-



شركة Domi-Owned - IBM / Lotus Domino Exploitation
شركة Domi-Owned - IBM / Lotus Domino Exploitation

تعتبر Domi-Owned أداة تستخدم في تسوية خوادم IBM / Lotus Domino.

ملاحظة: تم اختباره على IBM / Lotus Domino 8.5.2 و 8.5.3 و 9.0.0 و 9.0.1 على نظامي التشغيل Windows و Linux.

المتطلبات:

يستخدم Domi-Owned Python 3 ، والتي يمكن تثبيتها من خلال مدير الحزم الخاص بالتوزيع (apt ، yum ، الخ ...)

قم بتشغيل pip3 install -r requirements.txt لتثبيت وحدات python المطلوبة.

الاستعمال:

اسم المستخدم وكلمة المرور الصالحين ليس مطلوبًا إلا إذا تطلب "names.nsf" و / أو "webadmin.nsf" المصادقة.

  • البصمات:
تشغيل دومي المملوكة للمع بصمة حجة العمل، وسوف URL محاولة لتحديد إصدار خادم Domino، فضلا عن الاختيار إذا "names.nsf" و "webadmin.nsf" يتطلب مصادقة.

إذا أعطيت اسم المستخدم وكلمة المرور، وذلك باستخدام --usernameو --password الحجج، دومي المملوكة سوف تحقق لمعرفة ما إذا كان هذا الحساب يمكن الوصول إلى "names.nsf" و "webadmin.nsf" مع وثائق التفويض.

مثال:
./domi-owned.py fingerprint http://domino-server.com

  • تعداد:
لتعداد ما يمكن الوصول إليه من أدلة Domino العامة أو الافتراضية ، قم بتشغيل Domi-Owned مع وسيطة الإجراء التعداد وعنوان URL الخاص بالخادم. اختياريًا ، قم بتزويد Domi-Owned باسم مستخدم وكلمة مرور ، باستخدام وسيطتي - username و --password ، لمعرفة الأدلة التي يستطيع مستخدم معين الوصول إليها. لاستخدام عرض قائمة كلمات دستور مخصص ، يملك Domi-Owned ملفًا يحتوي على قائمة من أدلة الويب باستخدام وسيطة - wordlist .

مثال:
./domi-owned.py enumerate http://domino-server.com

  • عكس القوة الغاشمة:
لتنفيذ هجوم ضد القوة الغاشمة على خادم Domino ، قم بتشغيل Domi-Owned مع وسيطة الإجراء bruteforce وعنوان URL للخادم وقائمة بأسماء المستخدمين. اختياريًا ، يمكن تحديد كلمة مرور باستخدام الوسيطة --password . إذا لم يتم توفير كلمة مرور ، فسيستخدم Domi-Owned اسم المستخدم ، من قائمة اسم المستخدم ، ككلمة مرور الحساب (على سبيل المثال ، "admin: admin" أو "jsmith: jsmith"). بعد ذلك ، سيحاول Domi-Owned المصادقة على "names.nsf" ، مع إعادة الحسابات الناجحة.

مثال:
./domi-owned.py bruteforce http://domino-server.com usernames.txt --password PASSWORD


  • تفريغ التجزئة:
لتفريغ جميع حسابات Domino باستخدام تجزئة غير فارغة ، قم بتشغيل Domi-Owned مع وسيطة الإجراء hashdump وعنوان URL لوحدة الخدمة. اختياريا، وإمدادات دومي المملوكة للمع اسم المستخدم وكلمة المرور باستخدام --username و --password الحجج. سيؤدي هذا إلى طباعة النتائج على الشاشة وكتابة تجزئة الحساب لفصل الملفات الخارجية ، اعتمادًا على نوع التجزئة (Domino 5 ، Domino 6 ، Domino 8).

مثال:
./domi-owned.py hashdump http://domino-server.com --username USERNAME 
 --password PASSWORD


  • وحدة التحكم السريعة:
يكون Domino Quick Console نشطًا بشكل افتراضي ؛ ومع ذلك ، فإنه لن تظهر إخراج الأوامر الصادرة. الحل لهذه المشكلة هو إعادة توجيه إخراج الأمر إلى ملف ، وفي هذه الحالة 'log.txt' ، يتم عرضه بعد ذلك كصفحة ويب على خادم Domino.

إذا كان quickconsole يعطى حجة العمل، دومي المملوكة سيتم الوصول إلى وحدة التحكم السريع دومينو، من خلال "webadmin.nsf"، مما يتيح للمستخدم لإصدار مواطن يندوز أو لينكس الأوامر. اختياريا، توفير اسم المستخدم وكلمة المرور باستخدام --username و --password الحجج. وسيقوم Dome-Owned باسترداد إخراج الأمر وعرض النتائج في الوقت الحقيقي من خلال مترجم سطر الأوامر. اكتب exit لإنهاء مترجم Quick Console. عند الخروج ، سيحذف Domi-Owned ملف الإخراج "log.txt".

مثال:
./domi-owned.py quickconsole http://domino-server.com --username USERNAME 
 --password PASSWORD

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

-
Image
Dumpzilla - استخراج جميع معلومات الطب الشرعي مثيرة للاهتمام من متصفحات فايرفوكس ، Iceweasel و Seamonkey Dumpzilla الموقع الرسمي   : [www.dumpzilla.org] (   http://www.dumpzilla.org   "موزيلا متصفح   الطب الشرعي   أداة") Manual   : [Español] (   http://dumpzilla.org/Manual_dumpzilla_es.txt   "Manual en español de dumpzilla") / [إنجليزي] (   http://dumpzilla.org/Manual_dumpzilla_en.txt   "Dumpzilla english Manual") SO   : يونكس / وين لقطات الشاشة   : [Dummpzilla] (   http://dumpzilla.org/Screenshots/screenshots.html   "لقطات شاشة dumpzilla") تم تطوير تطبيق Dumpzilla في بيثون 3.x و له استخراج الغرض وجميع معلومات مثيرة للاهتمام الطب الشرعي من فايرفوكس، Iceweasel وسيمانكي   المتصفحات   لتحليلها.   نظرًا لتطويره في Python 3.x ، فقد لا يعمل بشكل صحيح في إصدارات Python القديمة ، خاصة مع بعض الأحرف.   يعمل تحت أنظمة Unix و   Windows   32/64 بت. يعمل في   واجهة   سطر الأوامر   ، بحيث يمكن إعادة توجيه عمليات تفريغ المعلوم
Lire la suite
-
Image
Ethereum Classic (ETC) تم تسجيله بواسطة هجوم مضاعف بقيمة 1.1 مليون دولار لماذا هذا الهجوم يتعلق؟  أسفرت عملية السرقة عن خسارة بقيمة 1.1 مليون دولار من عملة  Classic الرقمية.  انخفضت العملة الرقمية على الفور في السعر بعد صدور الخبر.  كشفت Coinbase يوم الاثنين أنها حددت "إعادة تنظيم سلسلة عميقة" من blockchain Ethereum الكلاسيكية (أو هجوم 51 في المئة من الشبكة) ، مما يعني أن شخص ما يسيطر على غالبية عمال المناجم على الشبكة (أكثر من 50 ٪) قد تعديل تاريخ المعاملة. بعد إعادة تنظيم blockchain Ethereum ، كان المهاجمون قادرين على ما يطلق عليه "إنفاق مزدوج" حول 219،500 ETC باستعادة العملات التي تم صرفها من قبل من المستلمين الشرعيين ونقلهم إلى كيانات جديدة اختارها المهاجمون (عادة ما تكون محفظة في سيطرتهم). "لاحظنا تكرار إعادة تنظيم عميقة من blockchain Ethereum الكلاسيكية، ومعظمها الواردة ضعف تنفق" قال المهندس الأمن Coinbase كافة نيسبيت في  بلوق وظيفة  .  "القيمة الإجمالية للإنفاق المزدوج الذي لاحظناه حتى الآن هي
Lire la suite
-
Image
Metasploit 5.0 - إطار اختبار الاختراق الأكثر استخدامًا في  العالم المعرفة قوة ، خاصة عندما تكون مشتركة. يساعد التعاون بين مجتمع المصدر المفتوح و Rapid7 ، Metasploit فرق الأمان على القيام بأكثر من مجرد التحقق من نقاط الضعف ، وإدارة تقييمات الأمان ، وتحسين الوعي الأمني ​​؛ إنه يمنح المدافعين عن الأسلحة ويبقون على الدوام خطوة واحدة (أو اثنتين) قبل المباراة. أعلنت Rapid7 عن إطلاق Metasploit 5.0 ، الإصدار الجديد يتضمن العديد من الميزات الجديدة الهامة ، وتعتقد الشركة أنه سيكون أسهل في الاستخدام وأكثر قوة. Metasploit هو إطار اختبار الاختراق الأكثر استخدامًا ولديه أكثر من 1500 وحدة تقدم وظائف تغطي كل مرحلة من مراحل اختبار الاختراق ، مما يجعل حياة اختبار الاختراق أسهل نسبيًا. تتضمن أهم التغييرات التي تم إدخالها في Metasploit 5.0 على قواعد بيانات جديدة وأوتومات واجهات برمجة التطبيقات التلقائية ، ووحدات التهرب والمكتبات ، ودعم اللغة ، وتحسين الأداء. Metasploit 5.0 متوفر حاليًا من مشروع GitHub الرسمي. يقول Rapid7 إنه في
Lire la suite