الـسلام عليكـم ورحـمة الله وبـركاته

عـمتم صبآحا

المـهم

نـدخل فى الشـرح و اليـوم نـقاش وليس شـرح !!

لو دخـلنا على مـوقع Milw0rm.com

و حـطينا فى البحـث Joomla

هيطلع لكـ حوالى 100 أكسـبلويت

النـاس المـبتدئة بتـروح تحـط ألاى بى بتـاع السرفر فى msn.com

و بيجيبوا سكـربتات جوملآ و يجـربوا عليها هذه الآكسبلويتات

و بعد ما يجرب اكتر من 10 اكسبلويتات و يضيع وقت و يزهق

فى الاخر ولا اكسبلويت يظبط

يروح قافل المتصفح و يلعن سلسفين الهـكر !!

طيب ألان لو شـفت عـنوان الثغـرة

هتلاقى

في بدآية جـميع الثغـرات ستجد[/SIZE][/I][/B]

كود PHP:





وبعده اسم مختلف لباقى الثغرات

يعني مثلآ

Joomla Component com_digifolio
Joomla Component com_siirler
Joomla Component com_jtips

الخ ...

و هذه الجـملة مـعناها Joomla Component

مـعناها أنه هذه الثغرة فى اضافة

وبعـد هذه الجـملة بيـذكرلك اسم ألاضافة المـصابة

و 90% مـن المـواقع الجوملا مش مركبين اضافات

و بعـد ما تجرب و يطلع عينـك تلآقيه مش مـركب اضاافات أو انتا جربت أول 10 اضافات و زهقت و مش بعيد يطلع مركب الاضافة المصابة رقم 11

و هذه متعبة للمبـتدئين

الـيوم معي فكـرة و هي بدآئية و ليست للمـحترفين

و لكـن نأخذها كـنقاش للمبـتدئين و للآفتتاح القسم نـظرآ لآن مخي فيش فيـه جديد هآليومين

ألان لو رحـنا شفنا طريقة تركيب الاضافة أللى هي الـ Component للجـوملا

هتلآقي فى الشـرح كآتبلك

(" قم برفع جميع ملفات الاضافة دآخل مجلد Components ")

ألان نــحمل بـرنامج IntelliTamper مـن المـرفقات و نـفتح الـبرنامجو نـضع فـيه المـوقع المـراد

معـرفة الاضافات المـركبة لـديه



ألان كـما رأينا

دخلنا مـجلد Components

و عرفنا أن الأضافات المركبة على المـوقع

com_mailto
com_virtuemart

ألان أذهب للبحث عن ثغرة فى هذه الاضافات اللى فوق و مبـروك عليكـ المـوقع

و انا بحثت و لقيت ثغرة SQL فى أحدى الاضافات بدون تعب ولا جهـد


http://www.securityfocus.com/bid/34433/exploit