KaLa$nikoV
<b><font color="DarkRed" size="2">VBSPIDERS TEAM</
افتراضي سكريبت Injector لاكتشاف ثغرات SQL
بسم الله الرحمن الرحيم
السكربت خاص بمستخدمي ليونكس فقط لاغير
جميع الحقوق محفوظه لمحمد كلاي اللنكساوي المبدع
وافتخر بالنقل عنه
اولا عيد مبارك وسعيد لكم وللامة الاسلامية نتمنى من الله ان يتقبل من صيامنا وان يعيد علينا رمضان بالصحة والعافية ومغفرة الدنوب ان شاء الله.
انه لمن المدهش ما يمكن فعله عند دمج لغات البرمجة فلقد تمكنت والحمد لله من برمجة سكريبت لاكتشاف ثغرات SQL واستخراج عدد الاعمدة ثم عدد الاعمدة المصابة وايضا استخراج اصدار MySQL وانطلاقا من الاصدار يقوم السكريبت باعطائك النصيحة الملائمة وان صح التعبير فهو يقوم بكتابة الاستغلال والسكريبت هو اندماج بين لغة PHP ولغة Bash هده الاخيرة خاصة ب Linux فقط مما يعني ان السكريبت لا يشتغل الا على انظمة Linux ودعوني اشرح لكم كيفية عمل السكريبت فهو يستقبل بارامترين عنوان الصفحة ثم القيمة التي تستقبلها الصفحة مثال على تشغيل السكريبت
كود PHP:
يعني تقوم بالتفريق بين عنوان الصفحة والقيمة التي تستقبلها قاعدة البيانات بعد دلك يقوم السكريبت بتنفيد استعلام خاطئ والبحث عن كلمة SQL في سورس كود الصفحة و كما تعلمون فان كلمة SQL تظهر اثناء وجود الخطا فادا حصل عليها يقوم بمحاولة لمعرفة عدد الاعمدة ثم عدد الاعمدة المصابة ثم يقوم بمحاولة للحصول على اصدار قاعدة البيانات واخيرا يقوم بكتابة طريقة اختراق هدا الاصدار ثم يكتب الاستغلال وهدا مثال لاشتغال السكريبت من جهازي
أضغط على هذه اللوحة لرؤية الصورة المصغرة.
وادا لم يجد السكريبت خطا فانه يطبع جملة "لم يتم العثور على خطا ولكنني مجرد سكريبت ربما يمكن ان يكون هنالك خطا" ولقد تعمدت كتابة هده الجملة لانبه الى نقطة اساسية فالادوات هي عبارة عن سطور برمجية تقوم بعمل محدد وفق شروط محددة ولو حدث اختلاف بسيط في الشروط فان البرنامج لن يكتمل .
وكملحوظة اخيرة قد يقول لي البعض لقد اكتشف السكريبت العمود 7 ولكنه لا يظهر اثناء استغلال الصفحة ففي هدا الصدد فالسكريبت لم يخطا لانه يقرا من سورس كود الصفحة وفي بعض الاحيان قد يظهر العمود المصاب في سورس كود الصفحة فادا فتحتها فسوف تجده هناك
ولتشغيل السكريبت فكل ما عليكم فعله هو التنقل عبر الشل الى مكان تواجد الملف ثم نفدو هده الاوامر لتغير اسمه وجعله تنفيدي
كود PHP:
ولتشغيله هكدا
كود PHP:
و عيد مبروك
السكربت خاص بمستخدمي ليونكس فقط لاغير
جميع الحقوق محفوظه لمحمد كلاي اللنكساوي المبدع
وافتخر بالنقل عنه
اولا عيد مبارك وسعيد لكم وللامة الاسلامية نتمنى من الله ان يتقبل من صيامنا وان يعيد علينا رمضان بالصحة والعافية ومغفرة الدنوب ان شاء الله.
انه لمن المدهش ما يمكن فعله عند دمج لغات البرمجة فلقد تمكنت والحمد لله من برمجة سكريبت لاكتشاف ثغرات SQL واستخراج عدد الاعمدة ثم عدد الاعمدة المصابة وايضا استخراج اصدار MySQL وانطلاقا من الاصدار يقوم السكريبت باعطائك النصيحة الملائمة وان صح التعبير فهو يقوم بكتابة الاستغلال والسكريبت هو اندماج بين لغة PHP ولغة Bash هده الاخيرة خاصة ب Linux فقط مما يعني ان السكريبت لا يشتغل الا على انظمة Linux ودعوني اشرح لكم كيفية عمل السكريبت فهو يستقبل بارامترين عنوان الصفحة ثم القيمة التي تستقبلها الصفحة مثال على تشغيل السكريبت
كود PHP:
./Injector http://www.target.com/news.php?id= 15
يعني تقوم بالتفريق بين عنوان الصفحة والقيمة التي تستقبلها قاعدة البيانات بعد دلك يقوم السكريبت بتنفيد استعلام خاطئ والبحث عن كلمة SQL في سورس كود الصفحة و كما تعلمون فان كلمة SQL تظهر اثناء وجود الخطا فادا حصل عليها يقوم بمحاولة لمعرفة عدد الاعمدة ثم عدد الاعمدة المصابة ثم يقوم بمحاولة للحصول على اصدار قاعدة البيانات واخيرا يقوم بكتابة طريقة اختراق هدا الاصدار ثم يكتب الاستغلال وهدا مثال لاشتغال السكريبت من جهازي
وادا لم يجد السكريبت خطا فانه يطبع جملة "لم يتم العثور على خطا ولكنني مجرد سكريبت ربما يمكن ان يكون هنالك خطا" ولقد تعمدت كتابة هده الجملة لانبه الى نقطة اساسية فالادوات هي عبارة عن سطور برمجية تقوم بعمل محدد وفق شروط محددة ولو حدث اختلاف بسيط في الشروط فان البرنامج لن يكتمل .
وكملحوظة اخيرة قد يقول لي البعض لقد اكتشف السكريبت العمود 7 ولكنه لا يظهر اثناء استغلال الصفحة ففي هدا الصدد فالسكريبت لم يخطا لانه يقرا من سورس كود الصفحة وفي بعض الاحيان قد يظهر العمود المصاب في سورس كود الصفحة فادا فتحتها فسوف تجده هناك
ولتشغيل السكريبت فكل ما عليكم فعله هو التنقل عبر الشل الى مكان تواجد الملف ثم نفدو هده الاوامر لتغير اسمه وجعله تنفيدي
كود PHP:
mv Injector.txt Injector
chmod +x Injector
chmod +x Injector
ولتشغيله هكدا
كود PHP:
./Injector
و عيد مبروك
اسم الموضوع : افتراضي سكريبت Injector لاكتشاف ثغرات SQL
|
المصدر : SQL قواعد البيانات