TO DONATE : BTC => 1BU6R1C4AQ77LjLZswQNKFwAupw61i88Kn || PM => U4089661


اهم قوانين :1- منع الردود الباهتة مثل شكرااااا و أخواتها 2- لا يسمح بالمشاحنات الطائفية باآ شكل من الأشكال 3- عدم استعمال الألفاظ التافهة و الكلام البذىء 4- عدم وضع معرفات التواصل الأجتماعى بالردود 5- الأطلاع على كامل القوانين واجب 


العودة   الحماية للأبد -Security 4 Ever > القسم الاخباري والتقني > قسم الأخبار التقنية والنقاشات الجادة

قسم الأخبار التقنية والنقاشات الجادة طرح جميع النقاشات الجادة والاخبار اليوميه التي تخص اختراق المواقع وتبعاتها ...

 
أدوات الموضوع انواع عرض الموضوع
  #1  
قديم 06-08-2017, 11:46 PM
الصورة الرمزية BlackRose-GHT
BlackRose-GHT
عضو نشيط
 
حـالة التــواجـد : BlackRose-GHT غير متواجد حالياً
تاريخ التسجيل: Jan 2017
الجــــنــــــس: ذكـر
المشاركات: 97
شكراً:50
تم شكره 321 مرة في 55 مشاركة
معدل تقييم المستوى: 0
BlackRose-GHT بدون تقييم
افتراضي إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط




السلام عليكم ورحمة الله وبركاتة

أهلا بالإخوه الأفاضل أعضاء ومشرفى وإدارى المنتدي الكريم

هل توجد ثغرات lfi وما على شاكلتها الأن بكثرة كما كانت سابقاً أعتقد لا فإنها إنقرضت منذ زمن بعيد

لكن هل هذا الكلام ينطبق وثغرات حقن قواعد البيانات التى تصنف من نفس جيل تلك التى ذكرت هيهات من وجهت نظرى كـ خبير متخصص فى هذا المجال ضمن فريق GHI فأنا اعتقد انها لن تنقرض حتى خلال الـ 20 عام القادمة

وقد أثبت الوقت إصابة اكبر المواقع على مستوى العالم بها وتعرض الكثير منها للتخريب بسببها

هل توافقنى فى نظريتى هذه عزيزي القارئ




...........



هل لك خبرة فى هذا المجال وتقدِم على مٌحاولة تخطي هذه التحديت التى وضعت لك ؟


الموقع الأول

احقن الموقع واستخدم عدد الاعمده الصحيحه وتخطي الخطاء الظاهر


كود PHP:
Fatal errorMaximum execution time of 30 seconds exceeded 
وإظهر النتيجة كما بصورة الإثبات وضع رابط الإستغلال فى اول رد على المشاركة فى التحدي البسيط هذا

نوع الحقن المطلوب : union based

لمن ليس لهٌ دراية هذا معناه أن الحقن سوف يكون بإستخدام الـ union select فقط لا غير



الموقع الهدف


كود PHP:
sinnenashus.se/?id=

الإثبات






موقع اخر ثاني


كود PHP:
www.gov.ai/ministry.php?id=

المطلوب إستخراج الـ db name ضع رابط الحل خاصتك فى اول رد على المشاركة فى هذا التحدى الإثبات الخاص بي
الـ db name هو


govai_website_main



موقع ثالث أخير


أسهل موقع فى الثلاثه كلهم التالي


كود PHP:
http://leettime.net/sqlninja.com/tasks/sub_ch4.php?id=1 

المطلوب إستخراج إصدار قاعدة البيانات version


الإثبات الخاص بي


5.6.35-cll-lve


تحياتى وأنتظر المشاركة فى النقاش والتحديات من الإخوة الخبراء بالمنتدي


بالمناسبة لقد عرضت فتح قسم جديد بالمنتدى وطلب التشرف بقيادتهٌ من هنا
لذا أرجو الدعم للصالح العام هذا ما أطمع إليه


كود PHP:
http://www.sec4ever.com/home/showthread.php?p=101940#post101940 

تحياتى


إني أٌحبكم فى الله


BlackRose
 

 

 

خبير الأمن والحماية ,قائد مشترك مع Dzxsec Vbspiders ( aircrack -ng ) لفريق تطوير مجال حقن قواعد البيانات GHI على مٌستوى الوطن العربى والأٌمة الإسلامية , عضو بفريق غزة هاكر تيم GHT , خبير SQLI لدى HackForums الأمريكيه ,مٌبرمج خبير بـ Black Python ,حاصل على شهادة إختصاص تخريج الحديث الشريف من الجامعه الإسلاميه المفتوحه .

اقتباس:
http://www.sec4ever.com/home/showthread.php?p=101940#post101940
 





رد مع اقتباس
10 أعضاء قالوا شكراً لـ BlackRose-GHT على المشاركة المفيدة:
  #2  
قديم 07-08-2017, 12:30 AM
الصورة الرمزية Asad Gaza
Asad Gaza
مسجل جديد
 
حـالة التــواجـد : Asad Gaza غير متواجد حالياً
تاريخ التسجيل: May 2016
الجــــنــــــس: ذكـر
المشاركات: 1
شكراً:0
تم شكره مرة واحدة في مشاركة واحدة
معدل تقييم المستوى: 0
Asad Gaza بدون تقييم
Thumbs up رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

فعلا صحيح ثغرة sql injection لازالت متواجدة ولدي احساس انها تتطور اي تزيد صعوبتها مع الوقت لاكن لازالت موجودة وفعليا كمبرمج مواقع دائما استخدم intval هذه الدالة لاتخطي لها

لاكن هناك اماكن لايمكن استخدمها

لاكن ثغرة sql injection اظن انها باقية
اما بالنسبة للمحاولت تخطي انا مبتدى ب union based حتى الموقع القديم الي وضتعه لم اعرف حله
لاكن ب الانواع الثانية لا لدي خبرة ولدي خبرة بتخطي waf firewall

لاكن لو للامام تنزل طريقة تخطي الصلحيات لدي موقع التلفزيون الرسمي للبنان اخترقته حتى اداة sql map لم تستطع تخطيه
ولاكن تخطيته يدويا الحمد لله
لاكن بقية لدي مشكلة الصلحيات ليس لدي صلاحية الى لاضافة وحذف وتعديل الاخبار فقط ولايوجد مركز رفع حاولت من خلال السيشن مانفع
وشكرا  
رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ Asad Gaza على المشاركة المفيدة:
  #3  
قديم 07-08-2017, 01:11 AM
الصورة الرمزية hacker005
hacker005
مسجل جديد
 
حـالة التــواجـد : hacker005 غير متواجد حالياً
تاريخ التسجيل: May 2016
الجــــنــــــس: ذكـر
المشاركات: 1
شكراً:0
تم شكره مرة واحدة في مشاركة واحدة
معدل تقييم المستوى: 0
hacker005 بدون تقييم
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

Thank you master black rose  
رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ hacker005 على المشاركة المفيدة:
  #4  
قديم 07-08-2017, 01:32 AM
الصورة الرمزية M4DM4N
M4DM4N
عضو مميز
 
حـالة التــواجـد : M4DM4N غير متواجد حالياً
تاريخ التسجيل: May 2010
مكـان الإقامـة : Chkopistan
الجــــنــــــس: ذكـر
الــهـــوايـــــة: Sleeping
المشاركات: 255
شكراً:361
تم شكره 265 مرة في 84 مشاركة
معدل تقييم المستوى: 10
M4DM4N على طريق التميز
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

جاري المساهمة  
رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ M4DM4N على المشاركة المفيدة:
  #5  
قديم 07-08-2017, 01:45 PM
الصورة الرمزية ww9k
ww9k
عضو مميز
 
حـالة التــواجـد : ww9k غير متواجد حالياً
تاريخ التسجيل: Feb 2011
الجــــنــــــس: ذكـر
المشاركات: 235
شكراً:150
تم شكره 183 مرة في 66 مشاركة
معدل تقييم المستوى: 9
ww9k على طريق التميز
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

لدي مواقع معروفه عالمياً ولها سمعتها مصابه بسكيول انجكشن لكن لم استطع استعراض الاعمده وغيرها مع وجود اصابه ولغة البرمجة aspx

اتمنى ان استفيد من دروسكم للوصول لها وطرق التخطي اتمنى تذكر  

 

 

https://twitter.com/s2p
رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ ww9k على المشاركة المفيدة:
  #6  
قديم 07-08-2017, 01:57 PM
الصورة الرمزية zer0dz
zer0dz
عضو مميز
 
حـالة التــواجـد : zer0dz غير متواجد حالياً
تاريخ التسجيل: Nov 2016
مكـان الإقامـة : localhost
الجــــنــــــس: ذكـر
الــهـــوايـــــة: Programing
المشاركات: 125
شكراً:63
تم شكره 222 مرة في 50 مشاركة
معدل تقييم المستوى: 0
zer0dz بدون تقييم
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

نتمنى تتكرم وتقدم دورة في الحقن المتقدم
لاننا نحتاجها بكثرة في وقتنا الحالي
وجزاك الله خيرا  

 

 

كن في الحياة كعابر سبيل......واترك وراءك كل أثر جميل
فما نحن في الدنيا الا ضيوف.....وما على الضيف سوى الرحيل
رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ zer0dz على المشاركة المفيدة:
  #7  
قديم 07-08-2017, 02:36 PM
الصورة الرمزية UzunDz
UzunDz
فريق الحماية للأبد
 
حـالة التــواجـد : UzunDz غير متواجد حالياً
تاريخ التسجيل: Oct 2011
الجــــنــــــس: ذكـر
المشاركات: 1,672
شكراً:4,473
تم شكره 5,468 مرة في 1,365 مشاركة
معدل تقييم المستوى: 10
UzunDz على طريق التميز
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

الموقع الأول تقدر توصل لنفس النتيجة بدون معرفة عدد العواميد يعني union select 1
اما تخطي المشكل بعد معرفة العدد فيكون بتغير ال id=5 الى null  
رد مع اقتباس
3 أعضاء قالوا شكراً لـ UzunDz على المشاركة المفيدة:
  #8  
قديم 07-08-2017, 06:25 PM
الصورة الرمزية aircrack -ng
aircrack -ng
:: عضو خاص ::
 
حـالة التــواجـد : aircrack -ng متواجد حالياً
تاريخ التسجيل: Jun 2013
مكـان الإقامـة : sec4ever
الجــــنــــــس: ذكـر
المشاركات: 246
شكراً:691
تم شكره 1,698 مرة في 201 مشاركة
معدل تقييم المستوى: 0
aircrack -ng بدون تقييم
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

منور يابرنس
مالوش لازمه اشارك راح اخرب التحدي
من وجهة نضري ثغرات حقن قواعد البيانات بحر شاسع واكبر المواقع لكبيرة طاحت بثغرات sql injection
عشان نفرق الاستعلام استدعاء السجلات وترتيبهم كل الطرق تادي الى النيجر لكن بتختلف الاستغلال في الاستدعاء من قاعدة لاخرى
فمثلا اوراكل مش زي postgresql او sqlit
في اعتقادي الشخصي الثغرة دي لساتها عروس في مقتبل العمر بس لازملها عرسان مش عريس  

 

 

يامن بدنياه انشغل وغره طول الامل الموت يأتي بغتة والقبر صندوق العمل
رد مع اقتباس
2 أعضاء قالوا شكراً لـ aircrack -ng على المشاركة المفيدة:
  #9  
قديم 07-08-2017, 07:07 PM
الصورة الرمزية aircrack -ng
aircrack -ng
:: عضو خاص ::
 
حـالة التــواجـد : aircrack -ng متواجد حالياً
تاريخ التسجيل: Jun 2013
مكـان الإقامـة : sec4ever
الجــــنــــــس: ذكـر
المشاركات: 246
شكراً:691
تم شكره 1,698 مرة في 201 مشاركة
معدل تقييم المستوى: 0
aircrack -ng بدون تقييم
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

فيه موقع معايا احنا تكلمنا عليه مبارح حبيت احطه
فكرته نفس فكرة الموقع الثالث
http://www.koxyradio.com/shows/show.php?id=15  

 

 

يامن بدنياه انشغل وغره طول الامل الموت يأتي بغتة والقبر صندوق العمل
رد مع اقتباس
  #10  
قديم 07-08-2017, 08:21 PM
الصورة الرمزية Dr.Mohamed
Dr.Mohamed
Sec4Ever Team
 
حـالة التــواجـد : Dr.Mohamed غير متواجد حالياً
تاريخ التسجيل: Aug 2011
مكـان الإقامـة : .
الجــــنــــــس: ذكـر
الــهـــوايـــــة: .
المشاركات: 2,208
شكراً:1,857
تم شكره 5,635 مرة في 1,405 مشاركة
معدل تقييم المستوى: 10
Dr.Mohamed بدون تقييم
افتراضي رد: إنتهاء ثغرات الحقن من الوجود + تحدي بمجال حقن قواعد البيانات للخبراء فقط

انا منكصرش راصي نهائي نستغلها boolean based و نريح عاقل  

 

 

...........
رد مع اقتباس
4 أعضاء قالوا شكراً لـ Dr.Mohamed على المشاركة المفيدة:

الكلمات الدلالية (Tags)
من, اليو, الوجود, ثغرات, إنتهاء


الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)
 
أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع


الساعة الآن 10:44 PM