستور زیر را به عنوان root یا کاربر با امتیازات sudo اجرا کنید : sudo dnf install vsftpd پس از نصب پکیج ، vsftpd daemon را شروع کنید و آن را فعال کنید تا در زمان بوت شدن به طور خودکار شروع شود: sudo systemctl enable vsftpd --now وضعیت سرویس را تأیید کنید: sudo systemctl status vsftpd خروجی چیزی شبیه به این خواهد بود ، نشان می دهد که سرویس vsftpd فعال و در حال اجرا است: vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s ago Process: 2880 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS) ...کانفیگ vsftpd در centos 8 تنظیمات سرور vsftpd در پرونده پیکربندی /etc/vsftpd/vsftpd.conf ذخیره می شود. بسیاری از تنظیمات در پرونده به خوبی ثبت شده اند. برای مشاهده همه گزینه های موجود ، به صفحه رسمی vsftpd مراجعه کنید. در بخش های بعدی به برخی از تنظیمات مهم مورد نیاز برای پیکربندی نصب امن vsftpd خواهیم پرداخت. با باز کردن پرونده پیکربندی vsftpd شروع کنید: sudo nano /etc/vsftpd/vsftpd.conf1. دسترسی FTP ما فقط به کاربران محلی اجازه دسترسی به سرور FTP خواهیم داد ، دستورالعمل های anonymous_enable و local_enable را پیدا کنید و مطمئن شوید که پیکربندی شما با خطوط زیر مطابقت دارد:anonymous_enable=NOlocal_enable=YES2. فعال کردن آپلوداز تنظیمات write_enable برای تغییر در فایل سیستم ، مانند بارگذاری و حذف پرونده ها ، استفاده کنید. write_enable=YES 3. Chroot Jail از دسترسی کاربران FTP به فایل های خارج از home directories با chroot جلوگیری کنید.chroot_local_user=YES به طور پیش فرض ، هنگامی که chroot فعال است ، vsftpd در صورت قابل نوشتن بودن در فهرستی که کاربران در آن قفل شده اند ، از آپلود پرونده خودداری می کنند. این امر برای جلوگیری از آسیب پذیری امنیتی است. از یکی از روشهای زیر استفاده کنید تا هنگام فعال کردن chroot اجازه آپلود دهد. روش 1. - روش پیشنهادی برای اجازه آپلود، فعال کردن chroot و پیکربندی دایرکتوری های FTP است. در این آموزش یک دایرکتوری ftp در داخل Home کاربر ایجاد خواهیم کرد که به عنوان chroot و یک فهرست بارگذاری نوشتاری برای بارگذاری فایل ها استفاده می شود.user_sub_token=$USERlocal_root=/home/$USER/ftp روش 2. - گزینه دیگر اضافه کردن دستورالعمل زیر در پرونده پیکربندی vsftpd است. اگر می خواهید به کاربر دسترسی تغییرات در home directory دهید ، از این گزینه استفاده کنید.allow_writeable_chroot=YES4. اتصالات FTP منفعل vsftpd می تواند از هر پورت برای اتصالات FTP منفعل استفاده کند. ما حداقل و حداکثر رنج پورت ها را مشخص می کنیم و بعداً دامنه را در فایروال خود باز خواهیم کرد خطوط زیر را به پرونده پیکربندی اضافه کنید: pasv_min_port=30000pasv_max_port=310005. محدود کردن ورود کاربر برای ورود فقط برخی از کاربران به سرور FTP ، خطوط زیر را بعد از خط userlist_enable=YES اضافه کنید: userlist_file=/etc/vsftpd/user_listuserlist_deny=NO هنگامی که این گزینه فعال شد ، باید صریحاً مشخص کنید که کاربران با اضافه کردن نامهای کاربر به پرونده /etc/vsftpd/user_list (یک کاربر در هر خط) می توانند وارد سیستم شوند. 6. تضمین انتقال با SSL / TLSبرای رمزگذاری انتقال FTP با SSL / TLS ، برای استفاده از آن باید یک گواهی SSL داشته باشید و سرور FTP را پیکربندی کنید. اگر دامنه یا ساب دامنه ای دارید که به آدرس IP سرور FTP اشاره می کند ، می توانید به راحتی یک مجوز رایگان Let’s Encrypt SSL تولید کنید. در این آموزش ، ما با استفاده از ابزار openssl یک self-signed SSL certificate تولید می کنیم. دستور زیر یک کلید خصوصی 2048 بیتی و گواهی self-signed برای 10 سال ایجاد می کند. کلید خصوصی و گواهینامه در یک پرونده ذخیره می شوند: sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem پس از ایجاد گواهینامه SSL پرونده پیکربندی vsftpd را باز کنید: sudo nano /etc/vsftpd/vsftpd.conf دستورالعمل های rsa_cert_file و rsa_private_key_file را پیدا کنید، مقادیر آنها را در مسیر فایل pam تغییر دهید و دستورالعمل ssl_enable را YES قرار دهید: rsa_cert_file=/etc/vsftpd/vsftpd.pemrsa_private_key_file=/etc/vsftpd/vsftpd.pemssl_enable=YES اگر در غیر این صورت مشخص نشده باشد ، سرور FTP برای برقراری اتصالات ایمن فقط از TLS استفاده می کند. راه اندازی مجدد سرویس vsftpd پس از انجام ویرایش ، فایل پیکربندی vsftpd (به استثنای comments ) باید چیزی شبیه به این باشد: anonymous_enable=NOlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESchroot_local_user=YESlisten=NOlisten_ipv6=YESpam_service_name=vsftpduserlist_enable=YESuserlist_file=/etc/vsftpd/user_listuserlist_deny=NOtcp_wrappers=YESuser_sub_token=$USERlocal_root=/home/$USER/ftppasv_min_port=30000pasv_max_port=31000rsa_cert_file=/etc/vsftpd/vsftpd.pemrsa_private_key_file=/etc/vsftpd/vsftpd.pemssl_enable=YES فایل را ذخیره کرده و سرویس vsftpd را برای اعمال تغییرات ری استارت کنید: sudo systemctl restart vsftpdباز کردن فایروال برای باز کردن پورت 21 (پورت فرمان FTP) ، پورت 20 (پورت داده FTP) و 30000-31000 (محدوده پورت های Passive) ، در فایروال خود دستورات زیر را وارد کنید: sudo firewall-cmd --permanent --add-port=20-21/tcpsudo firewall-cmd --permanent --add-port=30000-31000/tcp قوانین فایروال را ریلود کنید: firewall-cmd --reloadایجاد کاربر FTP برای تست سرور FTP ، کاربر جدیدی را ایجاد خواهیم کرد. اگر از قبل کاربرانی دارید که می خواهید به FTP دسترسی داشته باشد ، مرحله اول را رد کنید. اگر اجازه allow_writeable_chroot=YES در پرونده پیکربندی خود تنظیم کرده اید، مرحله 3 را پشت سر بگذارید. 1. کاربر جدیدی بنام newftpuser میسازیم: sudo adduser newftpuserدر مرحله بعد باید رمزعبور کاربر را تنظیم کنید :sudo passwd newftpuser 2. کاربر را به لیست کاربران مجاز FTP اضافه کنید:echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list 3. درخت پوشه FTP را ایجاد کنید و مجوزهای صحیح را تنظیم کنید:sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftpهمانطور که در بخش قبلی مورد بحث قرار گرفت ، کاربر قادر خواهد بود پرونده های خود را در فهرست ftp/upload آپلود کند. در این مرحله ، سرور FTP شما کاملاً کاربردی است و شما باید بتوانید با استفاده از هر سرویس دهنده FTP که برای استفاده از رمزگذاری TLS مانند FileZilla پیکربندی شده است ، به سرور خود متصل شوید. غیرفعال کردن دسترسی Shell به طور پیش فرض ، در هنگام ایجاد کاربر ، اگر صریحا مشخص نشده باشد ، کاربر به SSH سرور دسترسی خواهد داشت. برای غیرفعال کردن دسترسی به Shell، ما یک پوسته جدید ایجاد خواهیم کرد که به سادگی پیامی را چاپ خواهد کرد که به کاربر می گوید حساب آنها فقط به دسترسی FTP محدود است. برای ایجاد شل /bin/ftponly و اجرای آن ، دستورات زیر را اجرا کنید: echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponlysudo chmod a+x /bin/ftponly پوسته جدید را به لیست پوسته های معتبر در پرونده /etc/shells shell ها اضافه کنید: echo "/bin/ftponly" | sudo tee -a /etc/shells پوسته کاربر را به /bin/ftponly تغییر دهید: sudo usermod newftpuser -s /bin/ftponly برای تغییر پوسته برای سایر کاربرانی که می خواهید فقط به FTP دسترسی داشته باشید ، از همان دستور استفاده کنید. نتیجه گیری ما به شما نشان داده ایم كه چگونه سرور FTP ایمن و سریع را در CentOS 8 نصب و پیكربندی كنید. برای انتقال ایمن تر و سریع تر داده ها ، باید از SCP یا SFTP استفاده کنید.

سه‌شنبه, 12 فروردین 1399

Email Forwarding امکانی است که به شما اجازه می دهد تا یک کپی از هر ایمیلی که به یک آدرس ایمیل ارسال می شود را در آدرس ایمیل دلخواه خود دریافت کنید.برای اضافه کردن Email Forwarding ابتدا وارد کنترل پنل هاست (Cpanel)خود شوید در صفحه اصلی بر روی آیکن forwarders کلیک کنید . سپس در صفحه جدید بر روی Add Forwarder کلیک کنید .در صفحه جدید در کادر Address to Forward آدرس ایمیلی را که می خواهید ایمیل های ارسالی به آن به یک ایمیل دیگر Forward شود را وارد کنید و همچنین در کادر Forward to email address آدرس ایمیلی را که می خواهید ایمیل ها به آن Forward شود را وارد کنید.همچنین با انتخاب Discard with error to sender و وارد کردن یک آدرس ایمیل درکادر Failure Message ایمیل هایی را که با مشکل در ارسال مواجه می شوند را به آن آدرس ایمیل ارسال می کند و شما با انجام این کار می توانید ایمیل هایی که در ارسال با مشکل مواجه می شوند را بررسی کنید .در صورتی که شما در این صفحه advanced options را انتخاب کنید optionهای دیگری نیز برای شما فعال خواهد شد.Forward to a system account : در این کادر می توانید نام  user مورد نظر خود را وارد کنید (این user باید در سرور هاستی که account شما در آن قرار دارد ، باشد)

سه‌شنبه, 31 تیر 1393