No Image

Log Analysis for Web Attacks [ Incident Handling ]

September 4, 2017 Thin Ba Shane 0

ဒီခါေတာ့ ခါတိုင္းေရးေနက်ပံုစံေတြမဟုတ္ပဲ Blue Team ဆန္ဆန္ေလးေရးဖို႕ စဥ္းစားမိတယ္။ ျပီးေတာ့ခုေနခ်ိန္ခါမွာ Website ေတြကလဲ Attack လုပ္ခံေနရေတာ့ ဟုတ္တာမဟုတ္တာ အသာထား ဘယ္လိုေတြ Log ေတြဖတ္မယ္ စသည္ျဖင့္ နားလည္ထားရေအာင္ ေရးလိုက္တာျဖစ္ပါတယ္။ ဒီေတာ့ က်ေနာ္တို႕ ဇာတ္လမ္းေလးတစ္ခုလုပ္ၾကတာေပါ့။ ဇာတ္လမ္း  ဇာတ္လမ္းထဲမွာ Attacker ပါမယ္ ။ Attacker လဲကိုယ္ပဲျဖစ္မယ္။ [More here … ]

No Image

Hacking Credits in Meet

August 8, 2017 Thin Ba Shane 0

FA တစ္ေယာက္ျဖစ္ခဲ့ေတာ့ FA အခ်င္းခ်င္းကိုယ္ခ်င္းစာမိတယ္ေလ ခုေတာ့ RS ျဖစ္သြားပါျပီ။ Meet ကေနရွာတာေတာ့မဟုတ္ဘူး hehe ဒါေပမဲ့လို႕ တကယ္လို႕မ်ား ေစာ္ရွာခ်င္တဲ့ ညီအစ္ကိုေတြ အသံုးမ်ားတည့္မလားဆိုျပီး ေရးေပးလိုက္တယ္။ Privacy ေဆာက္ရမ္းမိုက္တယ္ဗ်။ ဘာတာဝန္မွမရွိဘူး သူတို႕မွာ hee ။ ဖတ္ၾကည့္ၾကေပါ့ ။ http://meet.com.mm/pages/privacy ဒါနဲ႕ က်ေနာ္လဲ Hi [More here … ]

No Image

Basic Bash Scripting

July 22, 2017 Thin Ba Shane 0

Bash Scripting အေျခခံေလးေတြအရင္ဆံုးစုထားေပးမယ္ ဒါမွေနာက္ပိုင္း tool ေလးဘာေလး ကလိလို႕ရတာေပါ့။ ဒါနဲ႕ က်ေနာ္တတ္နိုင္သေလာက္စုထားေပးတာေနာ္ Bash အရမ္းက်ြမ္းေနတာမ်ိဳးေတာ့မဟုတ္ဘူး။ တခ်ို႕ဟာေလးေတြလိုရင္သံုးရေအာင္ ဒါမွမဟုတ္လဲ သူမ်ားေရးထားတဲ့ bash ေလးဘာေလးနားလည္ရင္လဲ ကိုယ္ရတဲ့ scripting နဲ႕ျပန္ေရးလို႕ရတာေပါ့ ။ Notes သေဘာမ်ိဳးပဲေရးထားတာပါ။ အေသးစိတ္ရွင္းျပတာမ်ိဳးေတာ့မဟုတ္ပါဘူး။ Hello World #!/bin/bash echo [More here … ]

Theory for Internet Of Things

July 18, 2017 Thin Ba Shane 1

#Arduino Myanmar Group က Ko Ye ေရးထားတဲ့ IOT theory အေၾကာင္းေတြကို ဒီမွာတင္ထားဖို႕ Request သြားလုပ္ခဲ့ပါတယ္။ မူလေရးသားသူရဲ႕ ခြင့္ျပဳခ်က္ရျပီျဖစ္တာေၾကာင့္ Ko Ye ေရးေနတဲ႕ အပိုင္းလိုက္ေတြကို ဒီမွာ တစ္စုတစ္စည္းတည္း တင္သြားမွာျဖစ္ပါတယ္ Request POC   (Part 1) [More here … ]

No Image

Powersploit + Metasploit + Tiny85 (Hacking Windows Machine)

July 9, 2017 Thin Ba Shane 0

PowerSploit သံုးတဲ့နည္းေလးနည္းနည္းရွင္းျပမယ္။ သိပ္ေတာ့မခက္ပါဘူး ရွိျပီးသား Powersploit shellcode ကို download လွမ္းဆြဲျပီး Metasploit ရဲ႕ multihandler ကိုလွမ္းခ်ိတ္လိုက္တာပါပဲ။ ဒီေတာ့ အရင္ဆံုး Metasploit ရဲ႕ Handler ကို အရင္ ေျပာျပထားထားလိုက္မယ္။ msfconsole use exploit/multi/handler set payload [More here … ]

No Image

Excel Parser & Web Application

June 5, 2017 Thin Ba Shane 0

Excel နဲ႕ Web Application နဲ႕ ဆက္စပ္ေနတဲ့ အေၾကာင္းေလးေတြ ေရးေပးမယ္လို႕စိတ္ကူးရပါတယ္။ တျခားေၾကာင့္ေတာ့မဟုတ္ဘူး။ ဒါမ်ိဳးေလးေတြက သိထားေတာ့လဲ လိုရင္သံုးလို႕ရတာေပါ့။ Excel Marco Injection  ဒါေလးကိုက်ေနာ္စသိလာတာကေတာ့ XVWA ကိုေျဖေတာ့မွျဖစ္ပါတယ္။ ဘာပဲျဖစ္ျဖစ္ XVWA ကို ေျဖၾကည့္ဖို႕အၾကံေပးတဲ့ Ko Ye Yint Min Thu Htut [More here … ]

XXE Injection Lab [Writeup]

May 27, 2017 Thin Ba Shane 0

Motivation ဒီ Challenge Writeup ေလးကိုမေျဖခင္ Motivation ေလးအရင္ေျပာျပမယ္ 😀 သူက က်ေနာ္႕ကိုစမ္းေျဖၾကည့္ဖို႕ေပးထားတာၾကာျပီဗ်။ ဒါေပမဲ့ normal XXE , Blind XXE ေလာက္ထိကကိုယ္ကေလ့လာဖူးေတာ့ အစကထင္ခဲ့တာ လြယ္မယ္ေပါ့ေလ မေျဖေသးဘူး။ မေန႕ညကမွ ေျဖၾကည့္ဦးမယ္ဆိုျပီး ၾကည့္လိုက္ေတာ့ က်ေနာ္မသိေသးတဲ့အသစ္ျဖစ္ေနတယ္ဗ်။ ဒါနဲ႕ လိုက္ရွာဖတ္ေတာ့ ေတာ္ေတ္ာေလးလန္႕သြားတယ္ ။ ဒီနည္းနဲ႕ Facebook [More here … ]

Brain as SQL Fuzzer

May 24, 2017 Thin Ba Shane 0

ေခါင္းစဥ္ကုိေတာ့လွေအာင္ေပးထားတေပါ့ 😀 တကယ္ေတာ့ Brain ဆိုတာ fuzzer မဟုတ္ပါဘူး။ နားလည္ထားဖို႕လိုတာေလးေတြေရးေပးရင္ Automation ထပ္ျမန္တဲ့အရာေလးေတြရွိတယ္ဆိုတာကိုအဓိကေျပာခ်င္တာျဖစ္ပါတယ္။ Fuzzer ေတြက လူသက္သာတယ္ဆိုေပမဲ့ ISP ေတြရဲ႕ Data charges နဲ႕ျပန္တြက္မယ္ဆိုရင္ သိပ္ေတာ့မစားသာလွဘူး။ တကယ္လို႕သာ Brain နဲ႕ fuzz လုပ္ခဲ့မယ္ဆိုရင္ေတာ့ အခ်ိန္ နဲ႕ ပိုက္ဆံကို [More here … ]

No Image

Dive into XSS

May 23, 2017 Thin Ba Shane 6

က်ေနာ္သတိထားမိသေလာက္ခုေနာက္ပိုင္း ဒီမွာ XSS ကအရမ္းေခတ္စားလာခဲ့တာကိုေတြ႕ရပါတယ္။ ခုေရးတဲ့ အေၾကာင္းအရာဟာ XSS အရမ္းက်ြမ္းေနလို႕ေရးတာ မဟုတ္သလို ဘာျဖစ္ခ်င္ေနမွန္းမသိတဲ့ တခ်ိဳ႕ေတြလဲ သိရေအာင္ ေဆာင္းပါးသေဘာမ်ိဳးေရးေပးတာျဖစ္ပါတယ္။ က်ေနာ္သိထားသေလာက္ပဲေရးတာျဖစ္တဲ့အတြက္ လိုအပ္တာေတြမွားေနတာေတြေတာ့ရွိမွာေပါ့။ မသိတဲ့သူအတြက္ အေထာက္ကူျဖစ္တယ္ဆိုရင္ပဲေက်နပ္တယ္။ XSS ဘာလဲ ဘယ္လဲ ?  alert ထုတ္တာ XSS လို႕ထင္ေနရင္ေတာ့မွားမွာေပါ့ေနာ္။ အဲဒီ [More here … ]

No Image

Cross Site Port Attack / XSPA

May 9, 2017 Thin Ba Shane 0

ဒီအေၾကာင္းက XVWA Walkthrough မွာ လဲ ပါပါတယ္။ ဒီမွာေတာ့ ျမန္မာလို အေျခခံေလးေရးေပးထားမယ္။ ဟိုမွာတုန္းကေတာ့ ကိုယ္ကခပ္တည္တည္နဲ႕ English လိုေတြဘာေတြေရးထားတာ 😀 SSRF ေပါ့။ SSRF ကေတာ့ က်ယ္လြန္းအားၾကီးပါတယ္။ ဒါေၾကာင့္ SSRF ထဲက XSPA ကိုေျပာတာျဖစ္ပါတယ္။ <?php $a=file_get_contents(“http://localhost/data.txt”); echo [More here … ]