حالة الموضوع:
مغلق
  1. LinuxCs

    LinuxCs Developer

    الأنتساب:
    ‏2 مايو 2012
    المشاركات:
    30
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:
    8
    الإقامة:
    فلسطين
    السلام عليكم ورحمه الله وبركاته

    اول شي هذا اول درس اشرحه وان شاء الله يحوز على رضاكم

    وطبعا درسنا اليوم يتحدث عن اخطاء المبرمجين مهما كانت بسيطه الا انه خطره على السكربت

    ودرس اليوم يتحدث عن خطا بسيط في سكربت ترايدنت الاصدار الثاني (الاصدار الثالث ماجربته لانه مااشتغل عندي )

    المهم الخطا كان في صفحه تسجيل دخول المدير !!! لم المدير يدخل البيانات الصحيحه يتخزن في الكوكيز يوزر الادمن والباسورد ولكن الباسورد يتشفر بتشفير Md5

    المهم من هنا استنتجت طريقه للتخمين !!! ولكن بالكوكيز وليس بالفورم مثل طرق التخمينات القديمه

    ومنها نتخطى الباند في السيرفر اذا كان يعطي باند لم نخمن بالفورم

    وطبعا في الشرح بنستخدم اداه جميلها وقويها للــ*** Application Penetration Testing اسمها burpsuite

    يمكنكم تحميلها من هنا Download Burp Suite Free Edition

    وفيه اضافه firefox ومن خلالها يمكننا مشاهده الكوكيز وتعديله

    اسم الاضافه firebug

    يمكنكم تحميلها من هنا https://addons.mozilla.org/ar/firefox/addon/firebug/

    نرجع لطريقه الاكتشاف لم كنت افحص السكربت وسجلت دخول للوحه التحكم لاحضت انه يخزن الكوكيز وفيه اليوزر بدون تشفير والباسورد بتشفير md5

    وهنا الدليل
    [​IMG]


    وجتني فكره التخمين ولكن لازم لسته الباسوردات تكون مشفره بتشفير md5 وبرمجت سكربت يشفر لستة الباسوردات << وهنا حليت المشكله بالبرمجه

    ((للي يقول البرمجه مو مهمه في هكر تحياتي لك هههههه))

    لتحميل السكربت هنا

    طيب خطوات العمل كالتالي::

    1- تشغل proxy firefox على ip 127.0.0.1 و port 8080
    2- نشغل برنامج burpsuite وبكذا كل الصفحات اللي تدخل له على المتصفح راح تتحول على burpsuite
    3- نرجع نسوي تحديث لصفحه تسجيل الدخول ومنه تتحول الى burpsuite

    وراح نضيف السطر هذا حتى نضيف الكوكيز

    Coo kie: trupuser=root; truppassword=b4b8daf4b8ea9d39568719e1e320076f

    مثل الصوره هذا

    [​IMG]



    طبعا b4b8daf4b8ea9d39568719e1e320076f== هو الباس ولكن مشفر
    root== هو اليوزر

    طيب نضغط على ctrl+i

    او نسوي مثل الصوره هذا

    [​IMG]




    المهم راح يتحول الى
    Intruder


    ونسوي مثل الصوره هذي وركزو على § تكون بين الباس او اللي نبي نخمن عليه ونحن نبي نخمن على الباس

    [​IMG]

    وبعدين نروح لخيار Payload ونضيف لستة الباسوردات المشفرها بتشفير Md5

    ونضغط على start attack


    [​IMG]

    وبداء التخمين &:"

    وهنا حصل على الباسورد

    [​IMG]

    طبعا مثل ماتلاحضو كل القيم 429 الا وحده 13790 وهذا دليل ان الرقم صحيح

    وهنا ينتهي الشرح
    :{13}:

    ملاحظه:الدرس لم يكن لاكتشاف طريقه تخمين لا ولكن الدرس كان الاستفاده من ابسط اخطاء المبرمجين وهذا اول درس من السلسه

    الاهداء للجميع دون استثناء

    تحياتي لكم
    &:":​
     
    1 person likes this.
  2. روبورت1

    روبورت1 <img src="http://im34.gulfup.com/s2o63.gif"><br>فر

    الأنتساب:
    ‏8 نوفمبر 2012
    المشاركات:
    654
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    18
    عزيزي الكاتب ، شكراً لك على الإفادة في المنتدى بإضافة مادّة علمية جديدة إليه
    كتب الله لك أجر كل من استفاد منها.

    * تنبيه للأعضاء والزوّار ، نتمنّى عدم دخول أيّة روابط خارجيّة أو تحميل أي مرفق موجود بالموضوع
    حتى يتم تأكيد سلامة المحتوى برد من قبل أحد أعضاء فريق الفحص أو مشرف القسم.

    [warning]هذه العضوية آليّة ، غير مُدارة من قبل أي عُنصر بشري ، إنما مبرمجة لتقوم ببعض أعمال التنظيم والمتابعة في المنتدى.[/warning] ​
     
  3. X-HaKeR

    X-HaKeR Developer

    الأنتساب:
    ‏7 أغسطس 2012
    المشاركات:
    46
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    الجنة ان شاء الله
    رد: أكتشاف وأستغلال أبسط أخطاء المبرمجين Part1

    بارك الله فيك اخي
     
  4. مـ☻ـجـ☻ـآهـ☻ـد

    مـ☻ـجـ☻ـآهـ☻ـد <span style="background-color: #E0921B"><span styl DeveloPer Plus

    الأنتساب:
    ‏30 مارس 2012
    المشاركات:
    152
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    16
    الإقامة:
    {ĜäŽã}
    رد: أكتشاف وأستغلال أبسط أخطاء المبرمجين Part1

    وعليكم السلام ورحمة الله وبركاته
    بسم الله ماشاء الله آبداع والله
    واصل ياحبيبي:{1}:​
     
  5. شبح العراق

    شبح العراق Developer

    الأنتساب:
    ‏5 مارس 2013
    المشاركات:
    5
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: أكتشاف وأستغلال أبسط أخطاء المبرمجين Part1

    شرح راقي جزاك الله خير
    %:"​
     
  6. Unico Nico

    Unico Nico Developer

    الأنتساب:
    ‏7 مايو 2012
    المشاركات:
    42
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    Algerie,Mascara
    رد: أكتشاف وأستغلال أبسط أخطاء المبرمجين Part1

    جزاك الله كل خير. ​
     
  7. Dr.Attack

    Dr.Attack Developer

    الأنتساب:
    ‏3 أغسطس 2012
    المشاركات:
    71
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:
    8
    الإقامة:
    هنآآآآآ
    رد: أكتشاف وأستغلال أبسط أخطاء المبرمجين Part1

    مشكووور اخي الله يجعلها في ميزان حسناتك
     
  8. diable91

    diable91 Active DeveloPer

    الأنتساب:
    ‏25 مايو 2012
    المشاركات:
    102
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    16
    رد: أكتشاف وأستغلال أبسط أخطاء المبرمجين Part1

    بارك الله فيك وجزاك الله كل خير

    يعطيك العافية يا رب

    ما ننحرم من جديدك يا رب ​
     
  9. واحد من البشر

    واحد من البشر Developer

    الأنتساب:
    ‏3 مارس 2013
    المشاركات:
    26
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: أكتشاف وأستغلال أبسط أخطاء المبرمجين Part1

    ~ مشـكـوور يا حبيب القلب وااصل > ♥
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة