منتدي امبراطور البحرقلوب تميل وقربي اليك من المستحيل لاني جريح واشتاق يومان لان استريح فلا تخدعي
مع تحيات امبراطور البحر
roomak2000@yahoo.com

منتدي امبراطور البحرقلوب تميل وقربي اليك من المستحيل لاني جريح واشتاق يومان لان استريح فلا تخدعي

اوبن كام
 
الرئيسيةمنتدي امبراطوراليوميةمكتبة الصورس .و .جبحـثالأعضاءالمجموعاتالتسجيلدخول

شاطر | 
 

 المقال الأول الإختراق المواقع بالثغرات

اذهب الى الأسفل 
كاتب الموضوعرسالة
Admin
Admin
avatar

عدد المساهمات : 845
نقاط : 2425
عضو مميز : 7
تاريخ التسجيل : 23/11/2009
العمر : 33
الموقع : فى كل مكان اجد فيه طموحاتى واحلامى

مُساهمةموضوع: المقال الأول الإختراق المواقع بالثغرات   السبت مارس 27, 2010 1:04 pm

من خلال قرائتي للعديد من تكست الثغرات رغم قدامتها تبين لي عدة امور
* لن تخترق الموقع اللي مستضيفه السيرفر حتى تمتلك اليوزر والباسوور وهذا شيء طبيعي
* لن تخترق السيرفر حتى تمتلك ملف الصلاحيات اللي هو حق الحسابات للمواقع المستأجره
عند السيرفر بس سؤالي اللي محيرني ان الملف واقع تحت مجلد اسمه اي تي سي etc/passwd/
احيان يكون اسمه shadow ويعني ان كلمة المرور نجمه او اكس او علامة تعجب اما passwd فتأتي فيه
الكلمه مشفره وتستخدم لها john the ripper اللي يفك تشفيرها طبعا ملفات الشادو مالك امل للحين
على حسب علمي مافيه برنامج لها ؟؟؟
فيه سؤال هنا اللي نعرفه ان كل ملف له امتداد بس ليش الملف ذا ماله امتداد ؟
واذا حصلت الملف باي طريقه كانت ؟؟ باي صيغه احفظه هل يحفظ كتكست ام (pwd) او (اي صيغه) ؟
بعدين فيه سؤال ثاني المجلد اللي فيه الملف من مجلدات اليونكس ؟ لانه كما معروف ان اليونكس
له ست مجلدات
bin خاص بالملفات الثنائيه يعني اللي تشغل النظام
etc ملفات ادارة النظام ومن ظمنها الرووت اللي هو حساب مدير النظام او passwd
dev ملفات الاجهزه
lib مكتبات الربط الديناميكي اللي تساعد النظام في التشغيل
tmp الملفات الموقته او غير الثابته
usr اسماء المستخدمين وكلمات السر اللي لهم حسابت بالنظام
هل يعني ذلك لو ان السيرفر فيه نظام nt اقدر انزل الملف منه ؟ وان المجلدات نفسها اللي باليونكس
زي اللي موجوده في nt ام تختلف واسم الملف يختلف admin.pwd مثلا
* بالنسبه لطريقة الثغرات تعني الطرق للوصول للملفات السابقه او ملفات اخرى
ومن اشهرها ثغرات السي جي اي نسبة للمجلد cgi-bin او ملفات من امتداد cgi
ماعلينا ليش سموها ؟؟؟
طيب وشلون نتعامل مع الثغره والموقع ببساطه شديده لنفترض ان لدينا ثغرهphp.cgi ونريد
تطبيقها على موقع ذو دومين نيم يعني مو مستضاف مثلا [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] نفعل التالي
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] ثم نكتب cgi-bin/ ثم الثغره php.cgi بحيث تصبح الخطوات بعد تجميعها
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] الكلام هذا كله في المستعرض عندك في حقل الادرس العنوان
انا نسيت اقول حاجه ماني متأكد منها لعل من يعلق على الموضوع ان كانت غير صحيحه يصححها
ان ممكن تكون الثغره بمجلد ثاني اسمه scripts وتصبح الثغره السابقه
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
scripts خاص بسيرفرات فيها winnt
cgi-bin خاص بسيرفرات يونيكس او ايريس او لينكس
للمعلوميه المجلدات السابقه توضع فيها الملفات التنفيذبه من جهة السيرفر مثل الابلت جافا
اما ملفات السكربت جافا تنفذ على جهازك مثل اللي تطلع في المستعرض
ارجو ان تسامحوني اذا قصرت او اخطأت كما آمل منكم مد كفوفكم معي وتصحيحي حتى
اكمل الاجزاء الاخرى وفي الجزء الثاني رايح احط موقع اول موقع جربت عليه فكرت الاختراق
بقراءة المصدر من عرض الصفحه ولاهي فهلوه ولا شي بس تشغيل مخ ممكن مايكون للموقع اي اهميه
لنا بس الفكره اهم حاجه ...انا رايح احط لنك الموقع يمكن تطلع بالفكره وتعرف بساطتها
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
اما الصفحه فهي هنا وفكر !!!!!
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
وش توقع اسم المستخدم وكلمة المرور
الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو http://roomak.yoo7.com
 
المقال الأول الإختراق المواقع بالثغرات
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدي امبراطور البحرقلوب تميل وقربي اليك من المستحيل لاني جريح واشتاق يومان لان استريح فلا تخدعي :: برامج هاكر-
انتقل الى: