الدرس الثالث من دورة اختراق المواقع

السلام عليكم و رحمة الله و بركاته كيفكم ان شاء الله بخير
نبدأ على بركة الله في الدرس الثالث من من دورة اختراق المواقع و نبدأ بشرح أخطر ثغرة و أبسطها
sql injection
هذه الثغرة يمكنك من خلالها اضافة أوامر الى قاعدة البيانات و منها اختراق الموقع 
حسنا سنبدأ بالشرح ببرنامج هافيج و أظن أن الجميع يعرفه و لا يستحق شرح لكني رغم ذلك سأشرحه للمبتدئين 
sql برنامج هافيج هو برنامج برمج لغرض استغلال ثغرات ال 


target: analyse  كما تشاهدون هناك تضع الموقع المصاب ثم تضغط على 
لكن تقول لي من أين سأحظر الموقع المصاب
لا بأس صديقي هناك عدة طرق اما عن طريق الدوركات و سأضعها لكم في اخر الدرس اما عن طريق هذا الموقع 
https://www.exploit-db.com/
ثم تكتب اسم الثغرة و ستجد الكثير من المواقع المصابة   search  ما عليك سوى الضغط على كلمة 
حسنا أنا سأعتمد على هذا الموقع للتجربة على هذه الثغرة على هذا الرابط 
kunena  نجد أن اسم السكريبت المصاب 
advsearch?q و نجد أن الملف المصاب بالثغرة هو 
allinurl الان  نقوم بصناعة دورك للبحث في قوقل و من أهم المفاتيح للبحث في هذا المحرك هو مفتاح 
و هو يعني البحث في جميع الروابط 
و الان لتقوم بصنع الدورك عن طريق كتابة المفتاح و بعده المجلد و الملف المصاب ليصبح هكذا 
allinurl:forum/advsearch?q=
و كما قلت لكم سنجرب على هذه الثغرة
و كما أخبرتكم تضعون الدورك في محرك البحث قوقل و ستجدون الكثير من المواقع  و انا اخترت مثلا هذا الموقع
http://www.smdvd89.com/product.php?id=4
target ثم نذهب الى هافيج و ننقل رابط الموقع كاملا و نضعه في خانة 
analyse ثم نضغط على 
ثم ننتظر الى أن يحصل البرنامج على الأعمدة المصابة
get tables حسنا الان نقوم باستخراج الجداول عبر النقر على 
حسنا تم استخراج الجداول بنجاح الان نبحث عن جدول الذي يحتوي على الأدمن أو المدير و تجده عادة   admin or user
get collumns   حسنا الان قد استخرجنا الأعمد الان نحدد أعمدة الادمن و الباسوورد و نضغط على 
get data حسنا الان نقوم باستخراج اسم المدير و كلمة المرور عن طريق الضغط على 
حسنا الان تم استخراج الباسوورد و هو مشفر بمعيار md5
نقوم بالضغط على md5
ثم نقوم بوضع الهاش 
حسنا تم كسر الهاش و أصبح 7180
find admin حسنا الان نبحث عن لوحة التحكم عن طريق الضغط على 
و أخيرا تم ايجاد لوحت التحكم
نقوم بأدخال اسم المدير وكلمة السر تم الدخول الان نقوم برفع شل
تنوية يختلف كل اسكربت في طريقة رفع الشل داخلة










Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

new dork sql 2016

sql السلام عليكم و رحمة الله و بركاته اليوم ان شاء الله سأقدم لكم دوركات جديدة للمواقع المصابة بثغرة :) الدوركات حصرية في مدونة هكرز المغرب العربي index.php?id= inion.php?id= article.php?id= product.php?id= shop.php?id= shopping.php?id= buy.php?id= .php?id=error sql contentok.php?id= liverpool/details.php?id= company.asp?ID= newsletter/newsletter.php?id= details.php?id= tourdetail.php?id= program/details.php?ID= abouttheregions_province.php?id= abouttheregions_village.php?id= Search_Data_Sheet.asp?ID= indepth/details.php?id= page.php?id= ddoecom/index.php?id= product.asp?id= shop/shop.php?id= ArtistDetail.php?id= invent/details.php?id= page.php?id= eventtype.php?id= c_page.php?id= cms/story.php?id= downloads.asp?software= 737en.php?id= events/event.php?id= auction_details.php?auction_id= store-detail.php?ID= details.php?id= services_details_description.php?id= product.asp?id= WhitsundaySailing.php?id= nl/default.asp?id= و هذه بعض الدوركات لمواقع الشوب لاستخراج المايل ليس
Lire la suite

اقوال الهكرز قالها مجهولون أفضل جمل و عبآرات يستخدمها الهكر عند الإختراق حصريا

Image
اقوال الهكرز قالها مجهولون أفضل جمل و عبآرات يستخدمها الهكر عند الإختراق حصريا من مدونة موفيد للمعلوميات اليوم معي أفصل العبآرآت و قصائد الهكر التي يستخدمها الهكر اثناء عملية إختراق المواقع في الإندكس الذي يقزمزن بصنعه و هذه  عبارات رائعه و معبره و مستفزه لصاحب الموقع اترككم مع العبارات و القصائد نحن من نكتب [ الروآيآت] ونحن منندعس [ الحمآيآت ] فإن رأيت الحمآيآت [ خآضعه ] وممرآتالسيرفرآت [ هآدئه ] فعلم أن الوقت قد [ حآن ] وسترى مآليس [ بالحسبآن ] وستتأكد أن فريقك الأمني قد وقعوآ فــي ( مزبلة التآريخ ) (المدني بالحبال والجندي بالرصاص والتهكير للعباقرة ) صاحب السيرفر ، تعجبني ثقتك بالحماية لا حدود للمعرفة لا حدود للاختراق لا حدود للاحتراف مهما تعبت ودفعت ، تأكد ما فيه حماية الا تخترق ! اسف ، كل الاسف .. الانترنت لعبة لا يجيدها الا من صنعها :D نحن لاندعي الذكآء.! ولكن نسعى.. لتحطيم الاذكيآ للتهور جنون وللقيادة فنون وللتهكير رجل مجنون ســنعيـش صـقـورا طائـريـن و سـنموت اسـودا شـامخيـن وراء كل ابتسامة هك
Lire la suite

الطريقة الصحيحة و المثلى في إختراق المواقع

Image
السلام عليكم و رحمة الله و بركاته اليوم نقدم لكم الطريقة الصحيحة في إختراق المواقع و أنا لست مسؤول  أمام الله عن أي تصرف سيئ و الله شاهد على كلامي حسنا نبدأ على بركة الله أول خطوة في الإختراق هي أخذ المعلومات علينا أن نجد ما هو الملقم الذي هو يشتغل عليه و النظام و الخدمات التي يدعمها الملقمات أشهرها إثنين     و هي من مايكروسوفت و هذه مليئة بالثغرات (مواقع قليلة مقفلة ثغراتها  : IIS   من مجموعة مبرمجين متوزاعين  حول أنحاء العالم و إختراقها شبه صعب  : apache حسنا الآن لدينا موقع فكيف نعرف الملقم و الخدمات و كل المعلومات لدينا مثلا هذا الموقع  http://www.netcraft.com عندما تدخل إليه ستجز مربع هنا تضع فيه الموقع الذي تريد معرفة المعلومات كما ذكرت سابقا مثلا نضع موقع البيت الأبيض و الذي هو  whitehouse.org ملاحظة نكتب من دون  http://  و لا /التي توجد بالأخير http://uptime.netcraft.com/up/graph....whitehouse.org سيظهر كالآتي the site www.whitehouse.org is running Microsoft-iis/5.0 on windows 2000 حسنا الآن عرفنا معلومتين مهمتين  IIS5.00   الأولى أنه يشت
Lire la suite