عدد النقاط : 10
>>>>>:::ViRuS Qalaa:::>>>>> اليوم سوف اقدم لكم كيف يتم استهداف موقع او سيرفر في ثلاثة مراحل يعني اي موقع براسك راح ترفع علية شل وجيبة وتخترقة ان شاء الله يلا نبدأ على بركة الله وسوف ينقسم هذا الاستهداف الى ثلاثة مراحل يعني كل مرحلة اقوى من الاخرى وفية شوية تتطور في المستوى :a04: اولا شيء اهم مهمة لنا في المرحلة الأولى والثانية هي رفع الشل اخوان اريد اذكر شيء لكم ان رفع الشل على موقع تعتبر اهم مرحلة في اختراق المواقع وهذا موضوع لي مايعرف اشل والفائدة منة لا تستفسر عن الشل بعد اليوم كل شي واكثر+138 شل +شرح صوت وصوره اما في المرحلة الثالثة راح يكون شوية فية تقدم في المستوى عن المراحل السابقة وان شاء الله يكون كل شيء سهل ملاحظة مهمة راح كل شيء بلتفصيل الممل ارجوكم اريدكم تركزون على هذا الموضوع يلا نبدأ a010 المرحلة الأولى : الأختراق العادي :41: في هذة المرحلة سوف ابين لكم كيف يتم الاختراق الموقع بطرق عادية وسوف تنقسم الى عددة دروس هي 1-اظهار اي بي الموقع المستهدف 2-اظهار بعض المعلومات حول السيرفر المستهدف(الطريقة الألية) 3-اظهار المواقع السيرفر (الطريقة اليدوية) 4-اظهار السكريبات التي على المواقع السيرفر 5-البحث عن ثغرات في السكريبات المستهدفة في المواقع السكيورتي 6-استغلال الثغرات في مواقع السكيورتي 7-طرق اخرى لرفع الشل 8-ماذا تعلمت من هذة المرحلة ******************************************** 1-اظهار اي بي الموقع المستهدف سؤال: لماذا نريد اظهار اي بي الموقع المستهدف الجواب: لاننا نريد اظهار المواقع لي في السيرفر ونبحث عن ثغرات لهذة المواقع نستطيع من خلالها رفع الشل وبعد رفع الشل نستطيع التنقل الى المواقع المستهدف ورفع الانديكس اذا انتة تريد تعليق الانديكس :088: او رفع الشل وتريد تأخذ روت وتخترق كل المواقع لي على السيرفر smilies17 كيف يتم اظهار اي بي السيرفر المستهدف يتم عن طريق الدورس نذهب الى start>>>run>>> ونكتب كلمة cmd او اذا كان جهازك عربي البداية >>>تشغيل>>> ونكتب كلمة cmd والان سوف تظهر لنا شاشة سوداء هذة الشاشة تسمى بشاشة الدوس وهي لتنفيذ الاوامر a012 الوندوز نأتي الى المهم هو اظهار اي بي السيرفر عندما ظهر لنا شاشة الدوس الأن نكتب هذة الامر ping www.xxx.com ناتي ونحلل الامر: ping>>> هو احد اومر الوندوز www.xxx.com>>> الموقع المستهدف الذي تريد ان تظهر اي بي بتاعة الان تم اظهار اي بي الموقع المستهدف 2-اظهار بعض المعلومات حول السيرفر المستهدف (الطريقة الألية) راح اعطيكم موقع يستخرج بعض المعلومات والمواقع السيرفر والبرنامج المركبة على السيرفر هذا هو الموقع http://whois.webhosting.info تابعوا الصور كيف اظهار المعلومات نضغط على اي بي السيرفر لظهار المواقع لي على السيرفر 2-اظهار المواقع السيرفر لكي نظهر المواقع لي على السيرفر لازم نحتاج اي بي السيرفر ونحنوا اظهرنا اي بي السيرفر الان سوف نظهر المواقع على السيرفر بلذهاب الى احد المواقع التالية وهي لها خاصية اظهار المواقع لي على هذا السيرفر www.live.com www.msn.com www.bing.com وانتة اختار احد هذة محركات البحث ونكتب في خانة البحث التالي ip:123.456.78 ip>>>كلمة اي بي 123.456.78>>>اي بي الموقع المستهدف لي طلعناة الان سوف تظهر لنا المواقع على هذا السيرفر 3-اظهار السكريبات التي على المواقع السيرفر لكي يتم اظهار السكريبات على السيرفر المستهدف لازم نقوم بلخطوتين السابقتين الان بعد ماظهرنا المواقع على السيرفر نكتب بعد اي بي السيرفر الكلمة هذة powered by فيكون كذا ip:123.456.78 powered by ip:123.456.78 >>>> اي بي السيرفر powered by >>>> كلمة لظهار السكريبات لكن يفضل كتابتها كما يلي ip:123.456.78 powered ملاحظة : كلمة powered by هي كلمة تسبق كل اسم لسكريب يعني اس سكريب مسبوق بهذة الكلمة الان سوف تظهر لنا السكريبات المركبة على الموقع 4-البحث عن ثغرات في السكريبات المستهدفة في المواقع السكيورتي بعد ماظهرنا اسماء السكريبات الان نريد اظهار الثغرات في هذة السكريبات في مواقع السكيورتي واهم مواقع السكيورتي هي : www.milw0rm.com www.exploit-db.com www.securityfocus.com www.securityreason.com الان سوف يتم الشرح على الأول والثاني موقع الان يعتبرن الاقوى ملاحظة: اختياري لموقع الملي روم لان هذا الموقع يحتوي ثغرات قوية جدا وهناك كثير من هذة الثغرات لم يتم ترقيعها والسبب انة توقف عن طرح الثغرات ليس انة ليس لة فائدة بعد :a17: لا مازال يعتبر الاقوى موقع سكيورتي :etonnement-29[1]: الان سوف اشرح لكم بلصور كيف البحث عن ثغرات لسكريبات لي على السيرفر المستهدف اولأ: موقع www.milw0rm.com ثانيا:موقع www.exploit-db.com 5-استغلال الثغرات في مواقع السكيورتي يتم استغلال الثغرات بطريقة سهلة جدا ويختلف استغلال الثغرات عن بعض فثغرة السكويل يختلف استغلالها عن ثغرة وسوف اشرح لكم اهم الثغرات وتعريفها :a02: remote command excution وهذة الثغرة لتنفيذ لاوامر على السيرفر وسوف اشرح لكم الثغرات المهمة: ****** remote file include ثغرات ادراج ملف الثغرات تعطينا طريقة نربط الموقع بصفحه خارجيه و الهاكر يربط هذة الثغرة بموقع رافع عليه ملف الشيل ومن هنا يبدأ في الاختراق . ****** upload shell وهي ثغرة خطيرة جدا فكرتها ان في سكربات , من باب التسهيل لأدمن الموقع عامل ملف صفحه اسمها (upload) من أجل أن يرفع ملفاته بسهوله وخاصه لوحات تحكم المواقع الصغيرة لاتجد فيها هذه الخاصيه المهم حين يعرف الهاكر امتداد هذا الملف يقوم برفع الشل من خلاله و أيضا من خلال مراكز الرفع يمكن للهاكر أن يرفع الشيل من خلالها إذا كانت مراكز الرفع تدعم رفع الملفات (php) بكل سهولة رفع الشل طيب لو غير مسموح رفع الملفات من هذا النوع يقوم الهاكر بتغير امتداد الشل من (php) الي اي امتداد اخر ويرفع ويشتغل بيه ****** (sql)او ثغرات قواعد البيانات هذه الثغرة من اخطر الثغرات ليس لانها قويه ولكن لان أغلبية مواقع الانترنت مصابه بهذة الثغرة و هي تتيح للمخترق طلب استعلامات من قاعده البيانات وبالتالي يحصل علي اسم المدير والباسورد الخاص بيه ويمكن أن يكون مشفر ****** (xxs) ثغرات سرقه الكوكيز وهي ثغرات قويه جدا و في سياق الكلام نذكر معنى الكوكيز: لكل عضو منا كوكيز خاص به يتسجل آلايا عند الدخول الي الموقع اوالمنتدى لماذا ؟ ليسهل عمليه التصفح ويجعل مروروك الي كل الصفحات ممكنا بدون تسجيل الدخول كل مرة تخش فيها صفحه جديده طيب تخيل لو تم سرقه الكوكيز الخاص بك وتم التعديل عليه بواسطة محررات الكوكيز يبقي الشخص الذي سرقه سوف يدخل الموقع بعضويتك طيب لو كنت المدير العام للمنتدى إذا وقعت المصيبه وتم الاختراق ****** XSS نوع آخر من الثغرات الامنيه و يعتبر من الثغرات المنتشره، هذا النوع من الثغرات يسمح بحقن كود JavaScript في الصفحة. ****** remote command excution وهذه تسمح بتنفيذ الاوامر من خلال المتصفح وطبعا الذين يتعاملون مع اللينكس يعرفون الامر (wget file) هذا الامر احيانا يكون نعمه واحيانا يكون كارثة ... يقوم بسحب الملفات علي الجهاز يعني تقوم بسحب الشل علي السرفر ومن ثم الاختراق ****** local file include وهذا نوع آخر لا يقل خطورة عن السابقين يسمح لك بقراءة الملفات الموجوده بالسرفر ليس خطيرا جدا لأن معظم السرفرات تضع الباسوردات في ملفاتها علي هيئه ********** ****** bypass admin control panal وهي ثغره أخرى خطيرة تسمح لنا بتخطي الفيرول الخاص بلوحه التحكم إذ من المعروف انك عندما تدخل كادمن في اي شيء لازم يطلب منك الباسورد والاسم وهذه الثعرة نمكنك من تخطي هذه المشكه والدخول علي الي لوحه التحكم ****** Remote Dump Database هذه الثغرة تسمح لنا بسحب الباك اب من خلال ملف يقوم بذلك ومن ثم سحب جداول اليوزر الان عرفة اهم الثغرات والان نأتي الى الفيديوا لكيف يتم استغلال الثغرات Remote File Inclusion Vulnerability http://www.mediafire.com/?oqmgjsdwvgg Command ExecuTion + Remote File Disclosure + sql injection http://www.mediafire.com/?ucguoyzugmp استغلال الثغرات المكتوبة بلغة html + PHP + الشيل + Perl + Python http://www.mediafire.com/?u1d1y4yd2mm ولا اوصيكم بتعلم ثغرة السكويل لانها الاخطر الان والاكثر انتشارا من الثغرات الاخرى وهذة احلا دورة في تعلم ثغرة السكويل مقدمة من فريق كلاشنكوف :a06: http://www.vbspiders.com/vb/f236.html 6-طرق اخرى لرفع الشل الطريقة الاولى: هناك طرق اخرى لرفع الشل وهي عن طريق مركز تحميل يعني نكتب بعد ip:123.456.78 Upload كلمة او Up او اذا كان السيرفر المستهدف عربي نكتب مركز رفع الملفات فيصبح كذا ip:123.456.78 Upload وسوف يظهر لك مراكز الرفع على السيرفر ويمكن تحميل الشل الخاص فيك بتغير امتدادة يعني تغيرة من c99.php الى c99.php.jpg واذا تريد كيف يتم تحويلة كما يلي افتح الشل Notepad وبعدين اذهب الى حفظ كا واختر المسار وبدين احفظة بهذا الصيغة c99.php.jpg او اي صيغة تريدة وان شاء الله سوف انزل موضوع كيف التحايل على المركز الرفع في اقرب وقت الطريقة الثانية: تضيف كود في اعلى الشل تضيف هذا الكود في الشيل وأن شا الله بيترفع الشيل هذا هو الكود: كود PHP: GIF89aP; الطريقة الثالثة: وهي تكتب بعد اي بي السيرفر هذة الكلمة register فيصبح كذا ip:123.456.78 register وهي لظهار المواقع التي تسمح بلتسجيل وبعد التسجيل في الموقع يمكنك تعديل الملف الشخصي ورفع الشل بدل الصورة الرمزية بختصار تسجل في الموقع وتذهب الى تعديل الملف الشخصي وبعدين تعديل الصورة الرمزية وتغير الصورة الى فترفع الشل بدل الصورة وهكذا وههناك طرق كثيرة لرفع الشل وان شاء الله سوف اعمل درس خاص لها لان رفع الشل اصبح صعب جدا ليس عندكا كانت ثغرة الفايل انكود كانت تستطيع رفع الشل بأي وقت وهذا موضوع لي تجمع طرق رفع الشل :sossa: رفع الشل بطرق كثيرة 7-ماذا تعلمت من هذة المرحلة ان شاء الله تكون فهمت هذة المرحلة الاولى من كيف يتم اختراق المواقع او استهداف المواقع بختصار تعلمنا في هذة المرحلة كيف اظهار اي بي السيرفر المستهدف واظهار المواقع على السيرفر واظهار السكريبات بأبسط الطرق والبحث في مواقع السكيورتي عن الثغرات في السكريبات لي اظهرناها واستغلال هذة الثغرات وتعرف على اهم الثغرات والازم اقول لكم ان اهم شيء في اختراق المواقع عو التعرف الثغرات وكيف استغلالها وعرفنا كيف رفع الشل عبرا مركز التحميل بطرق كثيرة smilies11 وعرفنا كيف نستغل التسجيل في الموقع ورفع الشل بدل الصورة الرمزية وبكذا اتنهينة من المرحلة الاولى وسوف نتقلل لمرحلة الثانية a012 تم الشرح بواسطة: ViRuS Qalaa جميع الحقوق محفوظة :lalala: smilies17 المصدر: :: vBspiders Professional Network ::hglvpgm hgh,gn td hsji]ht hgl,hru ,hgsdvtvhj
GIF89aP;
hglvpgm hgh,gn td hsji]ht hgl,hru ,hgsdvtvhj