منتديات الهكرز المتقدم
أهلا وسهلا بك زائرنا الكريم، إذا كانت هذه زيارتك الأولى للمنتدى، فيرجى التكرم بتسجيل
ما إذا رغبت بقراءة المواضيع والإطلاع فتفضل بزيارة القسم الذي ترغب أدناه.
كما يشرفنا أن تقوم بالتسجيل

منتديات الهكرز المتقدم

اتصال بي عبر S corpion
 
الرئيسيةWelcomeاليوميةمكتبة الصورس .و .جبحـثالأعضاءالتسجيلدخول

شاطر | 
 

 فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL

اذهب الى الأسفل 
كاتب الموضوعرسالة
Scorpion
Admin
Admin
avatar

عدد المساهمات : 529
نقاط : 3138
السٌّمعَة : 80
تاريخ التسجيل : 15/11/2010
الموقع : www.logsail.c.la

مُساهمةموضوع: فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL   الثلاثاء أكتوبر 18, 2011 10:59 pm



في البدايه كيف نعرف الموقع مصاب ام لا نقول مثلا :-
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
هذا مثال ناتي الان ونحلل ونفسر الموقع
index.php هذا هو السكربت المصاب وهو يكون خطأ برمجي كما ذكرنا سابقا
ويمكن ان يكون السكرب aspx او cmf او asp سوف نتعرض في الدروس القادمة الي كيفيه التطبيق في كل السكربتات
?id= هذا يكون المتغير ولا يلزم ان يكون بنفس الاسم هذا id فهناك متغيرات كثيرة اخري سوف نتطرق لها في القادم ولكن يلزم ان يكون بعد علامة (=) ان يكون رقم صحيح
=========================================
طيب يوجد بعض المواقع في تكوين السكربت بتاع الموقع لا ياخد الامتداد php ولا اي امتداد اخر
مثل هذا الموقع [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
فتجد السكربت المصاب في gallery وهي لا يلحقها اي امتداد
وهو بالفعل مصاب ويمكن استغلال الخطأ به وهكذااا.....
========================================
الحين كيف يمكننا ان الموقع مصاب ام لا
نضع علامة بعد الرقم 1 مثلا نضع (') هذه العلامة فيصبح الموقع هكذا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] become this)
الحين اذا ظهر لنا خطأ في الصفحه اذا يكون الموقع مصاب واذا لم يظهر خطأ فتكون الثغرة مرقعه
اذا هناك انواع كثيره من الاخطاء التي تظهر في الصفحه ومنها:-
ظهور هذه الجمله مثلا او ما شابهها>>>>وهي تتمثل في انه يوجد خطأ في قاعده البيانات Sql
=======================================
Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in
=======================================
او ممكن تتحصل علي هذه الجمله ايضا..
=======================================
Error performing query :You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
=======================================
ويوجد اشكال اخري علي هذا النمط........

لكن الذي احب ان انوه عنه هل هذه الاشكال من الاخطاء فقط ؟لا فهناك مواقع مصابه لا تظهر اي شكل من هذه الاخطاء لكن ممكن الخطأ يظهر في شكل اخر مثلا يكون هناك بيانات كتابية في الصفحة عند افتعال الخطأ تختفي البيانات او الكتابه الموجودة في الصفحه هذا يكون دليل علي وجود خطأ ايضا او ممكن وجود صورة في الصفحه عند افتعال الخطأ تختفي كل هذا دليل علي وجود خطأ برمجي في قاعدة بيانات الموقع...
وهكذا...............
======================================
انا عارف ان البعض زهق مني هههههههههه نيجي نطبق هنجد الكلام الي انا كتبته فوق تافه جدا.......
طيب الحين جبت مجموعة من المواقع المصابه ونري معا كيف يظهر الخطأ بالصفحه:
======================================
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

هذا الموقع يظهر فيه الخطأ في عدم اظهار البيانات الكتابيه به
=====================================
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
في هذا ايضا عدم اظهار الكتابه الموجودة بالصفحه
=====================================
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
في هذا الموقع يظهر الخطأ عبارة عن:-

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/marcelo/public_html/webpages/articles.php on line 13
=====================================
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
في هذا الموقع يظهر الخطأ عبارة عن:-

Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /webhome/tkjlampscom/web/www/kaijia/news/look.php on line 14
=====================================
وكده نكون وضحنا كيفيه اكتشاف الاخطاء في المواقع المصابه بثغرات الحقن

™╠╣╠╣╠╣╠╣╠╣╠╣╠╣╠╣™

ناتي الان بشرح الاوامر المستخدمه في طريقه الحقن :-
====================================
order+by هذا الامر نستخدمه في ايجاد عدد الاعمده الموجود في قاعده البيانات
====================================
union+select هذا الامر نستخدمه لعرض رقم العمود المصاب الذي سوف يتم استخدامه في الحقنه
===================================
group_concat(table_name,0x3a,column_name,0x3a,sche ma_name)+from+information_schema.columns--
يستخدم هذه الامر في استخراج اسماء الجداول والاعمده واسماء قواعد البيانات داخل الموقع
=================================
limit+0,1 يستخدم في التنقل بين الجداول و الاعمدة
=================================
ًًًWHERE+column_name+like+الكلمه المراد البحث عنها في اسماء الاعمدة وتكون مشفره MYSQL CHAR
ويمكن تغيير كلمه column واستبدالها بكلمة table ويكون البحث في اسماء الجداول
================================
الكلام بسيط جدا لا احد يستصعب الاوامر في التطبيق سوف يتضح كل شئ ويكون يسير و سهل باذن الله


KHOFACH - Scorpion
الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://www.logsail.c.la
soon-7
هكر مجتهد
هكر مجتهد
avatar

عدد المساهمات : 220
نقاط : 1343
السٌّمعَة : 34
تاريخ التسجيل : 17/07/2011

مُساهمةموضوع: رد: فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL   الأربعاء أكتوبر 19, 2011 1:39 am

ياعيني عليكك يااستااذ خفاااش


بجد الشرووحات اللي انت وضعتها انا استفدت منها يسلمووو يسلموو


بجد مو عارف كيف اشكرك
الرجوع الى أعلى الصفحة اذهب الى الأسفل
Scorpion
Admin
Admin
avatar

عدد المساهمات : 529
نقاط : 3138
السٌّمعَة : 80
تاريخ التسجيل : 15/11/2010
الموقع : www.logsail.c.la

مُساهمةموضوع: رد: فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL   الأربعاء أكتوبر 19, 2011 10:25 am

تسلم يغالي وفرحان انك ستفت من الشرحات
الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://www.logsail.c.la
soon-7
هكر مجتهد
هكر مجتهد
avatar

عدد المساهمات : 220
نقاط : 1343
السٌّمعَة : 34
تاريخ التسجيل : 17/07/2011

مُساهمةموضوع: رد: فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL   الأربعاء أكتوبر 19, 2011 1:28 pm

الله يسلمك ياغالي

بجد شروحات تمام

زي العسل
الرجوع الى أعلى الصفحة اذهب الى الأسفل
Scorpion
Admin
Admin
avatar

عدد المساهمات : 529
نقاط : 3138
السٌّمعَة : 80
تاريخ التسجيل : 15/11/2010
الموقع : www.logsail.c.la

مُساهمةموضوع: رد: فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL   الأربعاء أكتوبر 19, 2011 8:45 pm

tsslam
الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://www.logsail.c.la
kiji22
هكر مبتدئ
هكر مبتدئ


عدد المساهمات : 8
نقاط : 8
السٌّمعَة : 0
تاريخ التسجيل : 11/11/2012

مُساهمةموضوع: رد: فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL   الثلاثاء نوفمبر 13, 2012 9:42 pm

السلام اخي " Scorpion "
موضوع جميل اخي و مهم بالنسبة لي جدا
لاكن ماستوعبة كيف تقدر تحصل على اسم الجداول والاعمدة.......الخ
وانا اطلب منك طلب لوكان ممكن انك تضع الشرح بالڢديو اخي العزيز
او مشكور مقدما..
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
فحص الموقع من الثغرات | معرفة الموقع مصاب بثغرة sql | فحص الموقع من ثغرات SQL | كيفية معرفة الموقع مصاب ام لا وشرح الاوامر المستخدمه | اختراق SQL
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتديات الهكرز المتقدم :: قسم الاختراق المواقع-
انتقل الى: