حالة الموضوع:
مغلق
  1. .:: RSS ::.

    .:: RSS ::. عضوية آلية

    الأنتساب:
    ‏9 سبتمبر 2011
    المشاركات:
    14,005
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    36
    الإقامة:
    IQ-T34M



    السلام عليكم ورحمة الله وبركاته



    إن شاء الله تكونوا في تمام الصحة والعافية إخواني



    أغلب محترفي مجال أمن المعلومات مولعين بفكرة "كتابة ثغرة البافر أوفر فلو"



    مامعنى بافر ؟

    البافر هو مكان مؤقت في الذاكرة لتخزين البيانات .

    مامعنى بافر أوفر فلو ؟

    تقع البافر أوفر فلو عندما تكون البيانات المرسلة للبافر أكبر من حجم البافر ويحصل ذلك بسبب عدم

    التحقق الكافي من تجاوز حجم البيانات ويؤدي هذا التجاوز إلى فيض البيانات إلى الأماكن المجاورة

    في الذاكرة .






    الآن كيف يمكننا تحقيق هذا الفيض في الذاكرة البشرية ؟!!

    دعنا نأخذ تمرين بسيط .


    [​IMG]


    أنظروا إلى الصورة وحاولوا قرائة لون الكلمة بدون قرائة معنى الكلمة ...



    قوموا بذلك على كل كلمات الصورة بطريقة سريعة بدون توقف مع الإعادة مرتين وثلاث بأكثر سرعة ممكنة.

    تبدو العملية شاقة نوعا ما ؟!! .. وهذا يعود لطبيعة سلوك الدماغ البشري .

    فدماغنا يرى اللون أولا لكنه يتفاعل

    مع الكلمة المكتوبة أولا .

    لذلك فإن الفكرة الطبيعية التي حتكون في دماغنا تحتوي على الكلمة لآاللون ...

    هذا التمرين البسيط يبين لنا إمكانية تنفيذ كود في دماغ البشر يكون معاكس لما يفكر فيه الشخص أو يراه


    حسب درسات أجريت فإنا كبشر نتكلم بمعدل 150 كلمة في الدقيقة لكننا نفكر بمعدل يتراوح بين

    500 و 600 كلمة في الدقيقة . وهذا يعني أن أغلب الناس يستطيعون حفظ نقاشاتنا في ذاكرتهم .

    لذلك فإنه من المستحيل أن نقدر على تحقيق الفيض في الذاكرة البشرية بالإعتماد على السرعة

    في الكلام .

    يجب أن نفهم أيضا حجم القررات التي يتخذها البشر في حياتهم فغالبها يتم إتخاذها بصفة روتينية

    كأخذ قرار حول كيفية الشرب و الأكل ، السياقة ، المشي ... إلخ من القرارات التي نتخذها بدون أن

    نفكر فيها حقيقة .


    هل سبق أنك بعد الإنتهاء من العمل رجعت إلى منزلك ولم تستطع تذكر نوع أول سيارة إعترضتك

    عند خروجك من مقر العمل ؟


    هذا لأنك كنت في حالة ذهنية حيث أن "الاوعي" تبعك

    هو من تولى القيام بماتقوم به دائما بدون وعي وبدون التفكير فيه بحكم إعتيادك عليه .


    فهم كيف يعمل و يفكر البشر تعتبر أسرع وسيلة لتحقيق الفيض في الذاكرة البشرية .



    عملية Fuzzing لالنظام البشري

    مثلما نقوم بعملية Fuzzingعلى البرامج وذلك بإرسال بيانات مختلفة

    الأنواع والأحجام للبرنامج لتحقيق الكراش فيه .

    فيجب أن نفهم أيضا كيف يتفاعل الدماغ البشري مع العديد من أنواع البيانات . مع مراعاة العديد

    من القوانين المتأصلة في العقل البشري التي ينبغي أن نلازمها .

    إذا كنت عند إشارات المرور وجاء شخص لاتعرفه ثم سمحت له أن يضع سيارته أمامك ...

    ففي المرة القادمة عندما تلاقيه في مثل هذا الظرف فإنه سيسمح لك بأن تضع سيارتك أنت أيضا

    أمامه من دون حتى أن يفكر في ذلك ...

    لمذا ؟

    يعود ذلك لقانون التوقعات الذي ينص بالأساس على أن الشخص عادة مايتفق مع توقع ما .

    فإتخاذ القرارات عادة مايكون مرتكزا بمايشعر به الشخص تجاه المطالب التي سيكلف بها

    يمكننا بهذه الطريقة البدأ في إرسال البينات الخبيثة إلى نظام الدماغ البشري.

    قانون التوقعات أو الفرضيات الإعتقاد الباطني الذي له صلة بكلام أو معطى معين .

    نأخذ مثال :

    عبر عماد عن أسفه لإيقافه دراسة الرياضيات قبل تركه جامعة القاهرة .

    ينتج عن هذا الكلام الفرضيات التالية :

    هناك شخص معروف في نفس الوقت لدى المتكلم والمتلقي مثل "عماد"

    عماد ترك دراسة لرياضيات قبل مغادرته جامعة القاهرة .

    عماد كان يدرس الرياضيات قبل مغادرته جامعة القاهرة .

    عماد غادر جامعة القاهرة .

    عماد كان في جامعة القاهرة .

    تنقسم الفراضيات إلى نوعان :


    فرضية فعلية وفراضية محتملة

    الفرضية الفعلية : هي التي لايتم إلغائها بسياق الكلام .

    الفرضية المحتملة هي التي تتفرع من خلال جزء من الكلام وتؤخذ بمعزل عن غيرها ولكن قد تكون أو لاتكون فرضية من الكلام كله .
    مثال :

    قول أن " فريد قال بأن ملك اليابان أصلع " يحتوي على فرضيتان محتملتان :



    هناك شخص معروف بفريد .

    يوجد ملك لليابان .

    من خلال هذان الفرضيتان فإن الفرضية الأولى فقط "بأن هناك شخص معروف بإسم فريد" تعتبر فرضية فعلية لأن الفرضية الثانية ذكرت مسبقا .






    ""أستاذ الرياضيات سامي دائما ما يأتينا في سيارة مرسيدس بيضاء"

    يمكن أن نفترض في هذه الجملة كالآتي :

    أنا أعرف أستاذي

    أستاذ الرياضيات إسمه سامي

    لديه رخصة سياقة

    لديه سيارة مرسيدس بيضاء

    لإستخدام الإفتراض بطريقة فعالة عليك طرح أسئلة بإستعمال الكلمات ، ولغة الجسد وتعابير الوجه

    المناسبة التي تشير إلى أن ماطلبته مقبول فعلا .

    الجوهر الأساسي لهذه القاعدة هو تخطي جدار الحماية ("الوعي البشري") وضمان الدخول مباشرة بصلاحية روت في النظام ("العقل الباطني") .

    أسرع طريقة لحقن الأكواد البرمجية الخاصة بك هو حقنها من خلال الأوامر المضمنة يعني أوامر غير قابلة للتجزئة.

    أدوار الأوامر المضمنة

    هناك بعض المبادئ الأساسية لجعل الأوامر المضمنة تعمل بشكل جيد :

    .

    عادة ماتكون قصيرة وتحتوي على 3 أو 4 كلمات .

    يلزم التركيز فيها قليلا لجعلها فعالة .

    إخفائها في جمل عادية يعطيها أكثر فعالية.

    تعابير الوجه ولغة الجسد يجعلانها أكثر فعالية .

    الأوامر المضمنة تحضى بشعبية كبيرة فنجدها مثلا في مجال السويق مثل : "إدفع الآن " ، " إشتر الآن " ... إلخ

    لكي يكون الشيلكود ناجح وفعال فنحن نقوم بدمجه داخل أكواد ...

    نفس الشيء بالنسبة للأوامر المضمنة نحتاج إلى دمجها داخل جمل لمساعدتها في إيجاد طريقها .

    يمكن أن نستعمل عبارات من هذا القبيل "كما أنك... " "بإستطآعتك أن ..." ماهو شعورك حين ..."

    تقوم هذه العبارت بإنشاء "عاطفة" و"فكرة" تسمح لنا ببحقن أكواد داخل "العقل الباطني"

    مثلا : إذا كنت في نقطة بيع وتريد إستعمال الأوامر المضمنة فيمكنك إستخدام جملة مثل هذه :

    "عندما تشتري منتوج مثل هذا من شخص مثلي ماهي الوضائف المهمة بالنسبة لك ... ؟؟"

    العبارات الملونة بالبرتقالي هي التي يجب التركيز عليها ومن جهة أخرى فإن الجملة تدعو الشخص

    لإستخدام ذاكرته للتفكير في لحظة شرائه للمنتوج ومايهمنا فعلا هنا هو حقن الكود عند إنتاجه

    هذه الفكرة (تفكيره في لحظة شرائه للمنتوج)

    إذا ركزنا على الكلمات الملونة فقط فسيبدو ذلك غريبا للمتلقي ويتسبب ذلك في إخافته من الأوامر المضمنة

    مثل مايقع في البفر أوفر فلو العادية فإن المعلومة يجب أن تكون مناسبة للأمر أو الكومند التي نحاول حقنها .

    جمع كل شيء مع بعض

    مثلما شفتم إخواني فإن هذا المجال واسع وشاسع ويستوجب والممارسة والتطبيق للتمكن فيه

    ، ولانريد من خلال ذلك رسم صورة لي يبدو كأنه خدعة عقلية ، مجرد أن تقول لشخص "مذا لو

    إشتريت من عندي .. ؟ لن يكون نافعا في كل الأحوال ... إذا لمذا نستعمل هذه الأوامر ؟

    ماذكرته إلى الآن يساعد في إنشاء منهج عمل مناسب لسهولة تطبيق الهندسة الإجتماعية

    ويساعدك تعليم مايجب البحث عليه وكيف يتم التعامل مع شخص يحاول إستغلال هذه المعلومات ضدك.



    بكل بساطة المعادلة تبدو كالتالي :
    كود PHP:

    shellcode
    = "قانون التوقعات"

    shellcode += " تعابير إضافية لملئ الفراغات في الذاكرة"

    shellcode += "الأوامر المضمنة"


    إبدأ بالجمل ، لغة الجسد والتعابير التي تنتج فراضيات ومن ثم لخص الفراضيات التي تساألت عنها

    ، ثم قم بتعبئة العقل بتعابير تسهل عليك دمج الكود ضمنا ، وفي نفس الوقت قم بدمج الكود ضمن

    هذه التعابير .

    تستطيع من خلال هذه الوصفة تحقيق الفيض في الذاكرة البشرية لكن يجب عليك أن تتمرن عليها

    جيدا قبل أن تنجح في تطبيقها بشكل جيد ، تدرب عليها عند الدراسة ، في مكان العمل ، في

    منزلك ... من خلال تمارين بسيطة مثل أنك تحاول إذا كان من الممكن أن تجعل زميلك يجلب لك

    كأس شاي فتقول : "ياطارق أرى أنك متجه إلى المطبخ هل أحضرت لي كأس شاي مع قليل من اللوز من فضلك ؟؟

    حاول إستخدامها في مهام كبرى لنرى مدى بعد ماحققته بفضلها ،حاول إستخدامها للحصول على

    إرتباطات مع الناس وأخير إستخدمها لترى حجم المعلومات التي يمكنك أن تحصل عليها ، وكم من

    الأوامر التي يمكن حقنها لنرى كيف عملت معك هذه الوصفة : )


    في أمان الله

     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة