مــنــظـمــة الاجـــــرام الــعــربـــيــة
عزيزي الزائر / عزيزتي الزائرة يرجى التكرم بتسجيل إذا كنت عضوا معنا
أو التسجيل إن لم تكن عضوا و ترغب في الانضمام إلى أسرة المنتدى، سنتشرف بتسجيلك

و شكرا

إدارة منتدى الإجرام
مــنــظـمــة الاجـــــرام الــعــربـــيــة
عزيزي الزائر / عزيزتي الزائرة يرجى التكرم بتسجيل إذا كنت عضوا معنا
أو التسجيل إن لم تكن عضوا و ترغب في الانضمام إلى أسرة المنتدى، سنتشرف بتسجيلك

و شكرا

إدارة منتدى الإجرام
مــنــظـمــة الاجـــــرام الــعــربـــيــة
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.

مــنــظـمــة الاجـــــرام الــعــربـــيــة


 
الرئيسيةمنتدى الاجرامأحدث الصورالتسجيلدخول

 

 شرح اكتشاف ثغرات Sql واستثمارهامن الصفر حتى الاستغلال

اذهب الى الأسفل 
كاتب الموضوعرسالة
TOXMAN
المدير العام

المدير العام
TOXMAN


ذكر
عدد المساهمات : 439
العمر : 30
تاريخ التسجيل : 06/02/2010

شرح اكتشاف ثغرات Sql واستثمارهامن الصفر حتى الاستغلال Empty
مُساهمةموضوع: شرح اكتشاف ثغرات Sql واستثمارهامن الصفر حتى الاستغلال   شرح اكتشاف ثغرات Sql واستثمارهامن الصفر حتى الاستغلال Icon_minitimeالأحد مارس 07, 2010 10:38 am

اخواني اليوم جايب لكم شرح اكتشاف ثغرات SQL واستغلالها

ندخل على الشرح

موقع الضحيه


كود PHP:
http://latestchess.com/showArticle.php?id=1



نشوف الموقع اول

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

حلو الصفحه ما فيها ولا خطأ الحين نضيف خلف الرابط احد هذه العلامات

لأختبار وجود الثغره

اختر ' او AND+1=2 ولأن AND+1=2 جمله غير صحيحه

نشوف كيف بعد اضافت ' هل يوجد خطأ ام لا

حبايبي مو لازم يكون خطأ SQL كلمة WARNING

لا اذا اختفا اي شي في الصفحه او تغيرة عن ما كانت عليه او اختفت صوره او طلع لنا خطأ WARNING

هذه هي نتائج وجود الثغره بأختصار

نشوف الناتج

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

لم يظهر لنا اي خطأ صح ؟؟؟؟؟

لا اختفت الصوره انظر اليها

اوكي هيا نشوف الجداول المصابه عشان تستخرج اسم المستخدم وكلمة المرور

اول شي نكتب بعد الرابط


كود PHP:
http://latestchess.com/showArticle.php?id=1+ORDER+BY+1



وراح يختفي الخطأ لأنها هذه تعني


كود PHP:
http://latestchess.com/showArticle.php?id=1



اذن الناتج صحيح لا وجود اخطأ

والحين نبدأ بالعد التصاعدي حتى يظهر لنا الخطأ

شوف كيف

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

حلو للحين ما ظهر الخطأ نستمر في العد ولاكن انا اقول لك ابدا

هكذا ORDER+BY+1

ORDER+BY+5

ORDER+BY+10

ORDER+BY+15

وهكذا لين يظهر الخطأ

الحين نشوف ونكمل

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

حلو ظهر الخطأ مثل ماهو مبين في الصوره

تقولي كيف ابدا في الاستغلال

اقولك الجداول المصابه بين 5 - 10

نبدا بدالتين هي اهم شي في الاستغلال

UNION+SELECT

وتصير كذا


كود PHP:
http://latestchess.com/showArticle.php?id=-1+UNION+SELECT+0,1,2,3,4,5/*



بعد كلمة SELECT علامة + ونبدا بالعد التصاعدي لين تظهر لنا الاعمده المصابه

ملاحظه يجب وضع علامة ( - ) قبل الرقم 1

لتظهر الاعمده

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

حلو طلع لنا الاعمده المصابه

الحين اول خطوه في الاستغلال هي تخمين

قاعدة البيانات وهذي هي الصفحه بها اسماء قواعد البيانات واسماء الجداول والاعمده

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

نشوف كيف بعدا ما خمنا قاعدة البيانات شو صار

حبايبي اذا قاعدة البيانات خطأ راح يعود الخطأ من جديد واذا التخمين صحيح راح يرجع ظهور الاعمده

المصابه نشوف كيف التخمين الي خمناه

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

شوفتوا كيف التخمين الصحيح ما راح يظهر الخطأ منه راح تبقا الاعمده والجداول المصابه ظاهره

والحين يجي تخمين اسم المستخدم وكلمة المرور

وانا افضل ان تبدا بواحد لين تخمن صح وروح خمن الثاني

شوف التخمين والناتج

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]

والناتج امامكم وعليكم بالعافيه

بالعافيه


ارجوا ان يكون الشرح واضح والفكره وصلت لكم


اخوكم toxman
الرجوع الى أعلى الصفحة اذهب الى الأسفل
https://alijram.yoo7.com
 
شرح اكتشاف ثغرات Sql واستثمارهامن الصفر حتى الاستغلال
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» برامج متخصصه لأختراق المواقع + فحص ثغرات + كسر بروكسي + فك تشفير الباسوردات + التدمير
» احول طريقة إختراق الاجهزة من الصفر حتى الاحتراف مع البرامج الداعمة

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
مــنــظـمــة الاجـــــرام الــعــربـــيــة :: االهاكر :: قسم كشف الثغرات و تحليلها-
انتقل الى:  
الحقوق محفوضة

منتدى ضحايا

متطلبات المنتدى