ابزار Pixload یکی از ابزار های پیشرفته در حوزه تست نفوذ میباشد که به واسطه آن توانایی ساخت و تزریق Payload های مخرب را به سمت فایل های تصویری با فرمت های متنوع را داریم. این ابزار توانایی ایجاد فایل Polyglot را برای ما دارد که به واسطه آن میتوانیم مکانیزم های امنيتي خاصی مانند CSP را دور بزنیم و از این بابت این ابزار در فرآیند های تست نفوذ وب بسیار پرکاربرد میباشد زیرا به واسطه آن میتوانیم فایل هارا بر روی سرور وب سایت مورد نظر آپلود کنیم و با اجرا کردن آن فایل دسترسي مورد نظرمان را از سمت سیستم مقابل ویا سرور وب سایت مقابل به دست بیاوریم از این رو PixLoad سازگاری بسیار خوبی با اکثر مرورگرهای وب مانند Safari و IE و Edge و Firefox و دیگر مرورگر های مطرح دنیا دارد.
درواقع در حوزه کامپیوتر به فایل های که با فرمت های متنوع و زبان های برنامه نویسی مختلف نوشته میشوند و درکنار هم قرار میگیرند فایل های Polyglot میگویند.
برای اینکار ابتدا آن را از GitHub آن دانلود میکنیم پس از دانلود و Clone کردن فایل PixLoad از GitHub
$ git clone https://github.com/chinarulezzz/pixload.git
همچنین از دستور زیر برای نصب پیش نیازات آن استفاده میکنیم:
$ sudo apt install libgd-perl libimage-exiftool-perl libstring-crc32-perl
شما میتوانید از Payload های Default خوده PixLoad نیز استفاده کنید که ما در این آموزش از PixLoad و همچنین در قسمت پایین هر تصویر نحوه وارد کردن Payload را نیز قرار میدهیم از این مباحث که بگذریم باید برویم سراغ اصل مطلب که نحوه ساخت Payload مخرب در قالب تصویر میباشد برای اینکار کافی است وارد دایرکتوری مربوط به PixLoad شوید و براساس نیازتان و فایل فرمت مورد نظرتان شروع به ایجاد تصاوير کنید، برای مثال:
$ ./bmp.pl [-payload 'STRING'] -output payload.bmp
$ ./gif.pl [-payload 'STRING'] -output payload.gif
$ ./jpg.pl -place COM -output payload.jpg
$ ./jpg.pl -place DQT -output payload.jpg
$ ./png.pl [-payload 'STRING'] -output payload.png
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو
متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider میباشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود