بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

صباح / مساء الخير عليكم جميعا .. ان شاء الله تكونو كلكم في تمام الصحة والعافية :redface:

اود ان اطرح سؤال بسيط لمن لديه خبرة في مجال اختراق المواقع :)

في المواقع الكبيرة (الشركات والمؤسسات) يكون هناك ادمن ومجموعة مدراء "لادارة الموقع" وتكون صلاحياتهم اقل من الادمن .. ويكون لكل مدير صفحة خاصة به او قسم يديره على الموقع (او السيرفر) يفعل به ما يشاء
سؤالي : اذا استطعت الحصول على بيانات احد المدراء هل استطيع ان ارفع الشيل من خلاله واخترق الموقع (او السيرفر) بالكامل ؟ وكيف ؟ ( مع العلم انني عجزت ان احصل على باسورد الادمن )
وهل استطيع اخفاء الشيل ( او حذفه بعد اتمام المهمة ) بحيث لا يعرفه الادمن او اي احد من المدراء او حتى زوار الموقع ؟

وشكرا جزيلا :)
انتظر ردودكم

المفروض موضوعك ينقل لقسم المشاكل والاستفسارات

نعم اخي حسب ما اعرف ان هناك مواقع بعد ان تدخل لوحة تحكم الأدمن يمكن انك ترفع الشل من دون دخول لوحة الِCpanel أو ما شابه و هناك بعض المواقع تمكنك من رفع الشل او اي ملف تريد من لوحة تحكم الأدمن ما دمت في الموقع و العلم لله . ذلك حسب خبرتي و السلام تقبل مروري :)

في القسم الخاطأ، ينقل لقسم المشاكل والاستفسارات

بالتوفيق للجميع.

جزاك الله خير اخي Mohamed4ch .. واتمنى الاجابة من باقي الهكرز المحترفين ولو حتى بمعلومة بسيطة :)
وشكرا لكم جميعا

وعليكم السلام ورحمة الله وبركاتة
اسف لتجاهلي اول مرة، لكن وقتها كنت مشغول قليلاً.


سؤالي : اذا استطعت الحصول على بيانات احد المدراء هل استطيع ان ارفع الشيل من خلاله واخترق الموقع (او السيرفر) بالكامل ؟ وكيف ؟

لو ما كان معك بيانات الادمن لكبير ما بتغضر ترفع شل، وحتى ممكن انه ايضاً الادمن لكبير نفسه ما يكون معه تصريح لرفع ملفات PHP لسبب الحماية والخوف في حال تم اختراق بياناتهم
وخصوصاُ لانك مثل ما بتقول انت مواقع كبيرة ومؤسسات وما بعرف شو ..
انا حتى بعتقد انه الادمن لكبير ما راح يكون معه تصريح لرفع ملفات PHP، فما بالك بالاصغر :)

طيب راح تسالني لو الادمن لكبير وصاحب الموقع نفسه ما كان معه تصريح لرفع ملفات PHP فكيف اذا بده يرفع ملفات على موقعه ؟؟!
في شي اسمه لوحة تحكم cPanel وغيرها العديد من الانواع، فهذه اللوحة بياناتها بكونو فقط مع مدير وصاحب الموقع الاكبر، فمن خلال هذه اللوحة بامكانه التحكم بالموقع كاملاً من ناحية رفع وتعديل وحذف والعديد العديد العديد
لانه اللوحة الي بدخلو منها جميع اصحاب الموقع الي الادمن معطيهم تصريح للاشراف على اقسام مثلا، فهذا هو سكربت يكون قد تم تركيبة على الموقع ومن ثم تم انشاء هذا الموقع
والمدراء قد قامو بتنزيل فيه ما يرغبون بما يخص اعمالهم وغير اعمالهم حتى في الاخير قد حصلو على موقع كامل.


وهل استطيع اخفاء الشيل ( او حذفه بعد اتمام المهمة ) بحيث لا يعرفه الادمن او اي احد من المدراء او حتى زوار الموقع ؟
لو تمكنت من رفع الشيل فبكل تأكيد بامكانك حذفه نهائياً
فأما بخصوص اخفائة، تفضل هذا الدروس
http://www.aljyyosh.com/vb/showthread.php?t=32774
http://www.aljyyosh.com/vb/showthread.php?t=29452

وكان في كمان هذا الدرس بفيدك جداً
http://www.aljyyosh.com/vb/showthread.php?t=32774

لكن للاسف حالياً الرابط معطل لسبب تعطيل حسابي في الميديافاير من قبل الشركة !
راح احاول اتخلص من هاي المشكلة باقرب وقت ممكن، وشوف لدروس الي اعطيتك اياهم فوق، بفيدوك


تحياتي
بالتوفيق عزيزي.

لا اعتقد لان اكل شركة لديها شخص او موضف يقوم بمراجعة البيانات و العمليات وغالبا ما تتم عن طريق الباك تراك, و شكراااا

شكرا لكم اخواني QtRoNiX FoX و walidrap .. جزاكم الله خير استفدت من ردودكم :)
وشكرا لك اخي QtRoNiX FoX شرفت ونورت الموضوع :) .. على راسي والله

طيب هلا انا لقيت ثغرة Blind SQL Injection في هذي الموؤسسة بواسطة برنامج Acunetix ..
ولما جيت استخدمت برنامج Havij 1.15 ظهرت لي هذه الرسالة " Error (10060): The attempt to connect timed out "
معناها انو محاولة الاتصال انقطعت .. وحتى لما اجي بفتح موقع المؤسسة بالمتصفح ما بيفتح معي .. يعني انو ال ip تبعي بلوك من الموقع :(

مع العلم انو قبل يومين سويت نفس الخطوات في برنامج هافج وزبط معي وجاب لي قاعدة البيانات والجداول وكل اشي .. بس دحين ما عم يزبط معي :((( ليش ؟

ياليت تساعدوني يا اخوان :( وجزاكم الله خير

مشكور اخي :)