المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : شرح لثغرات البيرل ومثال لاستغلال ثغرة للوصل لهاش الادمين بالصور



ASDELY-ScOrPiOn
06-01-2009, 08:36 PM
بسم الله الرحمن الرحيم ..



طبعا اخواني .. كثرة الاسئله والاستفسارت عن ثغرات البيرل ,,



وكيف نستغلها او شو مغزاها ..



اليوم رح ناخذ درس عملي .. رح ناخد ثغره من الميل ورم .. و



ونشوف طريقة استغلالها .. وكمان نقرا الكود ونشوف الية عمله..



المهم نبدا الشرح ..


وقبل كل شي .. لازم يكون مفسر البيرل نازل على جهازك ..



وطبعا اعتقد ذكر هالموضوع من قبل ..



لكن للتاكيد هي رابط تنزيل المفسر ..



http://downloads.activestate.com/Act...x86-211909.msi (http://downloads.activestate.com/ActivePerl/Windows/5.8/ActivePerl-5.8.7.815-MSWin32-x86-211909.msi)


الان نروح للشرح ..



هذا رابط الثغره اللي رح نشتغل عليها


http://www.milw0rm.com/exploits/6778 (http://www.milw0rm.com/exploits/6778)


لما نشوف بالاول /usr/bin/perl



اوكي معناته الثغره بلغة البيرل ..



طيب ننسخ الكود كامل ونحطه بمفكرة .. ونحفظه باي اسم لكن بامتداد pl


وفي القرص c


مثلا انا رح سمه Xoops .pl


لان نروح لل RUN ونكتب CMD


بعدين CD\


وبعدين XOOPS.PL


تابع معي الصور ..


1-http://i270.photobucket.com/albums/jj104/syrianwolf/1-2.jpg



2-http://i270.photobucket.com/albums/jj104/syrianwolf/2-2.jpg



3-http://i270.photobucket.com/albums/jj104/syrianwolf/3-1.jpg



هذا شكل السكريبت بعد ما دسنا انتر ..



4-
http://i270.photobucket.com/albums/jj104/syrianwolf/4-1.jpg



طيب الان نروح نشوف الدورك



Google_Dork: inurl:"/modules/GesGaleri


نحط الدورك


inurl:"/modules/GesGaleri في جوجل ونختار فار تجارب ..



5-http://i270.photobucket.com/albums/jj104/syrianwolf/5-1.jpg



انا اخترت الموقع هذا ..


http://www.kadirlitarim.gov.tr/modul...leri/index.php (http://www.kadirlitarim.gov.tr/modules/GesGaleri/index.php)



لول .. موقع حكومي تركي .. رح يزعلو منا الاتراك خخ..مع العلم مكتشفي الثغره اتراك خخخ




ناخد الموقع .. ونحطه بالكود .. وندوس انتر


6-
http://i270.photobucket.com/albums/jj104/syrianwolf/6-1.jpg



ننتظر دقيقتن كده .. ونشوف النتيجه ..


7-
http://i270.photobucket.com/albums/jj104/syrianwolf/7.jpg


.. طلع معنا هاش الادمن.. باقي عليك تفك وتخترق ..



طبعا لو تقرا الكود رح تشوف اول شي ..


Xoops GesGaleri Sql injection


ثغرة سكول بسكريبت ال XOOPS


نشوف طريقة لاستغلال ..


8-
http://i270.photobucket.com/albums/jj104/syrianwolf/8.jpg


يعني السكريبت ده بيوفر الوقت .. خخخخخ


تقدر تستغل من دون السكريبت لكن هذا الشرح لمعرفة مدى فائده البيرل


اي استفسار انا جاهز تحياتي لكم..

للأمانه الشرح منقول شفته في احد المواقع وقلت الشرح مهم

اسد سوريا
09-15-2009, 06:38 AM
شكرا يالغلا

ABOALLEL
09-20-2009, 09:49 AM
مشكور يا غالي

mxz
01-26-2010, 06:52 PM
والله مافهمت شي بس مشكور اخوي ... لو انك توجه الشرح بصفـه عامه يكون احسن .. مثل تقول نروح للدوس ونكتب هالكلمه وانت عليك تروح للميل روح وتشوف الثغره وتحط عليها بالرسام علامه علشان يعرفونه يكون وفـيت لنا والله يجزاك خيرر اخوي مأعأتبك بس بالعكس ابـيك الي الامام

الهكر المجهول
01-26-2010, 10:51 PM
مشكوووووووووووور علي الثغرة بس لو تتأكذ من لصور لانها مبططلع عندي
تحياتي

ابن الموت
11-23-2010, 07:16 AM
مشكور يالغالي

يعطيك العافية

e . V . E . L
12-31-2010, 01:26 PM
شرح كافي ووافي وثغرة البيرل منتشرة كثير هذي الايام .ز.

hooos
12-31-2010, 02:17 PM
مشكور والله يعطيك العافيه

Pc@Dz
12-31-2010, 07:05 PM
السلام عليكم اخي اولا مشكور على الشرح الكامل
عندي استفسار هل نستطيع استخراج يوزر الادمن من الاستغلال؟

She!! Access
12-31-2010, 07:27 PM
السلام عليكم اخي اولا مشكور على الشرح الكامل
عندي استفسار هل نستطيع استخراج يوزر الادمن من الاستغلال؟

عزيزي الشرح هو لكيفية استغلال ثغرات البيرل بشكل عام وليس لهذه الثغرة بشكل خاص. وبالنسبة لسؤالك فهذا يعتمد على الإستغلال نفسه
اتمنى تكون وصلتك الفكرة

dark_ma
01-01-2011, 11:43 PM
مشكور والله يعطيك الف عافية وشرح مفصل للبيرل
واصل ابداعك يا غالي
تحياتي...

bachir66
01-07-2011, 12:37 AM
يعطيك آلف عافيه يالغالي
تقبل مروري المتوآضع

legend406
01-29-2012, 01:01 AM
أنت مبدع تسلم يا غالي جزاك الله خير