التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام


قديم 05-04-2012, 11:30 AM   رقم المشاركة : 1 (permalink)
معلومات العضو
 
الصورة الرمزية firstday
 

 

 
إحصائية العضو






firstday غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
firstday is on a distinguished road

سؤال مجاب: الثغرات


بسم الله الرحمن الرحيم
السلام عليكم كيف الحال ؟
كيف اترجم الثغرات وكيف اعرف استغلالاتها

اذا كان عندي ذي الثغرة كيف اطبقها
كود PHP:
http://www.exploit-db.com/exploits/18606/ 
وشكرا



Vspan style="font-weight: bold; color: #006400;"Cl[hf:VLspanC hgeyvhj

   

رد مع اقتباس
أفضل جواب - كتبه loulou
-1 : ما هي الثغرة

الثغره هي عباره عن خطأ برمجي يمكننا استغلاله في أن نجعل النظام يقوم بتنفيذ أوامرنا التي نعطيها إليه

مثلاً فيه سكريبت مبرمج بالـ php عنده أمر لإدراج بيانات أسماء الأعضاء

الان أنا أمسك الملف فحصته لقيته عادي ينفذ الأمر اللي هو قراءة بيانات الأعضاء

لاحظت فيه خطأ برمجي أقدر من خلاله اللعب بالسكريبت اتركه بدل ادراج بيانات الأعضاء

يعمل إدراج لملف شيل وهده ثغره تسمى File Include.

-2 ما هي انواع الثغرات؟

الثغراات لاتعد ولا تحصى ودلك حسب انواع الانظمة مثلا نضام اللينكس او وين او ماتريكس
وهنا سنتطرق لثلاث أنواع أساسية في نظام الـ php لانها هي المعممة وهي
1- File Include (ادراج ملف)
2- Sql Injection (تنفيذ أوامر في قاعدة البيانات)
3- XSS (تستخدم لسرقة ال****ز سواء للمنتدى أو لسكريبت أو لأي برنامج)

+النوع الأول هو أخطر أنواع الثغرات ويسري عبر أخطاء برمجية مما يجعل الهكر

يقوم بإدراج ملف شيل خطير يمكنه من التلاعب بالموقع واختراقه وأعتقد الكل يعرف ما هو غريب اما ادا كنت خبير بالهكر فممكن تعمل روت و تسيطر على السيرفر المضيف للموقع يعني انك ستسيطر على كل المواقع المستضافة بالسيرفر و هدا صيد كبير لكن صعب انك تصيده << صعب عليكم بس هههه


+النوع الثاني وهذا أقل خطورة من الفايل انكلود ويقوم عبر أخطاء برمجية بإرسال أوامر إلى قاعدة البيانات

مثلاً أمر لقراءة معلومات عضوية الأدمن رقم واحد( يعني المدير) أو أمر لتغيير كلمة مروره يعني انك اصبحت صاحب الموقع وتقدر تعمل ديليت لكل المواضيع و تخرب كما تريد....
مثال:
ثغرة sql من خلالها نفذنا أمر يقوم بتغيير ايميل عضوية المدير العام للسكريبت المصاب بالثغره

فتقوم بتغيير ايميله مثلاً الى ايميلك ثم تدهب للسكريبت وتعمل انك نسيت كلمة المرور

فسيقوم بارسالها لايميلك وهكدا فقد حصلت علىعضوية المدير العام والان سندخل الى لوحة التحكم السكريبت وننزل اندكس الااختراق كما ان السكريبت يسمح لنا برفع الشيل من لوحة التحكم .

ملاحظة: الي خلاني اقوم بالشرح هذا لانكم ماتعرفون كيفية تركيب و تنزيل اندكس الاختراق بالمواقع والمنتديات

+النوع الثالث
يعتبر أقل خطورة من الأول والثاني وهي تغرة معروفة ودائعة الصيط وهي الاكسس

مثال:
ثغرات الـ xss في موقع الهوتميل

وهذي الثغرات من خلالها نقدر نسحب ****ز أي عضو بالموقع مثل الهوتميل لكن تعتبر أقل خطورة

في استغلالها لأنها ممكن تدخلنا مثلاً بعضوية المدير العام كمثال في المنتدى

لكن رغم هداخطورتها ضعيفه لأننا لو دخلنا ما نعرف الباس وادا اردنا الحصول على الباس هذي هي المشكلة لكن لها حل لكن اعذروني ماراح اقوله لكم

اولا يجب ان نغيرالايميل لو دخلنا وغيرنا الايميل ما يتغير لاحظت انه يقول لي دخل الباس القديم وهده مشكلة ثانية لانني لا اعرف الباس القديم لأني داخل عن طريق ال****ز.
المشكلة الثالتة هي ان الهوتميل لا يقبل تغيير كلمة المرور بال****ز يعني يجب علينا ان تعرف القديمه.
وهنا يظهرمدى ذكاء ودهاء الهكر و بديهيته التي ترجع به الى حركة كنا نقوم بها عندما كنا ننسى كلمة مرورنا بالاميل
العذر ماراح اعلمك بالطريقه لاسبااب امنية بالمنتدى ههههههههههههههه

ملاحظة : وتختلف خطورةهدا النوع من الثغرات من سكريبت إلى آخر .

__________________________________________________ ________-

ز الثغرة RDP لاختراق جميع انظمة WINDOWS

الشرح منقول للافادة

وان شاء الله اصحاب الخبرة يفيدوك
قديم 05-05-2012, 07:16 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
 
الصورة الرمزية loulou
 

 

 
إحصائية العضو







loulou غير متواجد حالياً

إرسال رسالة عبر MSN إلى loulou إرسال رسالة عبر Skype إلى loulou

 

 

إحصائية الترشيح

عدد النقاط : 10
loulou is on a distinguished road

افتراضي رد: الثغرات


-1 : ما هي الثغرة

الثغره هي عباره عن خطأ برمجي يمكننا استغلاله في أن نجعل النظام يقوم بتنفيذ أوامرنا التي نعطيها إليه

مثلاً فيه سكريبت مبرمج بالـ php عنده أمر لإدراج بيانات أسماء الأعضاء

الان أنا أمسك الملف فحصته لقيته عادي ينفذ الأمر اللي هو قراءة بيانات الأعضاء

لاحظت فيه خطأ برمجي أقدر من خلاله اللعب بالسكريبت اتركه بدل ادراج بيانات الأعضاء

يعمل إدراج لملف شيل وهده ثغره تسمى File Include.

-2 ما هي انواع الثغرات؟

الثغراات لاتعد ولا تحصى ودلك حسب انواع الانظمة مثلا نضام اللينكس او وين او ماتريكس
وهنا سنتطرق لثلاث أنواع أساسية في نظام الـ php لانها هي المعممة وهي
1- File Include (ادراج ملف)
2- Sql Injection (تنفيذ أوامر في قاعدة البيانات)
3- XSS (تستخدم لسرقة ال****ز سواء للمنتدى أو لسكريبت أو لأي برنامج)

+النوع الأول هو أخطر أنواع الثغرات ويسري عبر أخطاء برمجية مما يجعل الهكر

يقوم بإدراج ملف شيل خطير يمكنه من التلاعب بالموقع واختراقه وأعتقد الكل يعرف ما هو غريب اما ادا كنت خبير بالهكر فممكن تعمل روت و تسيطر على السيرفر المضيف للموقع يعني انك ستسيطر على كل المواقع المستضافة بالسيرفر و هدا صيد كبير لكن صعب انك تصيده << صعب عليكم بس هههه


+النوع الثاني وهذا أقل خطورة من الفايل انكلود ويقوم عبر أخطاء برمجية بإرسال أوامر إلى قاعدة البيانات

مثلاً أمر لقراءة معلومات عضوية الأدمن رقم واحد( يعني المدير) أو أمر لتغيير كلمة مروره يعني انك اصبحت صاحب الموقع وتقدر تعمل ديليت لكل المواضيع و تخرب كما تريد....
مثال:
ثغرة sql من خلالها نفذنا أمر يقوم بتغيير ايميل عضوية المدير العام للسكريبت المصاب بالثغره

فتقوم بتغيير ايميله مثلاً الى ايميلك ثم تدهب للسكريبت وتعمل انك نسيت كلمة المرور

فسيقوم بارسالها لايميلك وهكدا فقد حصلت علىعضوية المدير العام والان سندخل الى لوحة التحكم السكريبت وننزل اندكس الااختراق كما ان السكريبت يسمح لنا برفع الشيل من لوحة التحكم .

ملاحظة: الي خلاني اقوم بالشرح هذا لانكم ماتعرفون كيفية تركيب و تنزيل اندكس الاختراق بالمواقع والمنتديات

+النوع الثالث
يعتبر أقل خطورة من الأول والثاني وهي تغرة معروفة ودائعة الصيط وهي الاكسس

مثال:
ثغرات الـ xss في موقع الهوتميل

وهذي الثغرات من خلالها نقدر نسحب ****ز أي عضو بالموقع مثل الهوتميل لكن تعتبر أقل خطورة

في استغلالها لأنها ممكن تدخلنا مثلاً بعضوية المدير العام كمثال في المنتدى

لكن رغم هداخطورتها ضعيفه لأننا لو دخلنا ما نعرف الباس وادا اردنا الحصول على الباس هذي هي المشكلة لكن لها حل لكن اعذروني ماراح اقوله لكم

اولا يجب ان نغيرالايميل لو دخلنا وغيرنا الايميل ما يتغير لاحظت انه يقول لي دخل الباس القديم وهده مشكلة ثانية لانني لا اعرف الباس القديم لأني داخل عن طريق ال****ز.
المشكلة الثالتة هي ان الهوتميل لا يقبل تغيير كلمة المرور بال****ز يعني يجب علينا ان تعرف القديمه.
وهنا يظهرمدى ذكاء ودهاء الهكر و بديهيته التي ترجع به الى حركة كنا نقوم بها عندما كنا ننسى كلمة مرورنا بالاميل
العذر ماراح اعلمك بالطريقه لاسبااب امنية بالمنتدى ههههههههههههههه

ملاحظة : وتختلف خطورةهدا النوع من الثغرات من سكريبت إلى آخر .

__________________________________________________ ________-

ز الثغرة RDP لاختراق جميع انظمة WINDOWS

الشرح منقول للافادة

وان شاء الله اصحاب الخبرة يفيدوك

التوقيع

http://up.top4top.net/uploads/2012/0...1d89065f71.gif


http://www.panoora.com/2min.htm

http://img199.imageshack.us/img199/7...y204978167.gif

http://www.mp3quran.net

 

   

رد مع اقتباس
قديم 05-05-2012, 07:51 PM   رقم المشاركة : 3 (permalink)
معلومات العضو
MazMaz

VBSPIDERS TEAM

 
الصورة الرمزية MazMaz
 

 

 
إحصائية العضو








MazMaz غير متواجد حالياً

إرسال رسالة عبر MSN إلى MazMaz

 

 

إحصائية الترشيح

عدد النقاط : 10
MazMaz is on a distinguished road

افتراضي رد: الثغرات


اظن ان الفكرة وضحت و الف شكر للأخ لولو لشرحه الكافي و الوافي

التوقيع

Mazmaz
--------------

 

   

رد مع اقتباس
قديم 05-09-2012, 01:16 AM   رقم المشاركة : 4 (permalink)
معلومات العضو
 
الصورة الرمزية loulou
 

 

 
إحصائية العضو







loulou غير متواجد حالياً

إرسال رسالة عبر MSN إلى loulou إرسال رسالة عبر Skype إلى loulou

 

 

إحصائية الترشيح

عدد النقاط : 10
loulou is on a distinguished road

افتراضي رد: الثغرات


اقتباس
مشاهدة المشاركة المشاركة الأصلية كتبت بواسطة MazMaz
اظن ان الفكرة وضحت و الف شكر للأخ لولو لشرحه الكافي و الوافي

منور اخي الكريم

و لا شكر على واجب
التوقيع

http://up.top4top.net/uploads/2012/0...1d89065f71.gif


http://www.panoora.com/2min.htm

http://img199.imageshack.us/img199/7...y204978167.gif

http://www.mp3quran.net

 

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)

أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع


الساعة الآن 02:43 PM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0