Requirement ေတြကေတာ့

• အနည္းဆံုး 8 GB disk space လိုအပ္ပါတယ္

• RAM ကေတာ့ အနည္းဆံုး 512 MB ရွိရမယ္လို ့ဆိုေပမယ့္ 1024 MB ေလာက္ရွိသင့္တယ္လို ့  recommend ေပးထားပါတယ္။

• ISO သို ့မဟုတ္ VM Ware image ကို Kali Linux Site ကေန download လုပ္ဖို ့လိုအပ္ပါတယ္။

အခု ကြ်န္ေတာ္ Kali Linux ( version 1.0.2 ) ကို VM Ware ေပၚမွာတင္ျပီး install လုပ္ပံု အဆင့္ဆင့္ကို တစ္ဆင့္ခ်င္း ရွင္းျပေပးသြားမွာျဖစ္ပါတယ္။ျပီးေတာ့ က်ေနာ္ Ubuntu OS ကို အသံုးျပဳေနတာျဖစ္လို ့VM Ware ကို Ubuntu ေပၚကေနတဆင့္ အသံုးျပဳသြားမွာျဖစ္ပါတယ္။

အရင္ဆံုး အေပၚမွာ ေဖာ္ျပထားတဲ့ Kali Linux ရဲ ့ Official Site ကေနျပီးေတာ့ image file ကို download လုပ္ရမွာျဖစ္ပါတယ္။ အဲ့ဒီ link မွာ download လုပ္တဲ့အခါမွာ အရင္ဆံုး register လုပ္ခိုင္းပါလိမ့္မယ္။ သင့္အေနနဲ ့ name ေတြ email address ေတြ ျဖည့္ျပီး register လုပ္ခ်င္လဲ လုပ္ႏုိင္ပါတယ္။ ဒါမွမဟုတ္ မလုပ္ခ်င္ဘူးဆိုလဲ no problem ပါ။ "No thanks, just want to download!" ဆိုတာေလးကို click လုပ္ျပီး download process ကို စတင္လို ့ရပါတယ္။
download လုပ္တဲ့ေနရာမွာလဲ ISO သို ့မဟုတ္ VM Ware စသည္ျဖင့္ format ေရြးျခယ္နုိင္ပါတယ္။ ဒီမွာေတာ့ က်ေနာ္က VM Ware နဲ ့ install လုပ္မွာ ျဖစ္လို ့ VM Ware ကို ေရြးျခယ္ျပီး "Download Kali"  ကို click လုပ္လိုက္ပါ။
Download လုပ္ျပီးသြားပီဆိုရင္ေတာ့ VM Ware မွာ install လုပ္ဖို ့ အဆင္သင့္ျဖစ္ေနပါျပီ။
အခု ဒီ Tutorial မွာေတာ့ က်ေနာ္က VMWare Player version: 5.0.2 build-1031769 ကို အသံုးျပဳျပီး ျပသသြားမွာျဖစ္ပါတယ္။ အျခား VM Ware version ေတြနဲ ့လည္း အသံုးျပဳႏုိင္ပါတယ္။

Step 1
VM Ware Player ကို ဖြင့္ျပီး Create a New Virtual Machine ဆိုတာကို click လုပ္ပါ။ ဒါဆိုရင္ New Virtual Machine Wizard ဆိုတာ ပြင့္လာမွာျဖစ္ပါတယ္။

Step 2
အဲ့ဒီ screen မွာ I will install the operating system later ဆိုတာကို click လုပ္လုိက္ပါ။ ျပီးရင္ Next ကို ႏွိပ္လိုက္ပါ။

Step 3
Guest operating system အတြက္ Linux ကို ေရြးျခယ္ရပါမယ္။ ျပီးေတာ့ Version အေနနဲ ့ Ubuntu ကို ေရြးျခယ္ျပီး Next ႏွိပ္လုိက္ပါ။

Step 4
Virtual machine name နဲ ့Location ေနရာမွာ သူ default အတိုင္းထားျပီး Next ႏွိပ္ပါ။

Step 5
Specify Disk Capacity အတြက္Max: disk size ေနရာမွာေတာ့ default အေနနဲ ့ 20 GB ထားေပးထားပါတယ္။ ျပီးရင္ေတာ့ Split virtual disk into multiple files ဆိုတာကိုေရြးျပီး Next ႏွိပ္ပါ။

Step 6
ဒီအဆင့္မွာေတာ့ Finish ႏွိပ္ပါ။ ဒါဆိုရင္ေတာ့ virtual machine process ျပီးဆံုးျပီျဖစ္ပါတယ္။

ဘာမွၾကီးၾကီးက်ယ္က်ယ္ မဟုတ္ဘူးဗ် ေပၚတာၾကာပီလုိ ့ေတာ့ထင္တယ္ က်ေနာ္လည္း ပ်င္းပ်င္းနဲ ့ dork ေတြ ေလွ်ာက္ စမ္း ရင္းနဲ ့ေတြ ့တဲ့ဟာေလး မွ်ေ၀ေပးတာပါ။

အရင္ဆံုး www.google.com မွာ inurl:tinybrowser/upload.php ဆုိတာေလးကို copy & paste လုပ္ျပီး search လုပ္လိုက္ပါ။

ဒါဆိုရင္ အထက္က ပံုထဲကအတိုင္း website title မွာ TinyBrowser :: Upload ဆိုျပီးေတာ့ search result ကို ရမွာျဖစ္ပါတယ္။

အဲ့ဒီ result ထဲကမွ အခ်ိဳ ့ site ေတာ္ေတာ္မ်ားမ်ားဟာ title မွာ website directory ပါေဖာ္ျပထားပါတယ္။ အဲ့လို website directory ေဖာ္ျပထားတဲ့ site ကိုပဲ ေရြးျခယ္လုိက္ပါ။

ဒါဆိုရင္ေတာ့ upload လုပ္လို ့ရတဲ့ page ကို ေရာက္သြားမွာျဖစ္ပါတယ္။
Upload ရပီ ဆိုရင္ေတာ့ တစ္ခုပဲဗ် သူက [.php] ဖိုင္ တင္မရဘူး :P
[.html],[.txt],[.jpg],[.gif],[.bmp] စတာေတြကိုေတာ့ တင္လို ့ရတယ္
ဒါေၾကာင့္ deface page ကို image file ဒါမွမဟုတ္ txt file အေနနဲ ့တင္လို ့ရတယ္ေလ :P

ဒီတစ္ခါ Facebook Account တစ္ခုကို Crack လုပ္ဖို ့ျဖစ္ႏုိင္မလား မျဖစ္ႏုိင္ဘူးလား ဆိုတာကို ေလ့လာၾကည့္ၾကရေအာင္။

အရင္ဆံုး Hacking A Facebook Account နဲ ့ Cracking A Facebook Account ဆိုတာ မတူညီတဲ့ term ႏွစ္ခု ျဖစ္တယ္ဆိုတာကို သိထားဖို ့လိုအပ္ပါတယ္။

Hacking A Facebook Account ဆိုတာက foolproof methods ေတြျဖစ္တဲ့ Phishing တို ့ Keylogger တို ့စသည့္ နည္းလမ္းေပါင္းစံု ျဖင့္ account တစ္ခုကို ရယူျခင္းျဖစ္ပါတယ္.... ( မွတ္ခ်က္ ။ ။ အျခား methods ေတြအမ်ားၾကီး ရွိပါေသးတယ္ )

Cracking A Facebook Account ဆိုတာကေတာ့ Bruteforce Attack တို ့ Dictionary Attack တို ့ျဖင့္ password ကို crack လုပ္ျပီ account တစ္ခုကို ရယူျခင္းျဖစ္တယ္လို ့ အၾကမ္းဖ်င္းအားျဖင့္ ဆိုႏုိင္ပါတယ္။

Bruteforce Attack

Bruteforce Attack ဆိုတာကေတာ့ အေျခခံအက်ဆံုး cracking method တစ္ခုျဖစ္ပါတယ္။ Bruteforce Attack ဟာ ျဖစ္ႏုိင္ေျခရွိတဲ့ password combination ေတြကို correct password ရသည္အထိ  တုိက္ဆိုင္ စစ္ေဆးေပးတဲ့ method ျဖစ္ပါတယ္။  ဒါေပမယ့္ password က ရွုပ္ေထြးေလေလ correct password ရဖို ့ အခ်ိန္ပို ၾကာေလေလ ပါပဲ။

အဲ့ဒါနဲ ့ပတ္သတ္လို ့ ေအာက္က table ေလးကို ၾကည့္ၾကည့္ပါ။

Dictionary Attack

Bruteforce Attack နဲ ့ Dictionary Attack တို ့မွာ ကြာျခားခ်က္က တစ္ခုတည္းရွိပါတယ္။ အဲ့ဒါကေတာ့ Dictionary Attack မွာ မိမိစိတ္ၾကိဳက္ try ခ်င္တဲ့ password ကို try လုပ္ႏုိင္တဲ့ အခ်က္ပါပဲ။ နားရွဳပ္သြားလားမသိဘူး :D
Dictionary Attack မွာ wordlist ကို လြတ္လြတ္လပ္လပ္ စိတ္ၾကိဳက္ေရြးျခယ္ပိုင္ခြင့္ရွိပါတယ္။

ေအာက္မွာေဖာ္ျပထားတဲ့ Video Tutorial ကို ၾကည့္ျခင္းျဖင့္ Dictionary Attack ကို ပိုမို သေဘာေပါက္လိမ့္မယ္လို ့ထင္ပါတယ္။

Mozilla Firefox ဟာ Kali Linux မွာပါတဲ့ Default Browser ျဖစ္တဲ ့ Iceweasel နဲ ့ႏွိဳင္းယွဥ္ရင္ အသံုးျပဳရတာ User Friendly ျဖစ္မယ္လို ့က်ေနာ္ထင္ပါတယ္။ က်ေနာ္ကိုယ္တုိင္လည္း Iceweasel နဲ ့ယွဥ္ရင္ Firefox ကိုအသံုးျပဳရတာ ပိုႏွစ္သက္ပါတယ္။
ဒါေၾကာင့္ Kali Linux မွာ Mozilla Firefox အသံုးျပဳပံုကို share လုပ္ေပးသြားမွာျဖစ္ပါတယ္။

အဓိက အေရးၾကီးတာက မူလ Kali မွာပါတဲ့ Iceweasel ကို uninstall လုပ္ရမွာျဖစ္ပါတယ္။ မဟုတ္ရင္ သူက Firefox ကို install လုပ္ဖို ့allow ေပးမွာမဟုတ္ဘူးဗ်။

ဒါေၾကာင့္ အရင္ဆံုးအေနနဲ ့
၁။ terminal ဖြင့္ျပီးေတာ့  apt-get remove iceweasel
လို ့ရိုက္ထည့္ေပးလိုက္ပါ။ ဒါဆိုရင္ Iceweasel ကို remove လုပ္သြားမွာျဖစ္ပါတယ္။

၂။ ျပီးရင္ echo -e "\ndeb http://downloads.sourceforge.net/project/ubuntuzilla/mozilla/apt all main" | tee -a /etc/apt/sources.list > /dev/null လို ့ရိုက္ထည့္ျပီးေတာ့ install လုပ္ဖို ့အတြက္ repository ကို add လုပ္ရမွာျဖစ္ပါတယ္။

၃။ apt-key adv --recv-keys --keyserver keyserver.ubuntu.com C1289A29
ဆိုတာကေတာ့ လိုအပ္တဲ့ gpg key ကို import လုပ္ေပးမွာပါ။

၄။ လိုအပ္တဲ့ package ကို update လုပ္ဖို ့အတြက္ကေတာ့  apt-get update ဆိုတဲ့ command ကို အသံုးျပဳရပါမယ္။

၅။ Mozilla Firefox ကို install လုပ္ဖို ့အတြက္ကေတာ့ apt-get install firefox-mozilla-build လို ့ရိုက္ထည့္ရပါမယ္။

၆။ အဲ့ဒီ installation ျပီးသြားရင္ေတာ့ terminal ကေန firefox လို ့ရိုက္ထည့္ျပီး Mozilla Firefox ကို အသံုးျပဳႏုိင္ျပီျဖစ္ပါတယ္။

Pentesters သို ့မဟုတ္ Hacker အမ်ားစုဟာ သူတို ့အတြက္ အသံုး၀င္တဲ့ plugin ေတာ္ေတာ္မ်ားမ်ား အသံုးျပဳ လို ့ရတဲ့ Mozilla Firefox Browser ကို အသံုးျပဳၾကတာမ်ားပါတယ္။
ဒါက အရင္တုန္းကပါ အခုဆိုရင္ေတာ့ Chrome Browser မွာ Pentesters ေတြ အသံုး၀င္တဲ ့ extension ေတြ ေတာ္ေတာ္မ်ားမ်ားရွိေနပါျပီ။
အဲ့ဒီ အထဲကမွ အသံုး၀င္မယ္ ထင္တာေလးေတြနဲ ့မိတ္ဆက္ေပးခ်င္ပါတယ္။

XSS Rays

XSS Rays မွာ Scanner, Reverser နဲ ့ DOM inspection tool ေတြပါ၀င္ပါတယ္။

XSS Rays ရဲ ့ Official Description ထဲမွာ ေရးထားတာေတြကေတာ့

Official DescriptionXSS Rays is a security tool to help pen test large web sites. It's core features include a XSS scanner, XSS Reverser and object inspection. Need to know how a certain page filters output? Don't have the source? No problem. XSS Rays will blackbox reverse a XSS filter without needing the source code. 

Websecurify Scanner

Web application attacks ေတြေတာ္ေတာ္မ်ားမ်ားကို detect လုပ္ေပးႏိုင္တဲ့ scanner ျဖစ္ပါတယ္။ ျပီးေတာ့ fully automated ျဖစ္ျပီး user friendly ျဖစ္ပါတယ္။

အသံုးျပဳပံုအဆင့္ဆင့္
- websecurify scanner ကို ေအာက္က link ကေန download လုပ္လိုက္ပါ။
https://suite.websecurify.com/foundation 

- Scan ဖတ္ခ်င္တဲ့ URL ကို ရိုက္ထည့္လိုက္တာနဲ automatic scanning လုပ္သြားမွာျဖစ္ပါတယ္။

HTTP Finder

HTTP Finder ကေတာ့ Http Parameter Pollution attacks ကို အလြယ္တကူ detect လုပ္ႏိုင္ပါတယ္။ HTTP Parameter Pollution ဆိုတာ ေနာက္ဆံုးေပၚ web application attacks တစ္မ်ိဳးပဲျဖစ္ပါတယ္။

HTTP Finder ရဲ ့ Official Description ထဲမွာ ေရးထားတာေတြကေတာ့

HTTP Parameter Pollution (HPP) is a recently discovered web exploitation technique. Please read the NDSS 2010 paper for more details about the technique. HPP Finder is a Chrome extension designed for detecting HPP attempts. HPP Finder can detect URLs and HTML forms that might be susceptible of parameter pollution, but it is not a complete solution against HPP. 

XSS CHEF

XSS CHEF  ဆိုတာ google chrome အတြက္ BEEF (Browser Exploitation Framework) ကို အေကာင္းဆံုး replacement လုပ္ေပးႏုိင္ျပီးေတာ့ exploitation process ေတြကိုလည္း လြယ္ကူေစပါတယ္။

Cookie Editor

Cookie Editor ကလည္း Google Chrome မွာ Hacker ေတြအတြက္ အလြန္ အသံုး၀င္တဲ့ extension တစ္ခုပါပဲ။ အမ်ားအားျဖင့္ session hijacking attacks အတြက္ အသံုးျပဳၾကပါတယ္။
Session Hijacking နဲ ့ပတ္သတ္လို ့က်ေနာ္ introduction သေဘာမ်ိဳးေရးထားတဲ့ ပိုစ့္ရွိပါတယ္ မဖတ္ရေသးရင္ ဒီမွာ သြားဖတ္ႏိုင္ပါတယ္။