ProHoster > Блог > Maamulka > Qalab shabakadeed, ama xaggee laga bilaabayaa sidii pentester ahaan?
Qalab shabakadeed, ama xaggee laga bilaabayaa sidii pentester ahaan?
Sii wad ka hadal qalabka waxtarka leh ee pentesters. Maqaalka cusub waxaan ku eegi doonaa qalabka lagu falanqeeyo amniga codsiyada shabakada.
Saaxiibkeen BeLove Waxaan horay u sameeyay wax sidan oo kale ah xulashada qiyaastii todoba sano ka hor. Waxa xiiso leh in la arko qalabkee xajistay oo xoojiyay boosaskooda, iyo kuwa gadaal ka galay oo hadda dhif ah loo isticmaalo.
Ogsoonow in tani ay sidoo kale ku jirto Burp Suite, laakiin waxaa jiri doona daabacaad gooni ah oo ku saabsan isaga iyo pluginsyada waxtarka leh.
ururin - Aaladda Go ee raadinta iyo tirinta DNS subdomains iyo khariidaynta shabakada dibadda. Amass waa mashruuc OWASP ah oo loogu talagalay in lagu muujiyo sida ay ururada internetka ugu egyihiin qof shisheeye ah. Amass waxay siyaabo kala duwan u heshaa magacyo-hoosaadyada; qalabku wuxuu isticmaalaa labadaba tirinta soo noqnoqda ee subdomains iyo raadinta il furan.
Si loo ogaado qaybaha iskuxiran ee shabakadaha iyo nambarada nidaamka madaxbannaan, Amass waxay isticmaashaa ciwaanada IP-ga ee la helay inta lagu jiro hawlgalka. Dhammaan macluumaadka la helay waxaa loo isticmaalaa in lagu dhiso khariidad shabakad.
Faa'iido:
Farsamooyinka ururinta macluumaadka waxaa ka mid ah:
* DNS - raadinta qaamuuska subdomains, bruteforce subdomains, raadinta caqli badan iyadoo la adeegsanayo isbedello ku saleysan subdomains la helay, beddelo weydiimaha DNS iyo raadinta server-yada DNS halkaasoo ay suurtagal tahay in la sameeyo codsi wareejin aag (AXFR);
Waxay bixisaa caymiska ugu dhammaystiran ee hawsha raadinta DNS subdomains.
Ogolaansho:
Ka digtoonow amass.netdomains - waxay isku dayi doontaa inay la xiriirto ciwaan kasta oo IP ah oo ku jira kaabayaasha la aqoonsaday oo ay ka hesho magacyada domain ee raadinta DNS iyo shahaadooyinka TLS. Tani waa farsamo "mid sare leh", waxay muujin kartaa hawlahaaga sirta ah ee ururka la baarayo.
Isticmaalka xusuusta sare, waxay ku cuni kartaa ilaa 2 GB ee RAM meelo kala duwan, taas oo aan kuu oggolaan doonin inaad ku shaqeyso qalabkan daruuraha VDS raqiis ah.
Altdns
Altdns - qalab Python ah oo loogu talagalay ururinta qaamuusyada si loo tiriyo domain-hoosaadyada DNS. Waxay kuu ogolaataa inaad dhaliso noocyo badan oo subdomains ah iyadoo la isticmaalayo isbeddello iyo isbeddello. Taas awgeed, ereyada inta badan laga helo subdomains ayaa loo isticmaalaa (tusaale: test, dev, staging), dhammaan isbeddellada iyo isbeddellada ayaa lagu dabaqaa subdomains-hoosaadyo hore loo yaqaan, kuwaas oo loo gudbin karo gelinta Altdns. Soosaarku waa liis kala duwanaansho-hoosaadyo hoose oo jiri kara, liiskan waxaa mar dambe loo isticmaali karaa xoogga ciribtirka DNS.
Faa'iido:
Si fiican ayuu ula shaqeeyaa xogo waaweyn
aquatone
aquatone - waxa hore loogu yaqaanay qalab kale oo lagu baadho subdomains, laakiin qoraaga laftiisu wuu ka tanaasulay kan Amass-ka aan soo sheegnay. Hadda aquatone ayaa dib loogu qoray Go waxayna aad ugu sii jeedaan sahamin horudhac ah oo laga sameeyay mareegaha. Si tan loo sameeyo, aquatone waxay dhex maraa xayndaabyada la cayimay waxayna ka raadisaa boggaga internetka ee dekedo kala duwan, ka dib markaa waxay aruurisaa dhammaan macluumaadka ku saabsan goobta waxayna qaadataa sawir-qaadis. Ku habboon sahamin horudhac ah oo degdeg ah oo boggaga internetka ah, ka dib markaa waxaad dooran kartaa bartilmaameedyada mudnaanta leh ee weerarrada.
Faa'iido:
Soosaarku wuxuu abuuraa koox faylal ah iyo faylal ku habboon in la isticmaalo marka la sii wado la shaqeynta aaladaha kale:
* Warbixinta HTML oo leh sawirro la ururiyay iyo cinwaanno jawaabeed oo ay isku mid yihiin;
* Fayl leh dhammaan URL-yada laga helay mareegaha;
* Fayl gareeya tirakoobka iyo xogta bogga;
* Gal ay ku jiraan faylal ay ku jiraan madax-jawaab celineed oo laga helay bartilmaameedyada;
* Gal ay ku jiraan faylal ay ku jiraan jidhka jawaabta ee bartilmaameedyada la helay;
* Sawirada shabakadaha la helay;
Waxay taageertaa la shaqaynta warbixinnada XML ee Nmap iyo Masscan;
Wuxuu adeegsadaa Chrome/Chromium madax la'aan si uu u sameeyo sawir-qaadista.
Ogolaansho:
Waxaa laga yaabaa inay soo jiidato dareenka nidaamyada ogaanshaha soo gelitaanka, sidaas darteed waxay u baahan tahay qaabeynta.
Sawirka shaashadda waxaa loo qaaday mid ka mid ah noocyadii hore ee aquatone (v0.5.0), kaas oo goob-hoosaadka DNS ee la hirgeliyay. Noocyadii hore waxaa laga heli karaa at bogga sii daayo.
MassDNS
MassDNS waa qalab kale oo lagu helo DNS subdomains. Farqiga ugu weyn ayaa ah in ay si toos ah u sameyso weydiimaha DNS xaliyayaal badan oo kala duwan oo DNS ah oo ku sameeya xawaare aad u badan.
Faa'iido:
Degdega - awood u leh inuu xalliyo in ka badan 350 kun oo magac ilbiriqsikii.
Ogolaansho:
MassDNS waxay ku keeni kartaa culays weyn oo ku saabsan xaliyayaasha DNS ee la isticmaalo, taas oo u horseedi karta mamnuucida server-yadaas ama cabashooyinka ISP-gaaga. Intaa waxaa dheer, waxay ku dhejin doontaa culeys weyn server-yada DNS ee shirkadda, haddii ay haystaan iyo haddii ay mas'uul ka yihiin domains aad isku dayeyso inaad xalliso.
Liistada xaliyayaashu hadda waa duugoobay, laakiin haddii aad doorato xallinta DNS ee jaban oo aad ku darto kuwa cusub oo la yaqaan, wax walbaa way fiicnaan doonaan.
Sawirka sawirka aquatone v0.5.0
nsec3map
nsec3map waa aalad Python ah oo lagu helo liis dhamaystiran oo ah meelaha la ilaaliyo ee DNSSEC.
Faa'iido:
Si dhakhso leh u ogaanaya martigeliyayaasha aagagga DNS oo leh tirada ugu yar ee weydiimaha haddii taageerada DNSSEC laga furo aagga;
Waxaa ku jira plugin loogu talagalay John the Ripper kaas oo loo isticmaali karo in lagu jebiyo natiijada NSEC3 hashes.
Ogolaansho:
Khaladaad badan oo DNS ah si sax ah looma maareeyo;
Ma jiro isbarbar toos ah oo toos ah oo lagu sameeyo diiwaannada NSEC - waa inaad gacanta ugu qaybisaa goobta magaca;
Isticmaalka xusuusta sare.
Acunetix
Acunetix - iskaanka u nuglaanta webka kaas oo otomaatig u ah habka hubinta amniga codsiyada webka. Wuxuu tijaabiyaa arjiga cirbadaha SQL, XSS, XXE, SSRF iyo dayacanka kale ee shabakada. Si kastaba ha ahaatee, sida scanner kasta oo kale, noocyo kala duwan oo dayacanka web ma beddelaan pentester ah, tan iyo ma heli karin silsilado adag oo dayacan ama dayacan ee macquulka ah. Laakin waxa ay dabooshaa nuglaanta kala duwan, oo ay ku jiraan CVE-yo kala duwan, kuwaas oo laga yaabo in pentester-ku uu illoobay, marka aad bay kuugu habboon tahay in lagaa xoreeyo jeegaga caadiga ah.
Faa'iido:
Heer hoose oo been abuur ah;
Natiijooyinka waxaa loo dhoofin karaa warbixin ahaan;
Wuxuu sameeyaa tiro badan oo hubin ah dayacanka kala duwan;
Iskaanka barbar socda ee martigaliyayaasha badan.
Ogolaansho:
Ma jiro wax ka-saarid algorithm (Acunetix waxay tixgelin doontaa boggaga isku midka ah ee shaqada si ay u kala duwan yihiin, maadaama ay u horseedaan URL-yo kala duwan), laakiin horumariyayaashu waxay ka shaqeynayaan;
Wuxuu u baahan yahay ku rakibida server shabakad gaar ah, kaas oo adkeynaya tijaabinta nidaamyada macmiilka ee xiriirka VPN iyo adeegsiga iskaanka ee qayb go'doonsan oo ka mid ah shabakada macaamiisha maxalliga ah;
Adeegga daraasadda lagu sameeyay ayaa laga yaabaa inuu sameeyo buuq, tusaale ahaan, isagoo u soo diraya weerarro badan oo weerar ah foomka xiriirka ee goobta, taas oo si weyn u adkeyneysa geeddi-socodka ganacsiga;
Waa hanti gaar ah, sidaas awgeed, ma aha xal xor ah.
Waxay kala saari karaan bogag "200 OK" dhabta ah iyo bogag "200 OK", laakiin leh qoraalka "bogga lama helin";
La socda qaamuus waxtar leh oo leh dheelitirnaan wanaagsan oo u dhexeeya cabbirka iyo hufnaanta raadinta. Waxay ka kooban tahay waddooyinka caadiga ah ee ay wadaagaan CMS badan iyo xirmooyinka tignoolajiyada;
Qaab qaamuus u gaar ah, kaas oo kuu ogolaanaya inaad ku guulaysato hufnaan wanaagsan iyo dabacsanaan xagga tirinta faylasha iyo hagayaasha;
Wax soo saar ku habboon - qoraal cad, JSON;
Waxay sameyn kartaa ceejin - hakad u dhexeeya codsiyada, taas oo muhiim u ah adeeg kasta oo daciif ah.
Ogolaansho:
Kordhinta waa in loo gudbiyaa xadhig ahaan, taas oo aan ku habboonayn haddii aad u baahan tahay inaad dhaafto kordhin badan hal mar;
Si aad u isticmaasho qaamuuskaada, waxa ay u baahan doontaa in wax yar laga beddelo qaabka qaamuuska Dirsearch si loo helo waxtarka ugu badan.
wfuzz
wfuzz - Python web app fuzzer. Malaha waa mid ka mid ah wejiyaasha shabakadda ee ugu caansan. Mabda'a waa sahlan yahay: wfuzz wuxuu kuu ogolaanayaa inaad wajahdo meel kasta oo ka mid ah codsiga HTTP, taas oo suurtogal ka dhigaysa inaad wejiso xuduudaha GET/POST, madax HTTP, oo ay ku jiraan kukiyada iyo madaxyada kale ee aqoonsiga. Isla mar ahaantaana, waxay sidoo kale ku habboon tahay xoogga fudud ee hagayaasha iyo faylalka, kuwaas oo aad u baahan tahay qaamuus wanaagsan. Waxa kale oo ay leedahay nidaam shaandheyn dabacsan, kaas oo aad ku sifayn karto jawaabaha mareegaha iyada oo loo eegayo cabbirro kala duwan, kaas oo kuu ogolaanaya inaad gaarto natiijooyin wax ku ool ah.
fuuf - Fuzzer-ka shabakadda ee Go, oo lagu sameeyay "sawirka iyo u ekaanshaha" wfuzz, wuxuu kuu oggolaanayaa inaad xariifto faylasha, hagaha, waddooyinka URL, magacyada iyo qiyamka cabbirrada GET / POST, madax HTTP, oo ay ku jiraan madaxa martida loo yahay xoogga caasinimada ee martigaliyayaasha casriga ah. wfuzz wuxuu kaga duwan yahay walaalkii xawaaraha sare iyo qaar ka mid ah sifooyinka cusub, tusaale ahaan, waxay taageertaa qaamuusyada qaabka Dirsearch.
Faa'iido:
Shaandheeyayaashu waxay la mid yihiin filtarrada wfuzz, waxay kuu oggolaanayaan inaad si dabacsan u habayso xoogga caarada;
Kuu ogolaanayaa inaad fuzz qiyamka madax HTTP, POST xogta codsiga iyo qaybaha kala duwan ee URL, oo ay ku jiraan magacyada iyo qiyamka ee xuduudaha GET;
Waxaad cayimi kartaa hab kasta oo HTTP ah.
Ogolaansho:
Horumarka hoos yimaada.
gobuster
gobuster - Aaladda Go ee sahanka, waxay leedahay laba qaab oo hawleed. Midka ugu horreeya waxaa loo isticmaalaa in lagu caddeeyo faylalka iyo hagayaasha websaydhka, kan labaadna waxaa loo isticmaalaa in lagu qasbo DNS subdomains. Qalabku marka hore ma taageerayo tirinta soo noqnoqda ee faylalka iyo hagayaasha, kuwaas oo, dabcan, waqti badbaadiya, laakiin dhanka kale, xoogga caarada ah ee meel kasta oo cusub oo websaydh ah waa in si gaar ah loo bilaabo.
Faa'iido:
Xawaaraha sare ee hawlgalka labadaba loogu talagalay raadinta xoog wax-ku-oolka ah ee DNS-hoosaadyada iyo xoogga faylalka iyo hagayaasha.
Ogolaansho:
Nooca hadda ma taageerayo dejinta madaxyada HTTP;
Sida caadiga ah, kaliya qaar ka mid ah koodka heerka HTTP (200,204,301,302,307) ayaa loo tixgaliyaa ansax.
Arjun
Arjun - qalab loogu talagalay xoogga qallafsan ee cabbirrada HTTP qarsoon ee cabbirrada GET/POST, iyo sidoo kale gudaha JSON. Qaamuuska lagu dhex dhisay waxa uu leeyahay 25 kelmadood, kuwaas oo Ajrun ku hubsado ku dhawaad 980 ilbiriqsi. Xeeladda ayaa ah in Ajrun uusan si gooni ah u hubin halbeeg kasta, balse uu markiba fiiriyo ~ 30 oo uu eego in jawaabtu is bedeshay. Haddii ay jawaabtu is bedeshay, waxay u qaybinaysaa 1000-kan halbeeg laba qaybood oo ay hubiso qaybahan jawaabta saameeya. Sidaa darteed, iyadoo la adeegsanayo raadinta binary fudud, halbeeg ama dhowr xuduudood oo qarsoon ayaa la helay kuwaas oo saameeyay jawaabta, sidaas darteed, way jiri karaan.
Faa'iido:
Xawaaraha sare sababtoo ah raadinta binary;
Taageerada cabbirrada GET/POST, iyo sidoo kale cabbirrada qaabka JSON;
Qalabka loogu talagalay Burp Suite wuxuu ku shaqeeyaa mabda'a la mid ah - param-miner, kaas oo sidoo kale aad ugu wanaagsan helitaanka xuduudaha HTTP qarsoon. Waxaan wax badan kuugu sheegi doonaa maqaal soo socda oo ku saabsan Burp iyo plugins.
LinkFinder
LinkFinder - qoraal Python ah oo loogu talagalay raadinta isku xirka faylasha JavaScript. Faa'iido u leh in laga helo barta dhamaadka/URL-yada qarsoon ama la illoobay ee codsiga shabakadda.
Faa'iido:
Degdeg ah;
Waxaa jira plugin gaar ah Chrome oo ku salaysan LinkFinder.
.
Ogolaansho:
Gabagabada kama dambaysta ah ee aan habboonayn;
Ma falanqeeyo JavaScript waqti ka dib;
Waa caqli-gal fudud oo lagu raadinayo isku-xireyaasha - haddii JavaScript si uun loo qariyey, ama xiriiriyadu ay markii hore maqan yihiin oo ay si firfircoon u abuurmeen, markaa ma awoodi doonaan inay helaan wax.
JSParser
JSParser waa qoraal Python ah oo la isticmaalo tornado и JSBeautifier si loo kala saaro URL-yada qaraabada ah faylalka JavaScript. Aad bay waxtar ugu leedahay ogaanshaha codsiyada AJAX iyo ururinta liiska hababka API ee codsigu la falgalo. Si wax ku ool ah ayey ula shaqeysaa LinkFinder.
Faa'iido:
Faylasha JavaScript ee degdega ah
sqlmap
sqlmap Malaha waa mid ka mid ah aaladaha ugu caansan ee lagu falanqeeyo codsiyada shabakadda. Sqlmap waxay otomaatig u tahay raadinta iyo hawlgalka irbado SQL, waxay la shaqeysaa dhowr lahjadood oo SQL ah, waxayna ku leedahay tiro aad u badan oo farsamooyin kala duwan ah arsenalkeeda, oo u dhexeeya xigasho toos ah ilaa faleebo adag oo waqti ku saleysan irbado SQL ah. Intaa waxaa dheer, waxay leedahay farsamooyin badan oo loogu talagalay ka faa'iidaysiga dheeraadka ah ee DBMS-yada kala duwan, sidaas darteed faa'iido maaha oo kaliya sida sawir-qaade loogu talagalay cirbadaha SQL, laakiin sidoo kale sida qalab awood leh oo ka faa'iidayso horayba loo helay irbado SQL.
Faa'iido:
Tiro badan oo farsamooyin kala duwan ah iyo vectors;
Tiro yar oo been abuur ah;
Ikhtiyaar badan oo hagaajin ah, farsamooyin kala duwan, xogta xogta bartilmaameedka ah, qoraallada faragelinta ah ee lagaga gudbi karo WAF;
Awoodda abuuritaanka qashinka wax soo saarka;
Awoodo hawleed oo badan oo kala duwan, tusaale ahaan, xog-ururinta qaar - si toos ah u rarid/dejinta faylasha, helitaanka awoodda fulinta amarada (RCE) iyo kuwa kale;
Taageerada isku xirka tooska ah ee xogta iyadoo la adeegsanayo xogta la helay markii weerarka;
Waxaad soo gudbin kartaa fayl qoraal ah oo leh natiijooyinka Burp-ka ahaan - uma baahnid inaad gacanta ku diyaariso dhammaan sifooyinka khadka taliska.
Ogolaansho:
Way adag tahay in la habeeyo, tusaale ahaan, inaad qorto qaar ka mid ah jeegagaaga gaarka ah sababtoo ah dukumeenti aad u yar ee tan;
La'aanteed goobaha ku habboon, waxay fulisaa hubin aan dhammaystirnayn, taas oo noqon karta marin habaabin.
NoSQLMap
NoSQLMap - qalab Python ah oo otomaatig u ah raadinta iyo ka faa'iidaysiga irbado NoSQL. Way ku habboon tahay in lagu isticmaalo kaliya ma aha xogta NoSQL, laakiin sidoo kale si toos ah markaad xisaabinayso codsiyada shabakada ee isticmaala NoSQL.
Faa'iido:
Sida sqlmap, kaliya ma helayso nuglaanta iman karta, laakiin sidoo kale waxay hubisaa suurtogalnimada ka faa'iidaysigeeda MongoDB iyo CouchDB.
Ogolaansho:
Ma taageerayo NoSQL ee Redis, Cassandra, horumarka ayaa ku socda jihadan.
oxml_xxe
oxml_xxe - Qalab lagu dhejiyo XXE XML wuxuu ka faa'iideystaa noocyo kala duwan oo faylal ah oo u isticmaala qaabka XML qaab ahaan.
Taageerada PDF, JPEG, GIF si buuxda looma hirgelin;
Wuxuu abuuraa hal fayl oo keliya. Si aad u xalliso dhibaatadan waxaad isticmaali kartaa qalabka docem, kaas oo abuuri kara tiro badan oo galal ah oo lagu shubto meelo kala duwan.
Adeegyada kor ku xusan waxay qabtaan shaqo aad u fiican oo ah tijaabinta XXE marka ay soo rarayaan dukumeenti ay ku jiraan XML. Laakin sidoo kale xusuusnow in maamulayaasha qaabka XML laga heli karo kiisas kale oo badan, tusaale ahaan, XML waxaa loo isticmaali karaa qaab xogta halkii JSON.
Sidaa darteed, waxaan kugula talineynaa inaad fiiro gaar ah u yeelatid kaydka soo socda, oo ka kooban tiro badan oo kala duwan oo lacag ah: Waxyaalaha oo dhan ayaa la bixiyaa.
tplmap
tplmap - qalab Python ah oo si toos ah loo aqoonsado loogana faa'iidaysto dayacanka duritaanka Template-Server-Side; waxay leedahay jaangooyo iyo calammo la mid ah sqlmap. Wuxuu adeegsadaa dhowr farsamooyin iyo qalabyo kala duwan, oo ay ku jiraan duritaanka indho la'aanta, iyo sidoo kale waxay leedahay farsamooyin lagu fuliyo koodka iyo rarista/soo-celinta faylalka aan sharciga ahayn. Intaa waxaa dheer, waxa uu leeyahay in farsamooyinkiisa arsenal daraasiin matoorada template kala duwan iyo farsamooyinka qaar ka mid ah raadinta eval () -sida irbado code ee Python, Ruby, PHP, JavaScript. Haddii lagu guulaysto, waxay furaysaa konsole is dhexgal ah.
Faa'iido:
Tiro badan oo farsamooyin kala duwan ah iyo vectors;
CeWL - abuure qaamuus ku jira Ruby, oo loo sameeyay in laga soo saaro ereyo gaar ah degel cayiman, ayaa raacaya xiriirinta goobta si qoto dheer oo cayiman. Qaamuuska la soo ururiyey ee kelmadaha gaarka ah ayaa hadhow loo isticmaali karaa in lagu qasbo furaha sirta ah ee adeegyada ama faylalka iyo hagayaasha xoogga ee isla mareegta, ama in lagu weeraro xashiishyada ka dhasha hashcat ama John the Ripper. Faa'iido leh marka la ururinayo liiska "bartilmaameedka" ee furayaasha sirta ah ee suurtagalka ah.
Faa'iido:
fududahay in la isticmaalo
Ogolaansho:
Waxaad u baahan tahay inaad ka taxadarto qoto dheer ee raadinta si aadan u qabsan domain dheeraad ah.
Weakpass
Weakpass - adeeg ka kooban qaamuusyo badan oo wata ereyo sir ah oo gaar ah. Aad bay faa'iido ugu leedahay hawlo kala duwan oo la xidhiidha dildilaaca erayga sirta ah, oo u dhexeeya awood online fudud oo xisaabaadka adeegyada bartilmaameedka ah, iyo xoog aan khad toosan ahayn oo la helay xashiish xashiish ama John The Ripper. Waxay ka kooban tahay ilaa 8 bilyan oo furaha sirta ah ee u dhexeeya 4 ilaa 25 xaraf oo dherer ah.
Faa'iido:
Waxay ka kooban tahay qaamuusyo gaar ah iyo qaamuusyo wata ereyada sirta ah ee ugu caansan - waxaad dooran kartaa qaamuus gaar ah baahidaada;
Qaamuusyada waa la cusboonaysiiyay oo waxaa lagu buuxiyey furaha sirta ah ee cusub;
Qaamuusyada waxaa lagu kala soocaa hufnaan. Waxaad dooran kartaa ikhtiyaarka labadaba xoogga caabinta degdega ah ee internetka iyo xulashada sirta ah ee faahfaahsan ee qaamuuska mugga leh ee ugu dambeeyay;
Waxa jira xisaabiye tusinaya wakhtiga ay qaadanayso in lagu cadeeyo furaha sirta ah ee qalabkaaga.
Awood u leh in lagu liis gareeyo kaliya maahan plugins WordPress iyo mawduucyada, laakiin sidoo kale helitaanka liiska isticmaalayaasha iyo faylasha TimThumb;
Wuxuu ku qaadi karaa weerarro xoog leh oo lagu qaado boggaga WordPress.
Ogolaansho:
La'aanteed goobaha ku habboon, waxay fulisaa hubin aan dhammaystirnayn, taas oo noqon karta marin habaabin.
Guud ahaan, dad kala duwani waxay door bidaan qalab kala duwan oo shaqada ah: kulligood waxay ku fiican yihiin qaabkooda, iyo waxa uu qof jecel yahay ayaa laga yaabaa inaanay ku habboonayn mid kale. Haddii aad u malaynayso inaan si xaq-darro ah u iska indho-tiray qaar ka mid ah isticmaalka wanaagsan, ku qor faallooyinka!