انظم الى قناتنا على التليجرام الان       انظم الان!
الصفحة الرئيسية
ادوات اختراق
ترموكس

شرح استغلال المواقع بثغره SQL injection وشرح التعامل معها والفحص لايجادها بطريقه احترافيه

شرح استغلال المواقع بثغره SQL injection وشرح التعامل معها والفحص لايجادها بطريقه احترافيه


 

استغلال ثغرة SQL Injection بأداة sqlmap على كالي لينكس


بسم الله الرحمن الرحيم و الصلاة و السلام على اشرف المرسلين اما بعد

السلام عليكم  و رحمة الله تعالى و بركاته

مرحباً بكم اخواني الكرام في شرح اليوم 

شرح اليوم يا حبايبي في مجال الاختراق

 و هو شرح هدفه التعليم ﻻ اكثر .. بمعنى اي شيء غير قانوني تقوم به فأنا بريء منه :)

و من منا ﻻ يعرف ثغرة SQL Injection او مايعرف بثغرات الحقن التي احتلت مئات الالاف من المواقع الكبيرة منها و الصغيرة


بداية سنعرفها ببساطة : 

ثغرة SQL Injection هي ثغرة امنية توجد في قواعد البيانات الخاصة بالمواقع

و تمكننا من رؤية كل ما بقاعدة البيانات من جداول الى اعمدة و من اعمدة الى بيانات

كيف نكتشفها ؟ : 

ساشرح لكم طريقة اكتشافها من الرابط اخواني و ليس من السكربت البرمجي

الطريقة بسيطة جدا

يجب ان يكون الرابط على الشكل

http://www.site.com/[anything].[anything]?[anything]=[integer(number)]


و anything يتم استبدالها بأي كلمة مثل

www.site.com/index.php?id=6

www.site.com/book.php?cid=7

www.site.php/member_profile.asp?mnl=20

...الخ من الروابط

الان بعدما نحصل على هذا الرابط نضيف هذه العلامة   في نهاية الرابط فقط

مثل هكذا

www.site.com/index.php?id=6       

اذا لم يتغير شكل الموقع وبقي مثل ماهو اذاً فهو سليم و غير مصاب

اما اذا تغير شكل الموقع بدون اخطاء فهناك احتمالية قليلة بإصابته

و اذا ظهر لكم خطأ مثل 

This error message may seem cryptic at first. That is because it is a general MySQL error pointing to a syntax error of ..... 

او 

You have an error in your SQL syntax; check the manual that  ....

....  

اذا فالموقع مصاب بهذه الثغرة

الآن ننتقل الى

طريقة استغلال الثغرة :


لاستغلال ثغرة SQL Injection اخواني هناك طريقتين 

طريقة الحقن اليدوي : و طبعا طريقة يدوية و متعبة و بدون اي برامج فقط تضيف تعديلات على الرابط مثل

 union+select+,1,2,3,4,5

order+by+6

و العديد من الاوامر مايجعله يديوي و صعب و لكن نتيجته ممتازة

طريقة الحقن الاوتوماتيكي : و طبعاً هي المشهورة نظراً لسهولتها و سرعتها

لأنه يستعمل فيها البرامج مثل Havij و اداة sqlmap فقط عليك وضع الرابط و تنتظر النتائج ^_^

 و في هذا الشرح سنشرح الحقن الاوتوماتيكي و بالتحديد اداة sqlmap الموجودة في كالي لينكس

 و يمكنكم تحميلها على الويندوز ايضا من الموقع الرسمي : sqlmap





رفعت الشرح علئ اليوتيوب ولاكن شركه يوتيوب حذفت الفيديو لانه مخالف لبنود وخصوصيات يوتيوب


الشرح في قناتي التليجرام 

الاوامر المستعملة في الشرح : 

sqlmap -u [site] --dbs

sqlmap -u [site] -D [Database Name] --tables

sqlmap -u [site] -D [Database] -T [Table] --columns

sqlmap -u [site]  -D [Databas] -T [Table ] -C [Column1,Column2,...] --dump


#ادوات اختراق #ترموكس #كالي لينكس

تعليق واحد

  1. جيد
© SamiSoft Powered By SaMi SoFt
موافقة ملفات تعريف الارتباط
نحن نقدم ملفات تعريف الارتباط على هذا الموقع لتحليل حركة المرور وتذكر تفضيلاتك وتحسين تجربتك.
More Details
Oops!
يبدو أن هناك خطأ ما في اتصالك بالإنترنت. يرجى الاتصال بالإنترنت وبدء التصفح مرة أخرى.
تم اكتشاف حظر الاعلانات!
لقد اكتشفنا أنك تستخدم مكونًا إضافيًا لحظر الإعلانات في متصفحك.
تُستخدم الإيرادات التي نكسبها من خلال الإعلانات لإدارة موقع الويب هذا، ونطلب منك إدراج موقعنا على الويب في القائمة البيضاء في مكون حظر الإعلانات الخاص بك.
Site is Blocked
Sorry! This site is not available in your country.