M2.
M2.
خواندن ۹ دقیقه·۵ سال پیش

سایت‌هایی که قبل از مرگ باید هک کرد!


من از دبستان به کامپیوتر علاقه‌مند شدم. قبل از این که برم دبستان یه کامپیوتر داشتیم که من تونسته بودم مسیر پیدا کردن یه بازی رو پیدا کنم و این واسه داداشم که باهام 10 سال یا بیشتر اختلاف سنی داره عجیب بود. بازیشم از اینا بود که باید دایره‌های یه رنگو کنار هم بذاری تا امتیاز بگیری :) کامپیوتر ما خراب شد و از اون به بعد، فقط یه لپ‌تاپ تو خونه ما پیدا میشد که واسه همون داداشم بود. یه لپ‌تاپ دِل.

اما علاقه‌ پیدا کردن من به کامپیوتر و مخلفاتش بر می‌گرده به وقتی که رسیدم دبستان. من توی یه ده بزرگ شدم که زمان زیادی از اومدن اینترنت به داخلش نمی‌گذره. تو دبستان من یه رفیق پیدا کردم به اسم ممد :) ممد تو خونشون کامپیوتر داشت و ما نداشتیم. یادمه یه کاری پیش اومده بود که باید چندتا فایلو بین کامپیوتر و فلش مموری جا‌به‌جا می‌کردیم. رفتم خونه ممد و اون این کارو برام انجام داد. واسه من خیلی جذاب بود که ممد بلده بین فایلای کامپیوتر و فلش بگرده و باهاشون بازی کنه. یه جورایی حسودیم شد. همین شد که وقتی برگشتم خونه، لپ‌تاپ داداشمو برداشتم و گذاشتم جلو خودش. داداشم داشت هنرستان رشته کامپیوتر می‌خوند اون موقع. بهش گفتم یادم بده. گفت چیو؟ گفتم کار با لپ‌تاپ! گفت مثلا می‌خوای چی یادت بدم؟ گفتم نمی‌دونم! من هیچی بلد نیستم. گفت مثلا بلدی پوشه جدید بسازی که جواب من یه "نه" قاطعانه بود. کلاس آموزشی شروع شد و دیدم که رفت رو صفحه دسکتاپ ویندوز xp و یه راست کلیک زد، بعد رفت رو اون گزینه‌ای که کنارش یه فلش کشیده بود به سمت راست و اولین گزینه که یه چیزی شبیه پوشه بود رو انتخاب کرد و اون اومد تو دسکتاپ :) بهم گفت ببین این گزینه که کنارش یه علامت به سمت راست کشیده اسمش New هستش و هروقت خواستی چیز جدیدی بسازی باید اینو بزنی! بهم گفت از کار کردن و امتحان کردن چیزایی که بلد نیستی نترس چون با این چیزا لپ‌تاپ خراب نمیشه. شاید مفیدترین بخش قضیه همین جمله‌ای بود که گفت. بعد از اون من با ورد آشنا شدم و عشق آغاز شد =) می‌نشستم پای لپ‌تاپ و هر کتابی که میفتاد دستمو می‌نوشتم. کارم به جایی رسیده بود که هر دوتا کتاب شیخین و صهرین رو برده بودم تو ورد. وقتی داشتم تو ورد تایپ می‌کردم یه حس لذت‌بخشی بهم دست می‌داد و احتمالا قیافم این شکلی میشد:

اما یه بار وسط کار با لپ‌تاپ، یهو همه چی آبی شد و چند خط نوشته اومد رو تصویر و یه عدد بود که هی داشت زیاد میشد! تازگیا فهمیدم به اون صفحه میگن صفحه مرگ آبی! بعد از اون دیگه اجازه نداشتم از لپ‌تاپ داداشم استفاده کنم. هرچند بازم چند بار این کارو کردم.

خلاصه این که من هیچ وقت واسه خودم یه سیستم درست و حسابی نداشتم و همین الان هم دارم با لپ‌تاپ قدیمی یکی از اعضای خانواده کار می‌کنم. با این وجود بین دوستان و فامیل منو به عنوان یه خوره کامپیوتر می‌شناسن. هرچند شاید فقط خودم میدونم که چه افتضاحیم.

اما تا این‌جا اصلا متنی که نوشتم ربطی به تیتر نداشت.

داستان از این قراره که با این که معتقدم هیچ تخصصی ندارم تو این بحث و همه‌جا مثه همین‌جا خودمو فقط علاقه‌مند به این موضوع معرفی می‌کنم، با این وجود، مشتری خارجی هم داشتم تو زمینه هک و امنیت که همیشه جوابم بهشون منفی بوده. ولی دیشب یه بنده خدایی از امارات، چندتا سایت خارجی واسم فرستاد و گفت اگه تونستی اینارو هک کنی، حق‌الزحمه‌ات رو هم می‌گیری! حتی نگفت چه‌قدر و منم نپرسیدم!! من هرچی باشم، هکر نیستم و خودمم میدونم که تا حالا به جز یه سرور که اونم اتفاقی بود، تا حالا به یه دونه سایت هم نتونستم نفوذ کنم! ولی این بار جواب منفی ندادم. ولی می‌خوام از امروز که جمعه، مورخ 29 فروردین 1399 هستش، شروع کنم به آنالیز این سایتا تا وقتی که بتونم بهشون نفوذ کنم. می‌خوام هر روز، کارایی که کردم و چیزایی که یاد گرفتمو همین‌جا بنویسم و همین پستو آپدیت کنم. اگه دوست دارین آپدیتای بعدی رو بخونین پس بهتره که لینک این پستو یه جا واسه خودتون نگهش دارین و روزی یه بار قبل از خواب بهش سر بزنین و منو خوش‌حال کنین :) اینارو دارم این‌جا می‌نویسم تا شاید یه جورایی به شما قول داده باشم و این موضوع خودمو مصمم‌تر می‌کنه.

واسه این کار، سعی می‌کنم هر روز چیزای جدید رو امتحان کنم و دنبال یادگیری چیزای جدیدتر باشم ولی چندتا چیزو تا آخر به عنوان اصل، رعایت خواهم کرد:

  • از همین اول تا وقتی که به هدف برسم، از سیستم‌عامل لینوکس استفاده نخواهم کرد. در واقع شاید باید می‌نوشتم فقط از ویندوز استفاده خواهم کرد ولی با خودم گفتم خدارو چه دیدی، شاید از اندروید هم استفاده کردم و منم که اصلا دوست ندارم دروغ‌گو باشم =)
  • تو دنیای مجازی و واقعی من دوستِ هکر زیاد دارم. تعدادشونم دقیق نمی‌دونم ولی بهتون قول میدم که کارنامه پرباری دارن. تا جایی که امکانش هست و جا داره، من ازشون کمک نخواهم گرفت و تنها منبع یادگیری من، اینترنت و کتابا خواهند بود.

فعلا این دوتا اصل رو واسه خودم دارم تا ببینم بعدا چی میشه :)

اگه شما پیشنهادی دارین، خوش‌حال میشم بخونمش =)

بروزرسانی 30 فروردین 99:

دیروز اولین کاری که کردم این بود که سعی کردم اسکنر اکانتیکس رو نصب کنم. تو گوگل سرچ کردم و چندتا لینک واسه دانلود نسخه‌های 11 و 12 این اسکنر اومد ولی هرکدومو که نصب کردم، نتونستم درست و حسابی ازش استفاده کنم. مشکل یا از من بود که بلد نبودم فایل پچ یا کرک رو درست جاسازی و اجرا کنم، یا از خود فایل بود. بالاخره یه بار تونستم وارد برنامه بشم و اولین سایتو اسکن کنم که جواب داد هیچ باگی پیدا نشد! سعی کردم دوباره اسکن کنم که باز ارور لایسنس کی داد. فهمیدم همون ورژن قدیمی‌ترش یعنی 10 که برعکس دوتا ورژن بعدیش نسخه وب نیست، به درد بخورتره. رفتم که نسخه 10 رو دانلود کنم که دیدم سایتای دانلود ایرانی، برعکس سایتای خارجی، نسخه‌های قدیمی‌تر رو بایگانی نمی‌کنن و وقتی نسخه جدید اومد، نسخه‌های قدیمی رو از رو سایت بر می‌دارن. ولی بالاخره از تو یکی از همین سایتا که قبلا هم ثبت نام کرده بودم تونستم دانلودش کنم و کار هم میکنه الان :)

دیروز بنا به دلایلی چندان روش نتونستم وقت بذارم. با این حال الان میدونم آی‌پی سایت چیه و این که فکر کنم باگ CSRF داره. چیزی درباره این باگ نمی‌دونم ولی فکر کنم چیز خطرناکی نیست. راستی سایت اگه رفتار مشکوکی ببینه آی‌پی رو بن میکنه و الان همین اتفاق واسه من افتاده :( یه صفحه‌ای اومده و مدیر سایت ازم خواسته که به آی‌دی تلگرامش یا به جیمیلش پیام بدم و دلیل این که سایت داره منو بات تشخیص میده واسش توضیح بدم. جای نگرانی نیست چون به وی‌پی‌ان وصل میشم و دوباره میرم سراغش :)

بروزرسانی 31 فروردین 99:

دیروز توی چندتا منبع فارسی گشتم تا شاید بتونم از این باگ CSRF استفاده‌ای بکنم ولی نشد. راستش تا الان مهم‌ترین بخش قضیه شاید این باشه که robots.txt رو دارم :/ از اونم چیزی نفهمیدم البته! یعنی الان دو روزه روش وقت می‌ذارم و هنوز نتونستم یه کار مفید بکنم. بعد از دوتا منبع فارسی که گفتم، چندتا از باگ‌های CSRF ثبت شده توی CXSecurity رو بررسی کردم که هیچ کدوم روی این سایت جواب نداد. این سایت از یه CMS اختصاصی استفاده می‌کنه. یعنی شایدم اختصاصی نباشه ولی میدونم وردپرس، جوملا و دروپال نیست. با PHP نوشته شده. خیلی ساده با گذاشتن یه سینگل کوت انتهای آدرس سعی کردم که از لحاظ باگ SQL بررسیش کنم که دیدم تشخیص میده یکی داره سعی می‌کنه واسه هک کردن. یه صفحه سفید که توش نوشته هکینگ اتمپ نشونم داد که هنوز نمی‌دونم این یعنی باگ داره یا نه! می‌خوام امروز وقت بذارم و چندتا از اکسپلویت‌های سایت دی‌بی اکسپلویت رو هم بررسی کنم ببینم چی میشه. واقعا چجوری هکرا به صورت دستی یه سایت رو واسه باگای مختلف اسکن می‌کنن؟! به سرم زد حتی برم PHP یاد بگیرم شاید فرجی شد. خلاصه این که هنوز دست‌و‌بالم خالیه...

بروزرسانی 1 اردیبهشت 99:

الان که به خاطر قرنطینه کرونا صبح تا شب تو خونه نشستم، بنا به دلایلی می‌خوام حذف ترم کنم پس بی‌خیال درسای دانشگاه شدم. واسه همین فکر کنم موقعیت خوبی باشه واسه یاد گرفتن PHP. چند سال پیش که یکی از دوستام تازه رفته بود رشته مهندسی کامپیوتر و از علاقه من به کامپیوتر خبر داشت، سایت codecademy.com رو بهم معرفی کرد. سعی می‌کنم برم تو این سایت و پی‌اچ‌پی رو یاد بگیرم. این سایتی که دارم روش کار می‌کنم هم همون‌طور که گفتم با این زبون نوشته شده و شاید اگه یه خرده از این زبون سر در بیارم بتونم یه کاری از پیش ببرم. دیروز به 3 تا از دوستام تو ویدیوکال واتس‌اپ گفتم اگه این سایتو تونستم کامل بزنم، همتونو دعوت می‌کنم کافه :)

بروزرسانی 3 اردیبهشت 99:

حقیقتا دیگه چیزی واسه اضافه کردن ندارم. بهتره برم PHP رو یاد بگیرم و بعد یه بررسی بکنم شاید اون موقع چیزی دستگیرم شد :)

هک سایتآموزش هک سایتتارگت تمرینی هک سایتسایت‌هایی که باید هک کردآموزش پیدا کردن باگ سایت
علاقه‌مند به تکنولوژی، هکینگ، وب دیزاین، برنامه‌نویسی، هیپ هاپ، ورزش، اخبار، کتابخوانی، زبان، تاریخ و نوشتن.
شاید از این پست‌ها خوشتان بیاید