الدرس الاول : ثغرة SQL Injection
منتدى حرب التتار | tatar war
السلام عليكم ورحمة الله وبركاته

عزيزي-تي الزائر-ة =نرحب بكم في هذا المنتدى الكبير ونرجوا لكم قضاء وقت ممتع ونرجوا اذا كانت لديكم امكانيات ان تسجلوا معنا وتشاركوننا بها لكي نرتقي سوا الى القمه واعدكم انه سوف يتم تنظيم المنتدى بشكل اوسع واكبر وضم اقسام افضل بإذن الله تعالى
مرسل الرساله:الادمن Admin


مرحبا بك يا زائر


 

الرئيسيةالمنشوراتس .و .جبحـثالأعضاءالمجموعاتالتسجيلدخول

إرسال موضوع جديد   إرسال مساهمة في موضوع
شاطر | 
 

 الدرس الاول : ثغرة SQL Injection

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
ro0ot

>عـ ـضـ ـــو نـ ـشـ ـيـ ـط<
>عـ ـضـ ـــو نـ ـشـ ـيـ ـط
avatar

جنسيْـﮯ » : انثى


أنضمُآميـﮯ » : 05/11/2016
مُشاركآتيَـﮯ » : 49
نقاطيـﮯ : 510
سمعتيـﮯ (تقيميـﮯ) : 0

مُساهمةموضوع: الدرس الاول : ثغرة SQL Injection   الخميس نوفمبر 24, 2016 8:55 pm

السلام عليكم ورحمة الله وبركاته
اليوم سنتكلم عن ثغرة مهمة جدا الا وهي SQL Injection
هذه الثغرة تعتمد علي حقن قواعد البيانات باستخدام بعض الاوامر ولكن هناك بعض الادوات تختصرها في شكل برنامج صغير .
اولا :
نحتاج الي موقع مصاب بالثغرة ، كيف ذلك ؟!
نقوم باستخراج مواقع مصابة بالثغرة عن طريق شيء اسمه دروك وهو وسم مصمم بلغة برمجة معينة للبحث عن شيء ما داخل محركات البحث .
نقوم بجلب دروك وهذا سهل جدا ع طريق البحث عن
drok sql injection) ) في أي محرك بحث مثل جوجل
انا افضل استخدام برنامج للبحث عن الموقع المصاب وفحصه ايضا ان كان مصابا ام لا وهذا البرنامج هو Gr3enox
هذه هي صورة البرنامج

هذا هو رابط التحميل
http://up.top4top.net/downloadf-191rmjy1-rar.html
بعد ان تحمله وتقوم بفتحه ستظهر لك هذه النافذة
[url=http://GulfsUp.com]l]
تقوم بوضع الدروك الذي تريده وانا افضل هذا الدروك : php?id=
وتضغط علي كلمة search  للبحث عن المواقع المصابة
[/url]
بعض ذلك ننتظر قليلا وسوف يظهر لنا الكثير من المواقع ، نقوم بالضغط علي كلمة start  لبدأ فحص المواقع
[/url]
ستظهر لك المواقع المصابة علي الجانب الاخر  تقوم بنسخ احدهم .
الان نحتاج الي برنامج الاختراق الذي يدعي بالهافيج Havij
هذه هي واجهة البرنامج، نقوم بفتحه من هذه الايقونة
بعد ان نقوم بفتحه ، نلصق رابط الموقع هنا ، ونقوم ببدء عملية اختراق الموقع

بعد ذلك يبدأ البرنامج باختراق الموقع ، يجب ان ننتظر قليلا
[[
بعد ان ينهي البرنامج الاختراق نذهب لكي ستخرج الاعمدة والصفوف الخاصة بقاعدة البيانات
[
نذهب الي  Tables ثم نحدد علي قاعدة البيانات ونضغط علي Get tables
[
يبدأ باستخراج الان الاعمدة
[
طبعا يأخذ وقت كثير وانا بصراحة غير متفرغ لانتظره .. اسف
بعد ان يستخرج جميع الاعمدة تذهب الي كلمة user  وتضغط علي Get Columns
بعدها يظهر لك العديد من الملفات مثل : id , email , username , pass
تحدد علي user  و pass  وتضغط على Get Data
بعدها يخرج لك الباسورد واسم المستخدم ..
لكن غالبا ما يكون الباسورد مشفر ، لذلك سندخل الي موقع
http://www.md5online.org/
او
http://md5decryption.com/
ولنفترض ان اسم المستخدم الذي ظهر لنا هو
Admin
والباسورد
ad1c65e2fbfa050162ec9e0dea6babd8
وسنقوم بفك تشفير الباسورد
ندخل الي موقع
http://www.md5online.org/
ونلصق الباسورد المشفر ونكتب كود الكابتشا
[/url]
ثم تضغطت علي Decrypt وسيظهر لك الباسورد وقد فك تشفيره
[/url]
والان نأتي الي اهم خطوة الا وهي ايجاد مسار لوحة تحكم الادمن
وهي عن طريق وضع رابط الموقع داخل اداة find admin داخل الهافيج والضغط على start
[[/url]
ننتظر قليلا  الي ان يتم التحميل
بعد ان نحصل علي لوحة تحكم الموقع نقوم بادخال اليوزر نيم والباسورد الذين استخرجناهما سابقا بها
بعد ذلك ندخل الي لوحة التحكم بطرقة عادية 

 
والان انتهي شرحنا بالوصول الي لوحة تحكم الموقع
ارجو ان يكون الدرس قد اعجبكم
وشكـــرا
الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو
Admin
صاحب الموقع
صاحب الموقع
avatar

جنسيْـﮯ » : ذكر
أنضمُآميـﮯ » : 16/07/2011
مُشاركآتيَـﮯ » : 1729
نقاطيـﮯ : 5389
سمعتيـﮯ (تقيميـﮯ) : 69




مُساهمةموضوع: رد: الدرس الاول : ثغرة SQL Injection   الخميس نوفمبر 24, 2016 9:12 pm

شكرا لك يالغلا مبدع واصل ابداعاتك وان شاء الله تخلص الدورة كامله لكي نشتغل بها ونشوف ونخترق مواقع اجنبيه للاستفادة منها
الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو
 
الدرس الاول : ثغرة SQL Injection
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:تستطيع الرد على المواضيع في هذا المنتدى
منتدى حرب التتار | tatar war :: حرب التتار و ترافيان :: تطوير حرب التتار | Tatar war development-
إرسال موضوع جديد   إرسال مساهمة في موضوعانتقل الى: