قبل إضافة استفسارك ولكي لا يتعرض للحذف، أو ان تتعرض أنت للحظر، اقرأ قوانين قسم الإستفسارات
سلام عليكم . .. ودي اختصر الموضوع اذ جيت احط نقطة الاستعلام لثغرة سكوول في نهاية الرابط يجي فوربدين كيف اعرف ان المووقع مصاب .. ! ارجو المساعدددة
اخي تضع على الرقم المتغير علامة ( ') اذا طلعلك خطاء يعني الموقع مصاب . You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' ORDER BY title ASC' at line 1 وفي بعض الاحيان يخرج غير شكل من الخطاء . لكن هذا نوع فقط من الانواع . وتكمل باقي الاستغلال اليدوي . بالتوفيق ---------------------------------------------- نقوم باظافة هذه العبارة +order+by+ متبوعة برقم هذا فقط لنحصل عدد الاعمدة الموجودة نجرب 10 وممكن تكون اكثر العبارة التالية Unknown column '10' in 'order clause' تعني ان هذا العدد من الاعمدة غير موجود لذلك سنحاول ان ننقص من عدد الاعمدة حتى يختفي الخطأ الان اختفى الخطأ في 7 يعني ان عدد الأعمدة هو 7 طبعا نقوم باظافة العبارة التالية +union+select+ متبوعة بعدد العمدة بالتتالي و بينها علامة , 1,2,3,4,5,6,7 و ايضا نقوم باظافة علامة (- )قبل الرقم الذي بعد =id و في الاخير علامتي( -- ) لنوقف الاوامر الان نعرف ان العمود المصاب هو 4 و هو الذي سنطبق به اوامر السكيول الأمر الأول هو الإستعلام عن اصدار القاعدة version() نضعه مكان رقم 4 اصدار القاعدة هو: 5.5.14 الان نضع مكان 4 اثنان هذا الأمر group_concat(table_name) و في اخر الرابط نظيف هذه الأوامر +from+information_schema.tables+where+ta*ble_schem a=database()--
التعديل الأخير تم بواسطة shhaby ; 04-12-2014 الساعة 12:11 PM
لا اله الا الله محمد رسول الله
طريقتك قديمة استعمل برنامج havji هو يحقن ويتاكد اذا الموقع مصاب او لا ويستخرجبك الباس واليوزر .. هاد شرحه http://www.aljyyosh.com/vb/showthread.php?t=38459 في ناس هون بالمنتدى ما بحب يعلم الميتدئين بكل جديد بظل يرهقهم ويتعبهم بخطوات طويله وصعبه بحب يحتفظ بالجديد لحالو
من مواضيعي: {Private} جلــــب ضحــايــا بالالاف من دون تشفير السيرفر شرح تحويل السيرفر الى رابط مباشـر للمبتدئين {الاختراق) عبر الـ ftp ــوــ telnet {الًًٌُشرُحًُ المفًٌُصًٌُل} الشرح التفصيلي للحل النهائي لمشكلة التبليغ الخارجي لاصحاب مودم usb او brodband {شرح} تشًٌُفًٌٌُير سيرفر بيفـورستًٌُ+سيرفر بيزوٌٌُنُ من حماية الـavast اكواد فايروس تدمير جهاز الضحيه 100% احتراف التشفيـــر بالـ{الهكس}<{بالاولي}< بيسك< للتواصل: https://www.facebook.com/salte.haker?ref=tn_tnmn
المشاركة الأصلية كتبت بواسطة Sålðe Åddîçt Håhér طريقتك قديمة استعمل برنامج havji هو يحقن ويتاكد اذا الموقع مصاب او لا ويستخرجبك الباس واليوزر .. هاد شرحه http://www.aljyyosh.com/vb/showthread.php?t=38459 في ناس هون بالمنتدى ما بحب يعلم الميتدئين بكل جديد بظل يرهقهم ويتعبهم بخطوات طويله وصعبه بحب يحتفظ بالجديد لحالو بص يا اخي اني لا ارهق المبتدئين ولا حاجة صحيح يوجد برنامج الهافج لكن صدقني لا تعتمد عليه كليا فقط في بعض المواقع او استخراج لوحة التحكم في بعض الاحيان . لكن اتحداك ان يكون برنامج الهافج افضل من الحقن اليدوي... والسبب ان المبرمج لايستطيع ان يخترق جميع المواقع المصابة بثغرة السكيول في برنامجه كيف يستطيع البرنامج تخطي ( Not Acceptable ) او ( Forbidden 403) . على كل حال ما اعرف انت ليش تشكك في ردي مع العلم اني عاوز اساعد صاحب المشكلة واي سؤال اني حاظر واذا عاوز برنامج الهافج ارفعله البرنامج واضعه له في الموضوع . واخير ( هذه المرة الثانية التي انبهك فيها بالردود تبعك انتبه جيدا لا تتجاوز عندما تعقب على ردودي في المرة الثالثة ؟؟؟؟؟؟)
المشاركة الأصلية كتبت بواسطة shhaby اخي تضع على الرقم المتغير علامة ( ') اذا طلعلك خطاء يعني الموقع مصاب . You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' ORDER BY title ASC' at line 1 وفي بعض الاحيان يخرج غير شكل من الخطاء . لكن هذا نوع فقط من الانواع . وتكمل باقي الاستغلال اليدوي . بالتوفيق ---------------------------------------------- نقوم باظافة هذه العبارة +order+by+ متبوعة برقم هذا فقط لنحصل عدد الاعمدة الموجودة نجرب 10 وممكن تكون اكثر العبارة التالية Unknown column '10' in 'order clause' تعني ان هذا العدد من الاعمدة غير موجود لذلك سنحاول ان ننقص من عدد الاعمدة حتى يختفي الخطأ الان اختفى الخطأ في 7 يعني ان عدد الأعمدة هو 7 طبعا نقوم باظافة العبارة التالية +union+select+ متبوعة بعدد العمدة بالتتالي و بينها علامة , 1,2,3,4,5,6,7 و ايضا نقوم باظافة علامة (- )قبل الرقم الذي بعد =id و في الاخير علامتي( -- ) لنوقف الاوامر الان نعرف ان العمود المصاب هو 4 و هو الذي سنطبق به اوامر السكيول الأمر الأول هو الإستعلام عن اصدار القاعدة version() نضعه مكان رقم 4 اصدار القاعدة هو: 5.5.14 الان نضع مكان 4 اثنان هذا الأمر group_concat(table_name) و في اخر الرابط نظيف هذه الأوامر +from+information_schema.tables+where+ta*ble_schem a=database()-- شكر ا على الردد .. لكن ي الغالي ! انت م فهمت وش اقصدد .. اول م ضيف ' عشان اتاكد فيه ثغرة سكول ولا لا ! يجي لي فوربدين ! وش الحل كيف اتاكد اذ فيه ولا لا ! وكلامك صح هافيج م يقدر يتخطى الفوربدين - - - تم التحديث - - -
التعديل الأخير تم بواسطة M34BHM ; 04-13-2014 الساعة 12:35 AM
اخي توجد دوركات كثيرة فيها مواقع sql لكن ليس كل المواقع مصابة بالثغرة انت تحط الدورك في قوقل وتخرجلك المواقع . تدخل على موقع موقع وتحط بعد الرقم المتغير علامة (') واذا خرجلك خطاء Error يعني الموقع مصاب بالثغرة وتروح تطبق علية الاختراق اما يدوي واما بالهافج . لكن توجد هناك مواقع مرقعين الثغرة تشوف غيرها . --------------------------------------- تخطي Forbidden 403 اثناء استخراج العامود المصاب اضافة الفلتر /*! */ على كلمة select لتصبح بهذا الشكل /*!select*/ واذا لم تنجح الطريقة العب بكلمة select لتصبح بهذا الشكل /*!SeLeCt*/ احرف سمول وأحرف كابتل
كلام الاح شهاب مظبوط
احذر مني لانك لا تعرفني لانك لو عرفتني لخشيت ان تنظر في وجهي وانا لن اخشي منك لانني لا اخشي من احد غير الله الذي فطرني ----------------------------------------------------- ----------------------------------------------------- my skype : mohamed.eid115 my facebook acc
شكرا .. لكن لين الحين م فهمتني موقع مستهدف .. ! لمن اضيف له هذي النقطة ( ' ) دايركت يجي لي Forbidden 403 هذى لسى بس ابي اتاكد وجالي كذا ! كيف راح اتاكد انه مصاب ! ؟
مش شرط (') ممكن (*) ولو مانفعش الاتنين يبقي الموقع مرقع الثغرة
والله منكم نستفيد مشكورين يا جماعه
قوانين المنتدى