ພາສາຍອດນິຍົມປີ 2013

ພາສາຍອດນິຍົມໃນປີ 2013
Python 29.8% *-* ງູກິນ

ປຽບທຽບ 3 ຍັກໃຫຍ່ແຫ່ງໂລກ CMS !! ຕ້ອງອ່ານ !!

ແຈກ!! ລະຫັດເບິ່ງໜັງຟຣີທີ່ເວັບ "Nungonline"

 
ມື້ນີ້ອາລົມດີເປັນພິເສດເລີຍວ່າຈະແຈກລະຫັດເບິ່ງໜັງຟຣີືໆ ເປັນເວັບໜຶ່ງທີ່ມີໜັງຫຼາຍ...
www.nungonline.com
ແນະນຳໃຫ້ໂຫຼດເອົາ(ໃຊ້ IDM, Orbit ...) ເພາະຖ້າຈະເບິ່ງອອນໄລນ໌ເລີຍແມ່ນເນັດບ້ານເຮົາຄືຊິຍັງໄວບໍ່ພໍ
ແລະອີກຢ່າງທີ່ສຳຄັນສຸດແມ່ນ : ຕ້ອງ Logout ທຸກໆເທື່ອເພື່ອຄົນອື່ນຈະໄດ້ໃຊ້ລະຫັດຕໍ່ເດີ້
ຫ້າມປ່ຽນລະຫັດເດີ້ ຜູ້ຂຽນຄ້ານນຳໄປປ່ຽນຄືນ ຫະຫະ

ກົດເພື່ອເບິ່ງລະຫັດ

ຖ້າໝົດອາຍຸແລະແຈ້ງໄດ້ເດີ້ (^-^)

[Python] MD5 Bruceforce ໃຊ້ Wordlist

ສຳລັບ Wordlist ແມ່ນຫາໃນ Google ເນາະມີໃຫ້ໂຫຼດຫຼາຍໆ ຫຼືໃຜໃຊ້ Backtrack ກໍ່ມີ Wordlist ໃຫ້ແລ້ວໃນ Directory : /pentest/password/wordlist (ຕິເບາະຖ້າຈື່ບໍ່ຜິດ 55)

Code Wars: Ruby vs Python vs PHP [Infographic]

credit : udemy blog

ວິທີອັບໂຫຼດ Shell ຜ່ານທາງ phpmyadmin

ສະບາຍດີພີ່ນ້ອງ ຄົນລາວເຮົາ
ໂອກາດນີ້ຂ້າພະເຈົ້າ ຈະມາເວົ້າເລື່ອງອັບ ຫອຍ (shell) ຂຶ້ນໄປເທິງ Server ຜ່ານທາງ phpMyAdmin
ກໍລະນີນີ້ແມ່ນເຮົາຮູ້ username & password ຂອງ phpMyAdmin ແລ້ວບໍ່ວ່າຈະຈາກວິທີໃດ ຈາກ sql injection ບໍ ຫຼືຈາກ file backup ທີ່ເຈົ້າຂອງເວັບບັງເອີນປະໄວ້ໂດຍບໍ່ທັນໄດ້ຄິດຫຍັງປະມານນີ້ເນາະ
.. ບົດຄວາມນີ້ແມ່ນຈຳລອງໃນ localhost ຂອງໂຕເອງນໍ ຜ່ານ Appserv
ອ່ະເຮົາກະມາເລີ່ມກັນເລີຍດີກວ່ານໍ

ກ່ອນອື່ນໃຫ້ເຂົ້າໄປphpmyadmin ແລ້ວ login ເຂົ້າໄປ ແລ້ວກໍ່ເບິ່ງຕາມຮູບນີ້

ບາດນີ້ມາເບິ່ງ ເບິ່ງ Code ນີ້ ເຊິ່ງເປັນພາສາ sql ຈະມີການສ້າງ database, table ແລະກະຍັດ code php ເຂົ້າໄປໃນ table ນັ້ນຫຍັງປະມານນີ້ເນາະ

ສຳລັບ Shell ໂຕນີ້ແມ່ນສາມາດໃຊ້ຄຳສັ່ງຄືເຮົາກຳລັງໃຊ້ CMD ໃນວິນໂດ້ເລີຍເນາະ ວິທີໃຊ້ກໍ່ shell.php?cmd=[commands] ຫຼັງຈາກນັ້ນກໍ່ລອງເຂົ້າເບິ່ງເລີຍເນາະ ຕົວຢ່າງ:
http://localhost/shell.php?cmd=dir

GAME OVER!

ກໍລະນີນີ້ເຮົາກໍ່ສາມາດສ້າງ user ແລ້ວກໍ່ເພີ່ມສິດເປັນ admin ແລ້ວກໍ່ remote ເຄື່ອງເປົ້າໝາຍໄດ້ເລີຍ (ຖ້າ remote ເປັນ "on") 
ຫຼືຖ້າບໍ່ຢາກໃຊ້ shell ແບບນິເຮົາກໍ່ສາມາດຍັດ php code ທີ່ເປັນ ໄຟລ໌ upload ຂຶ້ນໄປແທນແລ້ວຄ່ອຍອັບຫອຍຈຳພວກ c99 , r57 ບໍ່ ແບບນິກໍ່ໄດ້ນໍ

ຫວັງວ່າທຸກທ່ານຈະເຂົ້າໃຈ ແລະ ມັກບົດຄວາມຂອງຂ້າພະເຈົ້ານໍ  
ຖ້າມີບ່ອນໃດຜິດບໍ່ຖືກວ່າງໃດກໍ່ບອກໄດ້ເດີ້ ເຮົາຈະນຳມາປັບປຸງໃຫ້ດີໆຂຶ້ນ

ຂໍຂອບໃຈ.

Google Drive : Script Execution [ການໂຈມຕີແບບ Phishing]

ອ່ານຈາກຫົວຂໍ້ກໍໜ້າຈະຮູ້ແລ້ວເນາະວ່າກ່ຽວກັບ Google Drive. ຫຼັງຈາກທີ່ໄດ້ໄປຮ່ວມງານ GOOGLE Service Workshop ຕອນ Google Drive ຂອງ GDG Vientiane ທີ່ໄດ້ຈັດຂຶ້ນ ວັນທີ 6 ກໍລະກົດ 2013 ທີ່ຄະນະວິສະວະກຳສາດ ມະຫາວິທະຍາໄລ ແຫ່ງຊາດ ກໍ່ໄດ້ຄິດວ່າລະບົບນິຊິມີຊ່ອງໂວ່ຫຍັງບໍ .. ກໍ່ນັ່ງຫາໆໄປ ບັງເອີນເຫັນບົດຄວາມໜຶ່ງທີ່ TheHackerNews.com ເປັນການຄົ້ນພົບເຫັນຂອງນັກກວດສອບລະບົບຊາວອິນເດຍທ່ານໜຶ່ງ ເພິ່ນວ່າ Google Drive ມີວິທີ Execute script ຜ່ານໜ້າເວັບ Google Drive ໄດ້ເລີຍເຊິ່ງເພິ່ນກໍ່ແຈ້ງໄປທາງ Google ຮຽບຮ້ອຍແລ້ວແຕ່ ທາງ Google ບອກວ່າມັນບໍ່ແມ່ນບັ໋ກ ເປັນສິ່ງທີ່ເຂົາເຮັດມາເພື່ອການນີ້ຢູ່ແລ້ວ .. ( ?? ງົງຫຼາຍເຕີບ ຫະຫະ) ດັ່ງນັ້ນທາງ Google ກໍ່ເລີຍບໍ່ໄດ້ແກ້ໄຂຫຍັງຈົນເຖິງປັດຈຸບັນ ນີ້.
ແລ້ວອັນທີ່ເວົ້າມາທາງເທິງນີ້ມັນສາມາດເຮັດຫຍັງໄດ້ແດ່ ? ແລະຊິມີຜົນຕໍ່ຜູ້ໃຊ້ຢ່າງພວກເຮົາຢູ່ບໍ ?
ຄຳຕອບ: ແມ່ນຖ້າເປັນຜູ້ໃຊ້ທີ່ເປັນບຸກຄົນທຳມະດາ ໂອກາດຖືກດັກເອົາ email & password ກໍ່ອາດມີສູງແດ່ .
ຄຳຖາມຕໍ່ມາແລ້ວເພິ່ນເຮັດຈັ່ງໃດ?
ເນື່ອງຈາກບັນຫາແມ່ນເຮົາສາມາດ execute script ໄດ້ຜ່ານໜ້າ Google drive ໄດ້ເລີຍຈຶ່ງເປັນຊ່ອງທາງຂອງການເຮັດ Phishing ຫຼື ປ່ອຍ Malware ໆລໆ.
ແທນທີ່ໆ Google Drive ຈະນຳເຮົາໄປໜ້າ Download ໄຟລ໌ດັ່ງກ່າວແຕ່ມັນພັດ run ໄຟລ໌ນັ້ນແທນເຮັດໃຫ້ເຮົາຄິດວ່າໜ້າດັ່ງກ່າວແມ່ນໜ້າຂອງ Google ແທ້ໆເພາະ url ກໍ່ເປັນ url ຂອງ Google ເຮັດໃຫ້ຄົນສ່ວນຫຼາຍເຊື່ອແລະໄວ້ວາງໃຈ.
ຕົວຢ່າງ Link ດາວໂຫຼດໄຟລ໌ຂອງ Google Drive ຈະເປັນແນວນີ້:

https://docs.google.com/uc?authuser=0&id=0B1Aj082HRqaIaW5YclV3aS1mTEk&export=download

ແຕ່ຖ້າຈະໃຫ້ມັນ execute ກໍ່ພຽງແຕ່ປ່ຽນຈາກ download ເປັນ view

https://docs.google.com/uc?authuser=0&id=0B1Aj082HRqaIaW5YclV3aS1mTEk&export=view

ເທົ່ານີ້ກໍ່ສາມາດ run script ຂອງຕົວເອງຢູ່ Google Drive ໄດ້ ແລ້ວ
ແລ້ວເຮົາຈະຖືກໂຈມຕີແບບ Phishing ແນວໃດ ?
ວິທີງ່າຍໆທຳມະດາແມ່ນ Upload ໄຟລ໌ html ທຳມະດາຂຶ້ນໄປ

ໂດຍໄຟລ໌ທຳມະດານີ້ອາດຈະ Copy Source Code ຈາກໜ້າ Login ຂອງ Google Drive ແລ້ວ paste ໃສ່ editor ແລ້ວປັບປ່ຽນ ໃຫ້ສົ່ງຂໍ້ມູນ email & password ເຂົ້າໄປ Server ຂອງຜູ້ບໍ່ຫວັງດີແທນທີ່ຈະສົ່ງໄປ Server ຂອງ Google ເພື່ອ Login
ພາບຕົວຢ່າງ:

ໃນນີ້ແມ່ນການປ່ຽນປາຍທາງຂອງ Login Form ໄປເວັບຂອງຜູ້ບໍ່ຫວັງດີ, ໃນນີ້ກໍ່ຄື sengxay.site88.net/get.php ສ່ວນ get.php ກໍ່ຈະທຳການ ບັນທຶກຂໍ້ມູນ email & password ໄວ້ແລ້ວ redirect ທ່ານໄປສູ່ໜ້າປົກກະຕິ.
ໃນນີ້ລິ້ງດາວໂຫຼດຂອງໄຟລ໌ login.html ແມ່ນ

https://docs.google.com/uc?authuser=0&id=0B1Aj082HRqaIV1lVMUNqNzZoaVk&export=download

ແລ້ວປ່ຽນຄຳວ່າ "download" ເປັນ "view"

https://docs.google.com/uc?authuser=0&id=0B1Aj082HRqaIV1lVMUNqNzZoaVk&export=view

ແລ້ວສົ່ງໄປໃຫ້ເຫຍື່ອຄ້າຍໆເຮັດ Social Engineering ແຕ່ສົມຈິງກວ່າຍ້ອນເຮົາໄດ້ Url ຂອງ Google ມາເຮັດ phishing ເລີຍ, ເມື່ອເຂົ້າໄປເບິ່ງ Link ດັ່ງກ່າວກໍ່ຈະເຫັນຄືໜ້າ Login ປົກກະຕິ ຄ້າຍໆວ່າເຈົ້າຕ້ອງ Login ກ່ອນຈັ່ງສາມາດອ່ານ ໄຟລ໌ດັ່ງກ່າວໄດ້.

ສັງເກດຈຸດຜິດປົກກະຕິຢູ່ URL ຈະເປັນແບບນີ້

https://doc-14-8g-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/95fs3ft6e6d9jrmvjip9epbnrbspcs7s/1373421600000/06382057833040067281/*/0B1Aj082HRqaIV1lVMUNqNzZoaVk?h=16653014193614665626&e=view

ແຕ່ຖ້າເຮົາບໍ່ຮູ້ກໍ່ຈະພິມ email & password ເຂົ້າໄປປົກກະຕິ ແຕ່ພັດຖືກດັກແລ້ວສົ່ງໄປໃຫ້ Hacker ຊ້ຳ

email & password ຂອງເຫຍື່ອກໍ່ຖືກດັກເປັນທີ່ຮຽບຮ້ອຍ

*ຄວນປ້ອງກັນແນວໃດ ?
ຕ້ອງລະມັດລະວັງໃຫ້ຫຼາຍຂຶ້ນ
ຄວນສັງເກດ Link ກ່ອນຈະເຂົ້າລະບົບຫຍັງທີ່ສຳຄັນຢູ່ສະເໝີ

ສ່ວນວ່າໃຜຄິດຈະເຮັດກໍ່ແນະນຳຢ່າເຮັດເລີຍ ເພາະມັນສ່ຽງທີ່ຈະຖືກຈັບໄດ້ ງ່າຍໆ ເນາະ ;)

ເປັນແນວໃດອ່ານແລ້ວຮູ້ສຶກວ່າໂລກເຮົາຢູ່ຍາກຂຶ້ນນັບມື້ບໍ່ 55 , ບົດຄວາມນີ້ ຂ້າພະເຈົ້າຕັ້ງໃຈຂຽນ ແລະໃຊ້ເວລາຫຼາຍຊົ່ວໂມງຫຼາຍ (ບໍ່ເຄີຍຂຽນຫຍັງແບບນິຈັກເທື່ອ) ເປັນແນວໃດກໍ່ຕິຊົມ ຄອມເມັ້ນໄດ້ ເດີ້