:: vBspiders Professional Network :: - دورة اكتشاف ثغرات الفايل انكلود + ثغرات xss وفحص ملفات php بالصو [حصـري]ر

ـآإلســلأأإم عليــكم ورحمة اللــه .. وبركـآ’إتــه ..
أعضـىآءً شبـ ًَكـ‘ـه العنـآكَـب الإحًترّآفيـة,,

ـآإخبــآركم وش مسوين ان شـآإء الله تمـآإم ..

طيب

اليوم نبي نشرح .. طريقة اكتشـآإف..ثغرت الفايل.انكولد و ثغرت xss وملفـآإت php

وطبعـآإ. الكل عـآإرفهـآإ.. والبعض.. لا . بس انا حبيت انزلهـآإ. عشـآإن الكل يستفيـد..

طبعـآإ. ـآ’إنـآإ. عـآإرفهـآإ. ورـآإح اطبقهـآإ..

وطبعـآإ. بعضنـآإ. يعتمـد . على موـآإقـع السكيورتي عشـآإن يشوف اخر الثغرـآ’إت..

احب ـآإقوٍِل. شي وصرـآإحه البعض لأأ يجهلـه . افضل طريقه يعني بالاخترـآإق..

انك انت تطلع الثغره . وتسفيد منهـآإ. < وطبعـآإ. الكل يقول انا عـآإرف.

بس انا لسى مبتدا .:< طيب يـآ’إ‘لغالي. انا رـآإح اشرح شرح بسيط وان شاء الله

تسفيد منه كثير..

نبــدا .. شرحنـآإ.

مثـآإل. عندنـآإ. هالموقع هذآـآإ.

ـآإضــغــط .. هنـآ’إ.

طبعـآإ. الموقع مركب اسكربت بطـآإقـآإت .

طيب انا ما فهمت قصدك يـآإهستر . ولا ادري كيف اعرف .

طيب يـآإلغالي. انزل لاخر الصفـحه . ورـآإح تلقى مثل هذي الصوره ..

http://img129.imageshack.us/img129/2219/19932913gx3.gif

طيب الحين عرفنـآإ. نوعهـآإ. او بالاحرى اسـم السكربت .> vCard PRO وعرفنـآإ. رقـم الاصـدار. 3.1

طيب الحين وش نبي نسوي.. يلزمك تحمل السكربت .. او نكتبه

vCard PRO 3.1 Download
في قوقل ونحمله .. انا مو متعبـكم ..

حملـه من هنـآإ..

الحين حملنـآإه على جهـآإزنـآإ. وش بـآإقي.. بـإآقي يـآإحبة عيـني.

برنـآإمج PHP Expert Editor

طيب وش فـآإيدة هذا البرنـآإمج يـآإهستر. هذا يالغالي. عشـآإن تحرر ملفـآإت php

ايوه الحين عرفت .. طيب وين الرابط لا تستعجل ههههه

حمـل البرنـآإإإمــج

بعد مـآإحملنـآإ. البرنـآإمج وتنصيبه ..

نروح لمجلـد السكربت ..الي حملنـآإ قبل.

http://www9.0zz0.com/2010/07/27/17/599572678.png

فتحنـآإ. المجلد .. ونروح نفتح ملف.. gbrowse.php

ونشوف الحين .. الدوال علشنـآإ. نعرف الثغرره فيـه ولا لا

http://www9.0zz0.com/2010/07/27/17/643509162.png

مثل ماشفنـآإ. كل دـآإله بجنبـآإ او امامها عــلإمـة --> $
طيب الحين ننزل شوي..
http://img233.imageshack.us/img233/9615/89514239ff2.gif

طيب ـآإلحين عرفنـآإ. وين نحصل. الدـآإله وتكون جنبهـآإ. > $

والحين نجي للاستفـآإده منهـآإ.

هذا رـآإبط السكربت

http://www.albatoul.net/vcard

نبي نضيف عليه الحين اسـم الملف. gbrowse.php

الي طلعنـآإ. منه الدـآإلـه عشـآإن يكون كذا

http://www.albatoul.net/vcard/gbrowse.php

بعد مـآإ اضفنـآإ. اسم الملـف.. نزيـد عليــه علامة ..> (( ؟ ))

عشـأن يكون مثل كذـآإ..

http://www.albatoul.net/vcard/gbrowse.php?

ـآإلحين بعد اضـآإفة علامة (( ? )) نضيف عليهـآإ. الدـآإله للاختبـآإر .. ..> cat_id

عشـآإن يكون كذـآإ.. http://www.albatoul.net/vcard/gbrowse.php?cat_id

smilies3

بعد اضـآإفـه الدـآإلـده نضيف الرمز ... ( = ) بعدهـآإ. مبـآإشره عشـآإن يكون كذا

http://www.albatoul.net/vcard/gbrowse.php?cat_id=

الحين مثل مـآإشفنـآإ,. الرـإبـط ينتهي.. بعلامة =
smilies11

نظيف خلف علامة = اختبـآإر ثغرة xss

وهذي اكواد اختبـآإر.. xss

حمل من هنـآإ <<

ولختبـآإر ثغرـآإة فـآإيل. انكلود نظيف الشل بـآإمتدـآإد txt

http://alm3refh12.jeeran.com/f/5file-Include.gif

نضيف اختبار ثغرة xss ونشوف

http://img108.imageshack.us/img108/1464/63868569pg1.gif

مـآإطلع شي .. نضيف ـإلأأن رـآإبط ـآإلشل بمتداد txt لختبار ثغرات الفايل انكلود واذا ماطلع شي نغير الداله لحد ماتحصل على نتيجه

,,,,
http://img159.imageshack.us/img159/7304/88750506xa3.gif

http://img117.imageshack.us/img117/9868/99766181no3.gif

آأإلحيـن طلع معنـآإ. خطـآإ.. في الصفحه . او لامكن العثور عليهـآإ..

طيب اما راح تحصل وحده تعطيك ثغره xss
او وحده تطلع معاك فايل انكلود وتسحب فيها الشل

وملفات php قد يحتاج الوصول لستثمار الخطأ يكون عندك خبره في لغةphp علشان تقدر تستثمر اخطاء المبرمج وتستغلها بحيث احيان يتطلب الامر الربط بين داله واخرى لاكن بعض السكرت يكون المبرمج ارتكب اخطاء كثيره

لاكن هذا الجزء اسهل من طرق اكتشاف ثغرات الفايل انكلود و xss وهو خاص في المبتدئين

ان شاء الله يكون الشرح واضح للجميع

,,,
الشرح مقـدم من / الكمـالي -rEmOtEr
أي أستفسـىآر انا جـاهز..
الكمـالي اسطورة صنعـاء smilies11