:: vBspiders Professional Network :: - تعرف على sql وطرقة البحت عن المواقع المصابة و10000 دورك للبحت

http://www.shy22.com/upfilpng/cdm43722.png

السلام عليكم ايه العناكب سوف نتحدة اليوم عن حقن قواعد البيانات

1.ماهوا الحقن

2.طرقة ايجاد المواقع المصابة

نبدء على بركة الله

SQL Injection أو بالعربية حقن الـ SQL او حقن قواعد البيانات ، هو نوع من الهجمات يعتمد

على إضافة شيفر SQL الى متغيرات النظام ، بحيث يتم تنفيذ هذه الجزئية من الشيفرة مع الشيفرة

الأساسية الموجودة في النظام ، لتوضيح الصورة ، سنطرح هذا المثال المكتوب بلغة PHP بإستخدام

نظام قواعد البيانات MySQL والتي تكلمنا عنها في درس سابق

كود:

<?$sql="SELECT * FROM users WHERE username=' " .$_POST['username'] . " '  AND password= ' " . $_POST['password'] . " ' " ; 
 

echo ' Query : '. $sql . ' 

' ; 

$result=mysql_query($sql) ; 

$rows=mysql_num_rows($result) ; 

if($rows > 0 )

{

    echo " You are logged in ! " ;

}

else

{

    echo " you are not allowed to log in here ! " ; 

}
 

?>

<form action="<?php echo $_SERVER['PHP_SELF'] ; ?> " method="post"><br/><input name="username"/><font color="#990000"> <br/><br/></font><input name="password"/><font color="#990000"> <br/><br/></font><input type="submit" value="Submit"/><br/></form>

في هذا الكود نقوم ببساطة بعرض مربعين لإدخال إسم المستخدم و كلمة المرور

ثم تقوم بفحص المدخلات فإذا وجدت في قاعدة البيانات سجل أو أكثر يطابق المدخلات فستسمح للزائر بالدخول ، و اذا لم تجد فلن تسمح له

الأن نفترض أن المخترق قام بإدخال التالي في حقل كلمة المرور :

كود:

' OR username LIKE '%

بذلك ستصبح جملة الإستعلام في أصل البرنامج بهذا الشكل

كود:

SELECT * FROM users WHERE username=' ' AND password= ' ' OR username LIKE '%'

جملة الإستعلام ستكون نتيجتها أكثر من سجل واحد بكل تأكيد ببساطة ستكون نتيجتها كافة السجلات

لأن أي سجل في قاعدة البيانات سيطابق شروط هذا الإستعلام بسبب وجود الشرط OR

هذا يعني أن المخترق سيتمكن من الوصول الى المنطقة التي لا يمكن الا للأعضاء أن يصلوا اليها

الان سوف نرى طريقة استمال الدورك من اجل ايجاد المواقع المصابة عن طريق محرك البحت جوجل

اول الدورك الان الدورك كبر قررة رفعه في ملف والاجل حمايته الاعضاء الكرام

للحميل الدورك من هنا

http://www.shy22.com/upfilpng/cdm43722.png

االن مع شرح الطريقة بصور

بعد فك الضغط عن الملف نقوم بفتحه من الافضل ببرنامج Notepad++

للتحميل Notepad++

http://www.shy22.com/upfilpng/vmp42516.png

http://www.shy22.com/upfilpng/9xj42516.png

http://www.shy22.com/upfilpng/zpm42516.png

http://www.shy22.com/upfilpng/3ww42516.png

http://www.shy22.com/upfilpng/p8v42516.png

الان نقوم بوضع المتغير ' سوف تجدونه في الرقم 4 على الكيبدورد من الاعلى

بعد اضافة المتغير يصبح الرابط كتالي

http://www.shy22.com/upfilpng/nnl42824.png

الان بعد الضغط على مفتاح الادخال انتر سوف تضهر تغيرات ليس التغيرات

متنوعة ليس هناك تخير محدد

الان فل نرى المتال مدا حصل

http://www.shy22.com/upfilpng/ymn42824.png

الان هدا الموقع مصاب بتغرة الحقن ماعليك سوا العمل على حقنه وسوف نشرح هدا في الدرس القادم

ان شاء الله