Title: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 15, 2015, 11:20:07 am Mod: Τοπικ για αποριες στις ασκησεις του εργαστηριου της ασφαλειας
Ναι δυστυχως... Ξέρει κανείς αν πέρσι είχε εργαστηριακές ασκήσεις ανα εβδομαδα ή ειναι φετινη καινοτομια? Ο επιστημονικος συνεργατης που κανει το εργαστηριο ειναι αλλος τωρα, αρα ναιTitle: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: rspappas on October 15, 2015, 11:32:31 am καλα, δεν ειναι και καμμια τρελη εργασια, 3 εντολες ειναι.
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 15, 2015, 11:42:33 am Κατάφερε κανένας να κατεβάσει το αρχείο της εργασίας απ το elearning? Μου έβγαλε σφάλμα την πρώτη φορά και πλεον δεν θέλει να δοκιμάσει καν... -_-
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 15, 2015, 11:57:30 am Βεβαια στην παρουσιαση το λεει lab1.pcap
( η εχει κανει λαθος στο ονομα η ανεβασε λαθος αρχειο) στο αρχειο που ανεβασα βαλε οπου .txt -> .gz Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Son of fire on October 15, 2015, 12:59:37 pm καλα, δεν ειναι και καμμια τρελη εργασια, 3 εντολες ειναι. Δε διαφωνώ, αλλά προτιμώ να κάνω μια εργασία βάσεων της πλάκας που θα πάρει μια μέρα, παρά να ασχολούμαι κάθε εβδομάδαTitle: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 15, 2015, 14:56:02 pm Βεβαια στην παρουσιαση το λεει lab1.pcap ( η εχει κανει λαθος στο ονομα η ανεβασε λαθος αρχειο) στο αρχειο που ανεβασα βαλε οπου .txt -> .gz Ευχαριστώ! :) Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 18, 2015, 19:41:16 pm Ασχολήθηκε κανείς ήδη να βοηθήσει...? Δεν τα πάω καλά με τα linux -_- . Με την εντολή tcpdump -r attack-trace.pcap διαβάζει το αρχείο οκ. Αλλά πως κανουμε οτιδήποτε από αυτά που μας ζητάει η εργασία? Κάνω π.χ. tcpdump -r attack-trace.pcap tcp για να φιλτράρει μόνο TCP πακέτα.. αλλά δεν φαίνεται να δουλεύει έτσι.... Μπορεί κάποιος να μου δώσει ένα παράδειγμα μήπως νιώσω? ::)
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Kodi on October 18, 2015, 20:04:31 pm Ασχολήθηκε κανείς ήδη να βοηθήσει...? Δεν τα πάω καλά με τα linux -_- . Με την εντολή tcpdump -r attack-trace.pcap διαβάζει το αρχείο οκ. Αλλά πως κανουμε οτιδήποτε από αυτά που μας ζητάει η εργασία? Κάνω π.χ. tcpdump -r attack-trace.pcap tcp για να φιλτράρει μόνο TCP πακέτα.. αλλά δεν φαίνεται να δουλεύει έτσι.... Μπορεί κάποιος να μου δώσει ένα παράδειγμα μήπως νιώσω? ::) και εγώ τα ίδια ακριβώς προσπάθησα και δεν έβγαλα άκρη, αλλά μάλλον πρέπει να δημιουργήσουμε scriptακι, το οποίο θα κάνει αυτά που ζητάει (όπως λέει και στην εκφώνηση). Για το πως το κάνουμε βρήκα κάτι οδηγίες από το περσινό εργαστήριο στα λειτουργικά. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 18, 2015, 20:13:03 pm Ασχολήθηκε κανείς ήδη να βοηθήσει...? Δεν τα πάω καλά με τα linux -_- . Με την εντολή tcpdump -r attack-trace.pcap διαβάζει το αρχείο οκ. Αλλά πως κανουμε οτιδήποτε από αυτά που μας ζητάει η εργασία? Κάνω π.χ. tcpdump -r attack-trace.pcap tcp για να φιλτράρει μόνο TCP πακέτα.. αλλά δεν φαίνεται να δουλεύει έτσι.... Μπορεί κάποιος να μου δώσει ένα παράδειγμα μήπως νιώσω? ::) και εγώ τα ίδια ακριβώς προσπάθησα και δεν έβγαλα άκρη, αλλά μάλλον πρέπει να δημιουργήσουμε scriptακι, το οποίο θα κάνει αυτά που ζητάει (όπως λέει και στην εκφώνηση). Για το πως το κάνουμε βρήκα κάτι οδηγίες από το περσινό εργαστήριο στα λειτουργικά. Ξέρω ότι θέλει scriptaki απλά έλεγα να βγάλω άκρη με τις εντολές αυτές καθ'αυτές πρώτα γιατί και στο script θα χρειαστούνε.. :/ Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: απλυτος on October 18, 2015, 21:01:53 pm Ασχολήθηκε κανείς ήδη να βοηθήσει...? Δεν τα πάω καλά με τα linux -_- . Με την εντολή tcpdump -r attack-trace.pcap διαβάζει το αρχείο οκ. Αλλά πως κανουμε οτιδήποτε από αυτά που μας ζητάει η εργασία? Κάνω π.χ. tcpdump -r attack-trace.pcap tcp για να φιλτράρει μόνο TCP πακέτα.. αλλά δεν φαίνεται να δουλεύει έτσι.... Μπορεί κάποιος να μου δώσει ένα παράδειγμα μήπως νιώσω? ::) απ όσα έχω καταλάβει.. όλες αυτές οι εντολές δουλεύουν για μορφή "tcpdump -i eth0 tcp", δηλαδή περιπτώσεις που διαβάζεις live τα πακέτα της eth0 (τυχαίο παράδειγμα το όνομα). σε αυτές τις περιπτώσεις μπορείς σίγουρα να ζητήσεις να σου διαβάσει μόνο το πακέτα που έχουν την τάδε μορφή, έρχονται από τον τάδε host, είναι μεγαλύτερα από χ bytes και λοιπές παραμέτρους. εμείς εδώ έχουμε ένα αρχείο στο οποίο έχουμε καταγράψει όλα τα πακέτα. σε αυτήν την περίπτωση δεν μπορείς να θέσεις αυτές τις παραμέτρους. τουλάχιστον όχι με αυτόν τον τρόπο. κάπως έτσι (http://serverfault.com/questions/617338/counting-number-of-connections-in-a-pcap-file) πρέπει να το ψάξουμε Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 18, 2015, 21:52:24 pm Ασχολήθηκε κανείς ήδη να βοηθήσει...? Δεν τα πάω καλά με τα linux -_- . Με την εντολή tcpdump -r attack-trace.pcap διαβάζει το αρχείο οκ. Αλλά πως κανουμε οτιδήποτε από αυτά που μας ζητάει η εργασία? Κάνω π.χ. tcpdump -r attack-trace.pcap tcp για να φιλτράρει μόνο TCP πακέτα.. αλλά δεν φαίνεται να δουλεύει έτσι.... Μπορεί κάποιος να μου δώσει ένα παράδειγμα μήπως νιώσω? ::) απ όσα έχω καταλάβει.. όλες αυτές οι εντολές δουλεύουν για μορφή "tcpdump -i eth0 tcp", δηλαδή περιπτώσεις που διαβάζεις live τα πακέτα της eth0 (τυχαίο παράδειγμα το όνομα). σε αυτές τις περιπτώσεις μπορείς σίγουρα να ζητήσεις να σου διαβάσει μόνο το πακέτα που έχουν την τάδε μορφή, έρχονται από τον τάδε host, είναι μεγαλύτερα από χ bytes και λοιπές παραμέτρους. εμείς εδώ έχουμε ένα αρχείο στο οποίο έχουμε καταγράψει όλα τα πακέτα. σε αυτήν την περίπτωση δεν μπορείς να θέσεις αυτές τις παραμέτρους. τουλάχιστον όχι με αυτόν τον τρόπο. κάπως έτσι (http://serverfault.com/questions/617338/counting-number-of-connections-in-a-pcap-file) πρέπει να το ψάξουμε :O Ευχαριστώ! :) Ελπίζω μέχρι αύριο να χω βγάλει άκρη... Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: wesa on October 19, 2015, 18:04:46 pm θυμαται καποιος να μου πει το password του ubuntuVM?
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Exomag on October 19, 2015, 18:42:42 pm θυμαται καποιος να μου πει το password του ubuntuVM? !Welcome νομίζω, αλλά μπορείς να κάνεις ένα δικό σου VM να ξεμπερδεύεις. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 20, 2015, 19:39:56 pm Βρήκε κανείς πώς βρίσκουμε τις επιπρόσθετες πληροφορίες που ζητάει για το σύστημα προορισμού και το λειτουργικό σύστημά του;;;; :???:
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Ragnar on October 20, 2015, 20:14:48 pm Βρήκε κανείς πώς βρίσκουμε τις επιπρόσθετες πληροφορίες που ζητάει για το σύστημα προορισμού και το λειτουργικό σύστημά του;;;; :???: Εγώ μπήκα στο www.who.is και έκανα αναζήτηση το IP. Ας επιβεβαιώσει κάποιος. Επίσης εχω μια διαφωνία με ένα παιδι που το κάνει στο linux (εγώ το κάνω στο whireshark) βρήκα 348 πακέτα και αυτός λέει 365. Τι παίζει? Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 20, 2015, 20:46:10 pm 365 βρηκα και εγω το ανοιξα και σε text editor 365 γραμμες μου λεει
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Eragon on October 20, 2015, 20:48:25 pm 365 βρηκα και εγω το ανοιξα και σε text editor 365 γραμμες μου λεει Δεν είναι όλες οι καταγραφές σε μια γραμμήTitle: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 20, 2015, 20:52:38 pm 365 βρηκα και εγω το ανοιξα και σε text editor 365 γραμμες μου λεει Δεν είναι όλες οι καταγραφές σε μια γραμμήΤο μετατρεπω σε txt και η καθε καταγραφη ειναι σε μια γραμμη ,,, αλλα τωρα που το ειδα καλυτερα στο editor εχει καποιες κενες γραμμες για καποιο λογο που σημαινει οτι ειναι <365 πιθανον 348 οπως ειπε ο προλαλησαντας Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 20, 2015, 20:56:24 pm Και εγώ είχα αυτό το θέμα αλλά τελικά νομίζω είναι 348. Εάν βάλετε -# στο τέλος της εντολής που διαβάζεις το αρχείο, βάζει Α/Α σε όλα τα πακέτα...και το τελευταίο είναι το 348. Με άλλους τρόπους καταγραφής του συνολικού αριθμου με κάποιες εντολές βγάζω 348 με άλλες 365. Καλύτερα νομίζω τελικά τη λύση με τον Α/Α
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: IvanDimitriev on October 21, 2015, 02:40:18 am Εχω καβλ*σει με την εργασια! :D :D
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: vlad on October 21, 2015, 10:00:14 am Το αρχειο οντως εχει 365 γραμμες. Υπαρχουν ομως κενες γραμμες (πχ 11,15,17). Τα πακετα ειναι συνολο 348.
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: spira mirabilis on October 21, 2015, 10:55:44 am Την έκανα χθες και κατάλαβα ότι:
1.για να βρεις την φυσική τοποθεσία της IP πας στο ip2location.com . Το who.is.com δίνει πληροφορίες για τον ιδιοκτήτη της διεύθυνσης. 2.για να βρεις το λειτουργικό σύστημα υπάρχει η εντολή nmap , που με το συγκεκριμένο IP δεν κατάφερα να δουλέψει. Εναλλακτικά, αν βρεις το ttl και Window size των tcp πακέτων που στέλνει ο μπορείς να καταλάβεις τί λειτουργικό σύστημα έχει. http://www.howtogeek.com/104337/hacker-geek-os-fingerprinting-with-ttl-and-tcp-window-sizes/ Έχεις έναν Windows 2000(με μια μικρή παραλλαγή) στην Πενσυλβάνια. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Kodi on October 21, 2015, 16:06:57 pm με tcpdump -r attack-trace.pcap >test.txt Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: dimi93gr on October 21, 2015, 16:24:37 pm με tcpdump -r attack-trace.pcap >test.txt Ίσως tcpdump -r attack-trace.pcap > test.txt Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Gru on October 21, 2015, 17:39:42 pm Και εγώ είχα αυτό το θέμα αλλά τελικά νομίζω είναι 348. Εάν βάλετε -# στο τέλος της εντολής που διαβάζεις το αρχείο, βάζει Α/Α σε όλα τα πακέτα...και το τελευταίο είναι το 348. Με άλλους τρόπους καταγραφής του συνολικού αριθμου με κάποιες εντολές βγάζω 348 με άλλες 365. Καλύτερα νομίζω τελικά τη λύση με τον Α/Α εγώ όταν βάζω το -# μου πετάει tcpdump: invalid option -- '#' tcpdump version 4.5.1 libpcap version 1.5.3 έκανες κάτι για να στο δέχεται? Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: dimi93gr on October 21, 2015, 19:39:56 pm Και εγώ είχα αυτό το θέμα αλλά τελικά νομίζω είναι 348. Εάν βάλετε -# στο τέλος της εντολής που διαβάζεις το αρχείο, βάζει Α/Α σε όλα τα πακέτα...και το τελευταίο είναι το 348. Με άλλους τρόπους καταγραφής του συνολικού αριθμου με κάποιες εντολές βγάζω 348 με άλλες 365. Καλύτερα νομίζω τελικά τη λύση με τον Α/Α εγώ όταν βάζω το -# μου πετάει tcpdump: invalid option -- '#' tcpdump version 4.5.1 libpcap version 1.5.3 έκανες κάτι για να στο δέχεται? http://www.tcpdump.org/ https://www.youtube.com/watch?v=njqib0fzE9c Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 21, 2015, 20:15:29 pm Την έκανα χθες και κατάλαβα ότι: 1.για να βρεις την φυσική τοποθεσία της IP πας στο ip2location.com . Το who.is.com δίνει πληροφορίες για τον ιδιοκτήτη της διεύθυνσης. 2.για να βρεις το λειτουργικό σύστημα υπάρχει η εντολή nmap , που με το συγκεκριμένο IP δεν κατάφερα να δουλέψει. Εναλλακτικά, αν βρεις το ttl και Window size των tcp πακέτων που στέλνει ο μπορείς να καταλάβεις τί λειτουργικό σύστημα έχει. http://www.howtogeek.com/104337/hacker-geek-os-fingerprinting-with-ttl-and-tcp-window-sizes/ Έχεις έναν Windows 2000(με μια μικρή παραλλαγή) στην Πενσυλβάνια. Πως καταλαβαίνεις ποιό από τα 2 συστήματα είναι το destination? Γιατι να είναι αυτό και όχι το άλλο IP της adobe? Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: xameno kormi on October 21, 2015, 20:22:36 pm το συστημα προορισμου ειναι με διευθυνση ip 98.114.205.102 ? βλεποντας την tcpdump αυτη αρχικα ειναι η source ip και η 192.150.11.111 η destination ip ?
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 21, 2015, 20:26:38 pm το συστημα προορισμου ειναι με διευθυνση ip 98.114.205.102 ? βλεποντας την tcpdump αυτη αρχικα ειναι η source ip και η 192.150.11.111 η destination ip ? Και εγώ αυτό καταλαβαίνω... από το πρώτο πακέτο που γίνεται το αρχικό request... Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: xameno kormi on October 21, 2015, 21:03:20 pm ναι ετσι ειναι απλα στα υπολοιπα επειδη γινεται ανταλλαγη πακετων ποτε ειναι το ενα source και ποτε destination απ οτι καταλαβα
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: rspappas on October 21, 2015, 23:15:13 pm ε ποτε στελνει ο ενας και ποτε στελνει ο αλλος πακετα
μπορουμε ομως να συμπερανουμε οτι ο ...verizon.net ειναι ο χρηστης και ο ...adobe.com ειναι ο σερβερ γενικα προτεινω να το κανετε με bash script. μπορει να σας βγουν λιγο τα ματια περισσοτερο, αλλα ειναι πιο εκπαιδευτικο και δεν εχει χαμαλικι να ψαχνεις εγγραφες με το χερι hints: ψαξτε για tokenizations των string οι εντολες -v -vv και -n -nn βγαζουν διαφορετικες πληροφοριες Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: kofski17 on October 22, 2015, 04:04:27 am για να προσδιορισουμε τον αριθμο π.χ. των UDP πακετων, εκτελώντας αυτό
tcpdump -r attack-trace.pcap udp -n -# δεν μου εμφανίζει κανένα πακέτο. Κάνοντας το ίδιο για τα TCP μου εμφανίζει και τα 348. Επίσης, εφαρμόζοντας το φίλτρο -v γράφει για κάθε ένα πακέτο τον τύπο του, απόσο έχω δει (δεν ισχυρίζομαι ότι έχω δει και τις 348 εγγραφές βέβαια) πάλο όλα φαίνεται να είναι TCP. Ισχύει όντως αυτό? Τότε τι ποσοστά μας ζητάει? Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: et3rn1ty on October 22, 2015, 10:22:39 am για να προσδιορισουμε τον αριθμο π.χ. των UDP πακετων, εκτελώντας αυτό tcpdump -r attack-trace.pcap udp -n -# δεν μου εμφανίζει κανένα πακέτο. Κάνοντας το ίδιο για τα TCP μου εμφανίζει και τα 348. Επίσης, εφαρμόζοντας το φίλτρο -v γράφει για κάθε ένα πακέτο τον τύπο του, απόσο έχω δει (δεν ισχυρίζομαι ότι έχω δει και τις 348 εγγραφές βέβαια) πάλο όλα φαίνεται να είναι TCP. Ισχύει όντως αυτό? Τότε τι ποσοστά μας ζητάει? Ετσι ειναι, υπαρχουν 5 sessions TCP (SYN πακετα), δεν υπαρχει καθολου udp. Και το 0% ποσοστο ειναι :P Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 22, 2015, 11:20:08 am για να προσδιορισουμε τον αριθμο π.χ. των UDP πακετων, εκτελώντας αυτό tcpdump -r attack-trace.pcap udp -n -# δεν μου εμφανίζει κανένα πακέτο. Κάνοντας το ίδιο για τα TCP μου εμφανίζει και τα 348. Επίσης, εφαρμόζοντας το φίλτρο -v γράφει για κάθε ένα πακέτο τον τύπο του, απόσο έχω δει (δεν ισχυρίζομαι ότι έχω δει και τις 348 εγγραφές βέβαια) πάλο όλα φαίνεται να είναι TCP. Ισχύει όντως αυτό? Τότε τι ποσοστά μας ζητάει? Ετσι ειναι, υπαρχουν 5 sessions TCP (SYN πακετα), δεν υπαρχει καθολου udp. Και το 0% ποσοστο ειναι :P 5 TCP-SYN είναι σίγουρα? Εγώ βγάζω 10 με εντολή... tcpdump -r attack-trace.pcap 'tcp[tcpflags] & tcp-syn !=0' -# ... η οποία (υποτίθεται τουλάχιστον) ότι φιλτράρει μόνο τα TCP με ενεργοποιημένο το SYN flag. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: dimi93gr on October 22, 2015, 11:32:28 am για να προσδιορισουμε τον αριθμο π.χ. των UDP πακετων, εκτελώντας αυτό tcpdump -r attack-trace.pcap udp -n -# δεν μου εμφανίζει κανένα πακέτο. Κάνοντας το ίδιο για τα TCP μου εμφανίζει και τα 348. Επίσης, εφαρμόζοντας το φίλτρο -v γράφει για κάθε ένα πακέτο τον τύπο του, απόσο έχω δει (δεν ισχυρίζομαι ότι έχω δει και τις 348 εγγραφές βέβαια) πάλο όλα φαίνεται να είναι TCP. Ισχύει όντως αυτό? Τότε τι ποσοστά μας ζητάει? Ετσι ειναι, υπαρχουν 5 sessions TCP (SYN πακετα), δεν υπαρχει καθολου udp. Και το 0% ποσοστο ειναι :P 5 TCP-SYN είναι σίγουρα? Εγώ βγάζω 10 με εντολή... tcpdump -r attack-trace.pcap 'tcp[tcpflags] & tcp-syn !=0' -# ... η οποία (υποτίθεται τουλάχιστον) ότι φιλτράρει μόνο τα TCP με ενεργοποιημένο το SYN flag. Τα άλλα 5 είναι η απάντηση και έχουν επίσης την SYN flag enabled. Έχουν όμως και την ACK flag enabled. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: rspappas on October 22, 2015, 11:43:38 am inb4,
για το vm του μαθηματος, πρεπει να γινει import appliance απο το virtualbox Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 22, 2015, 13:29:03 pm Θυμάται κανείς τι έκανε για να ανοίξει τα sql.php κλπ με τον editor? και γενικά που τα βρίσκουμε αυτά τα αρχεία? :???:
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 22, 2015, 13:36:14 pm στο περιπου γτ δεν εχω το vm ακομα
πηγαινε home η πιο πανω στην ιεραρχια www/var/html καπως ετσι ηταν για να το ανοιξεις μπορεις γραφικα η με terminal με οποιο editor 8ες nano, vim,vi etc Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 22, 2015, 13:47:25 pm στο περιπου γτ δεν εχω το vm ακομα πηγαινε home η πιο πανω στην ιεραρχια www/var/html καπως ετσι ηταν για να το ανοιξεις μπορεις γραφικα η με terminal με οποιο editor 8ες nano, vim,vi etc Πιο "πάνω" από το home και μετά /var/www/html ;) Ευχαριστω!!! :D Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Kodi on October 22, 2015, 14:19:08 pm Τα udp βγαίνουν 189 ;
ή είναι 0 ; Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Gru on October 22, 2015, 16:53:12 pm όταν ρωτάει Ποιά είναι τα συστήματα τα οποία εποικοινωνούν μεταξύ τους έχει καταλάβει κανείς τι εννοεί??
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: rspappas on October 22, 2015, 20:18:55 pm το source και destination
φανταζομαι μπορεις να τα πεις ειτε με την IP τους ειτε με το wrasse.adobe.com. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Gaara on October 22, 2015, 23:55:19 pm το pw απο το vm ποιο ειναι ?
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: vlad on October 23, 2015, 00:02:26 am το pw απο το vm ποιο ειναι ? !WelcomeTitle: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Gaara on October 23, 2015, 00:34:37 am ty
Πριν φυγει rage: Για proper install των guest additions cd /opt/ sudo rm -rf απότι εχει σχεση με directory VBoxGuestAdditions-x.x.xx και ξανα απο την αρχη install τα guest additions και λογικα θα ειστε οκ. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 24, 2015, 13:45:24 pm Δεν υπάρχει βάση sql1 , έτσι δεν είναι? -_- πάλι άλλο όνομα έχει γράψει στην εργασία?
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 24, 2015, 13:51:25 pm γράψε απλά 127.0.0.1 και θα σε στείλει σε ένα directory
απο'κει νομίζω είναι η sql.php or something Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: spira mirabilis on October 24, 2015, 15:06:47 pm Μπορεί να μου πει κάποιος τί ακριβώς παίζει με αυτήν την εργασία;
Πού είναι το αρχείο για το πρώτο κομμάτι; Και πού είναι ο φάκελος var/www/html ; Πρέπει να συνδεθώ στο vm του εργαστηρίου κάπως; Από το pc μου δεν γίνεται; :( Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: nohponex on October 24, 2015, 15:09:02 pm Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 24, 2015, 15:10:24 pm γράψε απλά 127.0.0.1 και θα σε στείλει σε ένα directory Δεν εννοεί αυτό στην εργασία... Θέλει να χρησιμοποιησουμε μα βάση που λέγεται sql1. ¨Όπως στο sql.php που λες, αν δεις δηλώνει σαν $database = "sqlinjection". Αλλά βρήκα έναν τρόπο να κάνω display όλες τις βάσεις του localhost και δεν έχει βάση που να λέγεται sql1 -_-απο'κει νομίζω είναι η sql.php or something Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 24, 2015, 15:14:22 pm Μπορεί να μου πει κάποιος τί ακριβώς παίζει με αυτήν την εργασία; Πού είναι το αρχείο για το πρώτο κομμάτι; Και πού είναι ο φάκελος var/www/html ; Πρέπει να συνδεθώ στο vm του εργαστηρίου κάπως; Από το pc μου δεν γίνεται; :( Από τις ανακοινώσεις στο elearning κατέβασε το VM του εργαστηρίου που έχει έτοιμο το localhost και τις βάσεις κλπ. Αν το ανοιξεις μετά θα στο "ενσωματώσει" στο δικό σου virtual box. Δες το sql.php και action.php που βρίσκονται μέσα στο φάκελο /var/www/html να καταλάβεις τι ακριβώς κάνουν. Και ουσιαστικά εσύ πρέπει να φτιάξεις κάτι σαν το action.php, να κάνει connect κλπ στη βάση που σου λέει η άσκηση και να τυπώνει τα δεδομενα της. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Kodi on October 24, 2015, 15:16:46 pm Λίγο άσχετη ερώτηση, αλλά επειδή μου έχουν βγει τα μάτια στο virtual machine έψαξα πως να κάνω μεγιστοποίηση το παράθυρο στο internet και τίποτα από αυτά που λένε δε βοήθησε, έχει καταφέρει κανείς να το κάνει σε πλήρη οθόνη;
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 24, 2015, 15:25:43 pm Λίγο άσχετη ερώτηση, αλλά επειδή μου έχουν βγει τα μάτια στο virtual machine έψαξα πως να κάνω μεγιστοποίηση το παράθυρο στο internet και τίποτα από αυτά που λένε δε βοήθησε, έχει καταφέρει κανείς να το κάνει σε πλήρη οθόνη; Το βρήκα σήμερα! ;D Το αλλάζεις από τα system settings των UBUNTU, όχι από τις ρυθμίσεις του Virtual Box. System Settings -> Displays και διαλέγεις ότι σε βολεύει... ;) Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Kodi on October 24, 2015, 15:32:04 pm Λίγο άσχετη ερώτηση, αλλά επειδή μου έχουν βγει τα μάτια στο virtual machine έψαξα πως να κάνω μεγιστοποίηση το παράθυρο στο internet και τίποτα από αυτά που λένε δε βοήθησε, έχει καταφέρει κανείς να το κάνει σε πλήρη οθόνη; Το βρήκα σήμερα! ;D Το αλλάζεις από τα system settings των UBUNTU, όχι από τις ρυθμίσεις του Virtual Box. System Settings -> Displays και διαλέγεις ότι σε βολεύει... ;) Ευχαριστώ πολύ! :D έψαχνα μια ώρα και δε βρήκα τίποτα!! Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: spira mirabilis on October 24, 2015, 15:38:47 pm Από τις ανακοινώσεις στο elearning κατέβασε το VM του εργαστηρίου που έχει έτοιμο το localhost και τις βάσεις κλπ. Αν το ανοιξεις μετά θα στο "ενσωματώσει" στο δικό σου virtual box. Δες το sql.php και action.php που βρίσκονται μέσα στο φάκελο /var/www/html να καταλάβεις τι ακριβώς κάνουν. Και ουσιαστικά εσύ πρέπει να φτιάξεις κάτι σαν το action.php, να κάνει connect κλπ στη βάση που σου λέει η άσκηση και να τυπώνει τα δεδομενα της. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Kodi on October 24, 2015, 15:44:39 pm Από τις ανακοινώσεις στο elearning κατέβασε το VM του εργαστηρίου που έχει έτοιμο το localhost και τις βάσεις κλπ. Αν το ανοιξεις μετά θα στο "ενσωματώσει" στο δικό σου virtual box. Δες το sql.php και action.php που βρίσκονται μέσα στο φάκελο /var/www/html να καταλάβεις τι ακριβώς κάνουν. Και ουσιαστικά εσύ πρέπει να φτιάξεις κάτι σαν το action.php, να κάνει connect κλπ στη βάση που σου λέει η άσκηση και να τυπώνει τα δεδομενα της. δεν είπε κάτι άλλο, οπότε λογικά πρέπει μέσω του VM.. Άλλα 2,5 GB άχρηστα στον υπολογιστή.. :-X Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: spira mirabilis on October 24, 2015, 15:54:08 pm δεν είπε κάτι άλλο, οπότε λογικά πρέπει μέσω του VM.. Άλλα 2,5 GB άχρηστα στον υπολογιστή.. :-X Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 24, 2015, 15:57:30 pm γράψε απλά 127.0.0.1 και θα σε στείλει σε ένα directory Δεν εννοεί αυτό στην εργασία... Θέλει να χρησιμοποιησουμε μα βάση που λέγεται sql1. ¨Όπως στο sql.php που λες, αν δεις δηλώνει σαν $database = "sqlinjection". Αλλά βρήκα έναν τρόπο να κάνω display όλες τις βάσεις του localhost και δεν έχει βάση που να λέγεται sql1 -_-απο'κει νομίζω είναι η sql.php or something Και τι εννοεί τότε; Ως sql1 αναφερόταν στην ΒΔ του εργαστηρίου και εννοούσε την sql. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 24, 2015, 16:46:23 pm γράψε απλά 127.0.0.1 και θα σε στείλει σε ένα directory Δεν εννοεί αυτό στην εργασία... Θέλει να χρησιμοποιησουμε μα βάση που λέγεται sql1. ¨Όπως στο sql.php που λες, αν δεις δηλώνει σαν $database = "sqlinjection". Αλλά βρήκα έναν τρόπο να κάνω display όλες τις βάσεις του localhost και δεν έχει βάση που να λέγεται sql1 -_-απο'κει νομίζω είναι η sql.php or something Και τι εννοεί τότε; Ως sql1 αναφερόταν στην ΒΔ του εργαστηρίου και εννοούσε την sql. Φαντάζομαι απλά έχει γράψει λάθος όνομα στην εκφώνηση όπως και στην πρώτη εργασία είχε διαφορέτικό όνομα αρχείου από αυτό που μας έδινε τελικά... Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 24, 2015, 16:52:57 pm Δεν παίζει να αναφέρεται σε κάποια από τις άλλες ΒΔ.
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 24, 2015, 17:01:14 pm Δεν παίζει να αναφέρεται σε κάποια από τις άλλες ΒΔ. Δηλαδή τι? Πρέπει να εμφανίσουμε τα στοιχεία μια ΒΔ και θέλει της sql1. Τέτοια δεν φαίνεται να υπάρχει... Αλλά υπάρχουν οι mysql, sqlinjection και INFORMATION_SCHEMA και κάτι παρόμοιο... :/ Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 24, 2015, 17:03:01 pm Οι information_schema. mysql, performance_schema είναι utility databases
Η sqlinjection είναι η μόνη που μένει και είναι αυτή που καλεί η 127.0.0.1/sql.php Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: vlad on October 24, 2015, 17:38:00 pm Δεν παιζει να ανεβασει καποιος τα αρχεια ρε παιδια; Δεν ειναι το πιο ευχαριστο πραγμα να κατεβασω το VM.
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 24, 2015, 17:53:55 pm Δεν είναι τόσο απλό, πρέπει να τα hostάρεις κιόλας ως localhost και να τα συνδέσεις και με τις db που αναφέρουν..
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Conflict on October 24, 2015, 21:14:09 pm Η ακολουθη διευθυνση που αναφερει για να κατεβασουμε το VM που ειναι? :o
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: xameno kormi on October 24, 2015, 21:35:19 pm Λίγο άσχετη ερώτηση, αλλά επειδή μου έχουν βγει τα μάτια στο virtual machine έψαξα πως να κάνω μεγιστοποίηση το παράθυρο στο internet και τίποτα από αυτά που λένε δε βοήθησε, έχει καταφέρει κανείς να το κάνει σε πλήρη οθόνη; Το βρήκα σήμερα! ;D Το αλλάζεις από τα system settings των UBUNTU, όχι από τις ρυθμίσεις του Virtual Box. System Settings -> Displays και διαλέγεις ότι σε βολεύει... ;) εμενα μ εχει την built-in display μονο στις επιλογες , δλδ 640 x 480 ..πειραξες κ τπτ αλλο ? Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: night.atk on October 25, 2015, 00:05:30 am Για να μεγαλώσει η οθόνη στο VM πας στο μενου Devices --> Insert Guest Additions CD Image, κάνεις εγκατάσταση τα updates που σου λέει και μετά στο μενού View --> Virtual Screen 1 επιλέγεις το μέγεθος της οθόνης που θέλεις. Επισυνάπτω και δυο screenshots.
Για το VM έβγαλε ανακοίνωση αλλά ξεχασε να βάλει το λινκ, το οποίο είναι --> https://drive.google.com/folderview?id=0BzB7U5xx-HIDczNzWjlQQU5MU00&usp=sharing Το πρώτο κομμάτι δεν ειναι δύσκολο, με μια σχετικά απλή αναζήτηση για SQL Injection μπορεις να το κανεις σχετικά γρήγορα. Το θέμα μου ειναι με το 2ο κομμάτι της εργασίας που ζητάει με script να διαβάσεις τα bookmarks του χρήστη, κάτι το οποίο δεν γίνεται με Javascript για λόγους ασφαλείας. Υπάρχει κάποιος που το έχει κάνει να δώσει κανα hint? Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 25, 2015, 00:29:29 am κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ;
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Conflict on October 25, 2015, 16:51:44 pm Αυτα τα additions ειναι μόνο για Windows?
Γιατι σε Ubuntu που προσπαθώ δεν φαινεται να κάνουν τπτ... Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: orestisf on October 26, 2015, 13:24:55 pm Λίγο άσχετη ερώτηση, αλλά επειδή μου έχουν βγει τα μάτια στο virtual machine έψαξα πως να κάνω μεγιστοποίηση το παράθυρο στο internet και τίποτα από αυτά που λένε δε βοήθησε, έχει καταφέρει κανείς να το κάνει σε πλήρη οθόνη; Το βρήκα σήμερα! ;D Το αλλάζεις από τα system settings των UBUNTU, όχι από τις ρυθμίσεις του Virtual Box. System Settings -> Displays και διαλέγεις ότι σε βολεύει... ;) εμενα μ εχει την built-in display μονο στις επιλογες , δλδ 640 x 480 ..πειραξες κ τπτ αλλο ? εγω το εφτιαξα ως εξης: Code: sudo apt-get install virtualbox-guest-dkms virtualbox-guest-x11 Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: xameno kormi on October 26, 2015, 15:14:47 pm τνξ και στους 2 , λυθηκε με τον απο πανω τροπο τελικα !
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: night.atk on October 26, 2015, 15:54:04 pm κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ; Ουτε καν, ετσι οπως ειναι δομεμενη η βαση δεν μπορεις να κανεις stacked queries για να κανεις insert δεδομενα. Σκεφτηκα με sqlmap, να κανεις upload shell στον υποτιθεμενεο server και να κανεις μετα insert apo mysql στο shell αλλα δεν με ψηνει να ασχοληθω παραπανω. Εχει κανει κανεις αλλος το 1ο ολοκληρο κ το 2ο να μας πει πως? (Γενικα παντως τραγικος ο τυπος, καμια σχεση με περσυ το μαθημα) Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 26, 2015, 16:00:58 pm αυτό ακριβώς
είμαι 99% βέβαιος πως από όλη την εργασία, μόνο το πρώτο υποερώτημα του πρώτου ερωτήματος είναι υλοποίησιμο πάντως, το να χρησιμοποιήσεις utility ή να αλλάξεις το script της σελίδας δουλεύουν αλλά δε συμφωνούν με την εκφώνηση, η οποία λέει αυστηρά να κάνουμε ότι κάνουμε με sql injection επί του δοθέντος site.. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 26, 2015, 19:02:11 pm αυτό ακριβώς είμαι 99% βέβαιος πως από όλη την εργασία, μόνο το πρώτο υποερώτημα του πρώτου ερωτήματος είναι υλοποίησιμο πάντως, το να χρησιμοποιήσεις utility ή να αλλάξεις το script της σελίδας δουλεύουν αλλά δε συμφωνούν με την εκφώνηση, η οποία λέει αυστηρά να κάνουμε ότι κάνουμε με sql injection επί του δοθέντος site.. Η αλήθεια είναι ότι στις διευκρινήσεις λέει ότι μπορούμε να τροποποιήσουμε το php όπου είναι απαραίτητο.. Αλλά αυτό σε τι βαθμο; Γιατί το αλλάζω και ολόκληρο αν είναι και απλά κάνω αυτό που θέλω να κάνω χωρίς SQL injectiοn... :-\ Δεν το έκανε κανείς να μας εξηγήσει... :-[ Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: night.atk on October 26, 2015, 19:50:31 pm αυτό ακριβώς είμαι 99% βέβαιος πως από όλη την εργασία, μόνο το πρώτο υποερώτημα του πρώτου ερωτήματος είναι υλοποίησιμο πάντως, το να χρησιμοποιήσεις utility ή να αλλάξεις το script της σελίδας δουλεύουν αλλά δε συμφωνούν με την εκφώνηση, η οποία λέει αυστηρά να κάνουμε ότι κάνουμε με sql injection επί του δοθέντος site.. Η αλήθεια είναι ότι στις διευκρινήσεις λέει ότι μπορούμε να τροποποιήσουμε το php όπου είναι απαραίτητο.. Αλλά αυτό σε τι βαθμο; Γιατί το αλλάζω και ολόκληρο αν είναι και απλά κάνω αυτό που θέλω να κάνω χωρίς SQL injectiοn... :-\ Δεν το έκανε κανείς να μας εξηγήσει... :-[ Αντε ρε τον ηλίθιο, διευκρινήσεις 4 μέρες μετά. Πόσο δυσκολο είναι να ψαξεις λιγο μόνος σου και να φτιαξεις ενα σωστό php αρχείο για sql injection. Έχει ένα εκατομμύριο tutorials και sites, τι ειχε να κάνει δηλαδή? Τωρα θα το κανεις το php το αρχειο όπως θες και να τελειώνει, δεν μπορεί να σου πει κατι. Που μπλέξαμε δες Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: xameno kormi on October 26, 2015, 20:44:30 pm κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ; Ουτε καν, ετσι οπως ειναι δομεμενη η βαση δεν μπορεις να κανεις stacked queries για να κανεις insert δεδομενα. Σκεφτηκα με sqlmap, να κανεις upload shell στον υποτιθεμενεο server και να κανεις μετα insert apo mysql στο shell αλλα δεν με ψηνει να ασχοληθω παραπανω. Εχει κανει κανεις αλλος το 1ο ολοκληρο κ το 2ο να μας πει πως? (Γενικα παντως τραγικος ο τυπος, καμια σχεση με περσυ το μαθημα) πηρες data μεσω sqlmap ? γτ κ εκει που το προσπαθησα μου λεει all tested parameters apear to be not injectable ισως κατι εβαλα λαθος στις παραμετρους παντως εβαλα το url htttp://127.0.0.1/sql.php Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 26, 2015, 23:26:02 pm Ασχετο με την υλοποιηση της εργασιας
https://www.youtube.com/watch?v=xeuWST_KOyg http://www.cobranet.org/about.php?id=1 xoxo βεβαια δεν εμφανιζονται τα admins διαπιστευτηρια Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: night.atk on October 26, 2015, 23:48:35 pm κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ; Ουτε καν, ετσι οπως ειναι δομεμενη η βαση δεν μπορεις να κανεις stacked queries για να κανεις insert δεδομενα. Σκεφτηκα με sqlmap, να κανεις upload shell στον υποτιθεμενεο server και να κανεις μετα insert apo mysql στο shell αλλα δεν με ψηνει να ασχοληθω παραπανω. Εχει κανει κανεις αλλος το 1ο ολοκληρο κ το 2ο να μας πει πως? (Γενικα παντως τραγικος ο τυπος, καμια σχεση με περσυ το μαθημα) πηρες data μεσω sqlmap ? γτ κ εκει που το προσπαθησα μου λεει all tested parameters apear to be not injectable ισως κατι εβαλα λαθος στις παραμετρους παντως εβαλα το url htttp://127.0.0.1/sql.php Οχι δεν ασχολήθηκα παραπάνω, δεν θα χανουμε 2 μέρες καθε εβδομάδα για εργασία ασφάλεια. Πιθανον το sqlmap να το λεει non injectable επειδη αυτος τυπώνει διάφορες βλακείες και επίσης τυπώνει τον αριθμό της σειράς αν θυμάμαι, ή κατι τέτοιο οπότε το sqlmap δεν παίρνει τα αποτελέσματα που περιμένει και τυπώνει not injectable (πχ το sqlmap δίνει επίτηδες λανθασμένα queries για να διαπιστώσει απο το error που εμφανίζεται τι γλώσσα χρησιμοποιεί η βάση κλπ). Αν κάποιος θελει να κάνει edit to sql.php αρχείο ίσως τον βοηθήσει να ρίξει μια ματιά στα αρχεία που έχει εδώ: http://www.sqlinjection.net/simulation/ (Πόσο δύσκολο ηταν ρε Γενειατάκη να στήσεις κάτι τέτοιο αντι για το εκτρωμα που υπάρχει στο VM? ) Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on October 27, 2015, 13:23:06 pm Το 1ο μισό της εργασίας το κατάφερα τελικά... αλλά άλλαξα το action.php ώστε να δέχεται multi queries...πολλά SQL ερωτήματα δηλαδή που χωρίζονται με ελληνικό ερωτηματικό.
Κατάφερε κανείς τίποτα με το 2ο μισό ? :/ Ή έστω βρήκε κανείς κάτι χρήσιμο να διαβάσω μπας και νιώσω τίποτα ? :-[ Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Gaara on October 27, 2015, 14:23:18 pm κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ; δεν θα χανουμε 2 μέρες καθε εβδομάδα για εργασία ασφάλεια. +1000 Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: pikachu93 on October 27, 2015, 14:38:24 pm Τον ρώτησα αν μπορούμε να κάνουμε το SQL injection χωρίς να μπλέξουμε με php, δηλαδή απλά εισάγοντας κείμενο στα πεδία, και μου είπε πως γίνεται. Απομένει να βρούμε πως :P
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on October 27, 2015, 14:39:35 pm καλά ναι
μην τον εμπιστεύεσαι και πολύ Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Eragon on October 27, 2015, 14:40:35 pm Τον ρώτησα αν μπορούμε να κάνουμε το SQL injection χωρίς να μπλέξουμε με php, δηλαδή απλά εισάγοντας κείμενο στα πεδία, και μου είπε πως γίνεται. Απομένει να βρούμε πως :P Μήπως κατάλαβε το πρώτο μισό του 1ου μέρους? Γιατί εγώ που τον ρώτησα το ίδιο, εβγαλε στο καπάκι τις διευκρινισεις για την εργασία.Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 27, 2015, 15:07:11 pm με την εντολη group_concat() τουλαχιστον το 1 μερος γινεται ( το αλλο δν τ χω κοιταξει ακομα)
το προβλημα ειναι οτι κανει output 1 στοιχειο η φορμα , αλλα με την εντολη την παραπανω τα κανει ολα output πχ ... group_concat(column_name) ... Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: xameno kormi on October 27, 2015, 19:17:53 pm κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ; Ουτε καν, ετσι οπως ειναι δομεμενη η βαση δεν μπορεις να κανεις stacked queries για να κανεις insert δεδομενα. Σκεφτηκα με sqlmap, να κανεις upload shell στον υποτιθεμενεο server και να κανεις μετα insert apo mysql στο shell αλλα δεν με ψηνει να ασχοληθω παραπανω. Εχει κανει κανεις αλλος το 1ο ολοκληρο κ το 2ο να μας πει πως? (Γενικα παντως τραγικος ο τυπος, καμια σχεση με περσυ το μαθημα) πηρες data μεσω sqlmap ? γτ κ εκει που το προσπαθησα μου λεει all tested parameters apear to be not injectable ισως κατι εβαλα λαθος στις παραμετρους παντως εβαλα το url htttp://127.0.0.1/sql.php Οχι δεν ασχολήθηκα παραπάνω, δεν θα χανουμε 2 μέρες καθε εβδομάδα για εργασία ασφάλεια. Πιθανον το sqlmap να το λεει non injectable επειδη αυτος τυπώνει διάφορες βλακείες και επίσης τυπώνει τον αριθμό της σειράς αν θυμάμαι, ή κατι τέτοιο οπότε το sqlmap δεν παίρνει τα αποτελέσματα που περιμένει και τυπώνει not injectable (πχ το sqlmap δίνει επίτηδες λανθασμένα queries για να διαπιστώσει απο το error που εμφανίζεται τι γλώσσα χρησιμοποιεί η βάση κλπ). Αν κάποιος θελει να κάνει edit to sql.php αρχείο ίσως τον βοηθήσει να ρίξει μια ματιά στα αρχεία που έχει εδώ: http://www.sqlinjection.net/simulation/ (Πόσο δύσκολο ηταν ρε Γενειατάκη να στήσεις κάτι τέτοιο αντι για το εκτρωμα που υπάρχει στο VM? ) οχι τελικα εκανα λαθος το sql injection στις παραμετρους οταν το κανεις θα σ βγαλει με τις καταλληλες εντολες / παραμετρους αρκετα ενδιαφεροντα πραγματα το να κανεις upload shell το σκεφτηκα και γω αλλα δεν χρειαζεται απαραιτητα Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: jimPster on October 27, 2015, 21:59:54 pm για το κομματι xss , ψαχνω πως μεσω javascript παιρνεις τα bookmarks κ δν βρισκω τπτ
εχει βρει κανεις τπτ? Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Antipunishment on October 28, 2015, 17:46:57 pm Για το δεύτερο κομμάτι. Bookmarks δεν είναι οι αγαπημένες ιστοσελίδες αλλά και τα link σε μια ιστοσελίδα που σε μεταφέρουν κάπου αλλού? Αν ναι τι από τα δύο θέλει?
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: MG9S on October 28, 2015, 17:58:21 pm Παιδια για το πρώτο κομματι εμενα δεν μου ανοιγει εκεινο το λινκ που μας εδωσε τι παιζει;
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Antipunishment on October 28, 2015, 18:08:00 pm Εννοεί sql οχι sql1
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: et3rn1ty on October 28, 2015, 19:31:41 pm Για το δεύτερο κομμάτι. Bookmarks δεν είναι οι αγαπημένες ιστοσελίδες αλλά και τα link σε μια ιστοσελίδα που σε μεταφέρουν κάπου αλλού? Αν ναι τι από τα δύο θέλει? Τις αποθηκευμένες ιστοσελίδες που έχεις στον browser θέλει Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: et3rn1ty on October 28, 2015, 19:37:19 pm Για το δεύτερο κομμάτι. Bookmarks δεν είναι οι αγαπημένες ιστοσελίδες αλλά και τα link σε μια ιστοσελίδα που σε μεταφέρουν κάπου αλλού? Αν ναι τι από τα δύο θέλει? Τις αποθηκευμένες ιστοσελίδες που έχεις στον browser θέλει Το οποίο είμαι 99.9% σίγουρος ότι δεν γίνεται (τουλάχιστον, όχι με JavaScript ή PHP), αν μπορεί κάποιος να με διαψεύσει. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Antipunishment on October 28, 2015, 20:37:17 pm Quote Το οποίο είμαι 99.9% σίγουρος ότι δεν γίνεται (τουλάχιστον, όχι με JavaScript ή PHP), αν μπορεί κάποιος να με διαψεύσει. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: nohponex on October 28, 2015, 21:04:17 pm Μόνο με addon/plugin στον browser μπορείς να εχεις πρόσβαση στα bookmarks.
πχ για firefox - https://developer.mozilla.org/en-US/docs/Mozilla/Tech/Places/Places_Developer_Guide#Identifying_Items_in_the_Bookmark_System Chrome/Chromium - https://developer.chrome.com/extensions/bookmarks Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Gaara on October 28, 2015, 21:21:33 pm Γενικά του έστειλε κανεις mail με #impossible ?
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: nohponex on October 29, 2015, 17:46:23 pm Μόνο με addon/plugin στον browser μπορείς να εχεις πρόσβαση στα bookmarks. πχ για firefox - https://developer.mozilla.org/en-US/docs/Mozilla/Tech/Places/Places_Developer_Guide#Identifying_Items_in_the_Bookmark_System Chrome/Chromium - https://developer.chrome.com/extensions/bookmarks https://github.com/diracdeltas/sniffly Quote Sniffly is an attack that abuses HTTP Strict Transport Security and Content Security Policy to allow arbitrary websites to sniff a user's browsing history. It has been tested in Firefox and Chrome. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Groucho on October 29, 2015, 18:52:08 pm Εμείς παλιά γιατί κάναμε μόνο μαλακίες για "πολιτικές ασφάλειας βάσης δεδομένων" και "πως να κλειδωνετε το κουτί με τις δισκέτες για να μη σας ρίξουν καναν ιό όταν δε κοιτάτε"; >:( >:( >:(
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Eragon on November 02, 2015, 16:12:36 pm Ασχολήθηκε κανείς με την 3η εργασία? Παρατηρείτε κατανάλωση μνήμης με οποιαδήποτε από τις 2 μεθόδους?
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: gmtms on November 02, 2015, 16:49:03 pm και ούτε καταλαβαίνω γιατί θα'πρεπε Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on November 03, 2015, 11:25:49 am Μπορεί κάποιος που ασχολήθηκε με την εργασία με το sql injection να γράψει πως ακριβώς έκανε το insert? :-\
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: dimi93gr on November 03, 2015, 12:33:03 pm Μπορεί κάποιος που ασχολήθηκε με την εργασία με το sql injection να γράψει πως ακριβώς έκανε το insert? :-\ Αλλαγή σε mysqli_multi_query και στο username : 68'; INSER INTO user ... Ψάξε στο google για το πως να κανεις τις αλλαγέςκαι πως συντάσσεται η insert. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: olgatsim on November 03, 2015, 12:56:13 pm Μπορεί κάποιος που ασχολήθηκε με την εργασία με το sql injection να γράψει πως ακριβώς έκανε το insert? :-\ Αλλαγή σε mysqli_multi_query και στο username : 68'; INSER INTO user ... Ψάξε στο google για το πως να κανεις τις αλλαγέςκαι πως συντάσσεται η insert. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: dimi93gr on November 03, 2015, 12:59:00 pm Μπορεί κάποιος που ασχολήθηκε με την εργασία με το sql injection να γράψει πως ακριβώς έκανε το insert? :-\ Αλλαγή σε mysqli_multi_query και στο username : 68'; INSER INTO user ... Ψάξε στο google για το πως να κανεις τις αλλαγέςκαι πως συντάσσεται η insert. Δεν φαίνεται να υπάρχει. Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Sf(x)dx on November 04, 2015, 00:07:41 am Ερώητηση : Οι διαφάνειες εργαστηρίου ανεβαίνουν κάπου ? Για το εργαστήριο 2 και 3 έχω την εντύπωση πως δεν υπάρχουν στο e-Learning ...
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: xameno kormi on November 04, 2015, 01:16:43 am ειναι στο e-learning , υλικο μαθηματος - > προβληματα ασφαλειας
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Sf(x)dx on November 04, 2015, 04:05:45 am Thank you :)
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: dimi93gr on November 08, 2015, 13:29:37 pm Έχει παρατηρήσει κανείς διαφορά στη μνήμη με τις δύο μεθόδους;
Title: Re: [Ασφάλεια] Απορίες στις ασκήσεις 2015-2016 Post by: Gaara on November 08, 2015, 17:09:54 pm Οχι
|