[ شرح ] استخدام ال google dorking في الاستهداف

الموضوع في 'آمن المواقع والسيرفرات' بواسطة Egy HacKerS, بتاريخ ‏18 يناير 2017.

كاتب الموضوع : Egy HacKerS المشاهدات : 515 الردود : 11 ‏18 يناير 2017
حالة الموضوع:
مغلق
  1. غير متصل

    Egy HacKerS
    DeveloPer Plus

    عضو منذ:
    ‏1 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    19
    نقاط الجائزة:
    الوظيفة:
    HacKer
    الإقامة:

    .: السلام عليكم ورحمة الله :.

    اللي هطرجه النهاردة ميعتبرش جديد بس انا شايف ان فئة كبيرة جدا

    من الناس مستهينة بيه مع انك تقدر تطلع منه ببلاوي.

    الشرح هيكون استخدام ال google dorking في الاستهداف و مع 3 امثلة حية تؤدي الى 3 نتائج مختلفة,الطريقة ياما فادتني و تعتبر اساسية عندي خصوصا في ال bug bounty programms

    طيب نبدا على بركة الله
    انا مش همر عالاساسيات و الاوامر لان طبيعي الناس عارفاها,لو مش عارفها تقدر تبحث على عمك جوجل,انا وظيفتي هنا ما هي الا ربط المعلومات الموجودة لديك مسبقا و اثبات امكانية الاستفادة باتفه الاشياء لجلب نتائج تفيدك خلال بحثك.

    تمام,طرق الاستفادة من الدوركات اثناء الاستهداف هتتلخص في نقطتين ;)

    1- information disclosure

    مرات كتير و انت بتدور في الملفات هتواجه اخطاء و الاخطاء دي هتديك معلومات تفيدك زي ال root path

    2- full control

    و دي غالبا هتبقى بقايا ملفات demo مرفوعة زي مثلا سكربت upload و بييجي مع الاسكربت نسخة demo و غالبا هتسمحلك برفع الشيل.

    طيب نيجي بقى نوظف الكلام دا في امثلة حية
    عندنا الموقع دا:D
    earbirding.com

    نجرب دورك زي
    index of: site:earbirding.com
    الدورك دا هيجبلنا الفولدرات اللي معليهاش .htaccess و تقدر تشوف محتواها.


    [​IMG]

    طلعلنا كذا نتيجة,نخش على اي مسار و نشوف المحتوى::rolleyes:

    [​IMG]

    تمام,نبدا ندور في الملفات دي عاللي يفيدنا

    [​IMG]

    لفينا في ملف ال main.php خطا و منه عرفنا ال root path.

    نشوف بقى حاجة دسمة شوية,لو عايز تدور على ال demo لاسكربتات upload غالبا هيبقو بواحد من الاشكال دي
    /demo/
    /demo/uploads
    /exmaples/
    /demo/examples/
    نوظف بقى المثال دا في سرفر حي,سرفر خاص بمواقع الالعاب قلت اخد عليه لفة سريعة
    قعدت ادور شوية لحد ما رسيت على دا::confused:


    [​IMG]

    دورت شوية لحد ما لقيت ضالتي o_O

    [​IMG]

    نتعمق اكثر :)

    [​IMG]

    ايه الحلاوة دي
    ثغرة apache tomcat بتاعة ال sessions,و للي مش عارفها دا شرح مبسط:
    عزيزي الزائر يتوجب عليك التسجيل لمشاهدة الروابط [ تسجيل الدخول ]


    نيجي بقى لفقرة نوادر الاختراق كنت بفحص سرفر و ملقتش حاجة مهمة قلت اشيك عالاستضافة:

    [​IMG]

    و مع اول 5 دقايق فحص لقيت دا

    [​IMG]

    فريسة سهلة و سريعة.

    عارف ان الشرح مش منظم بس اعذروني عامله على عجلة,الجدير بالذكر ان صديق ليا وجد 3 ثغرات بالطريقة دي في مواقع وزارة الدفاع الامريكية منهم كانت ftp username and password discloure ههههههه
    اتمنى تكونو استفدتو
     


    S-H-M ،ĸʜɜʟɛɒ ،SecuRitY و 7آخرون معجبون بهذا.
    جاري تحميل الصفحة...
  2. غير متصل

    THe Code
    rank
    Developer

    عضو منذ:
    ‏31 مارس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:
    الإقامة:

    مشكوووور على الموضوع المتميز
     


    أعجب بهذه المشاركة Egy HacKerS
  3. غير متصل

    اسـطورة هكر
    rank
    Developer

    عضو منذ:
    ‏8 يوليو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    الإقامة:

    بارك الله فيك على الطرح
     


    أعجب بهذه المشاركة Egy HacKerS
  4. غير متصل

    ابو عبد السلام
    rank
    Developer

    عضو منذ:
    ‏30 أكتوبر 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:
    الإقامة:

    يعطيك الف عافيه يالذيب
     


    أعجب بهذه المشاركة Egy HacKerS
  5. غير متصل

    Mohmaed .:: super ::.
    V • I • P

    عضو منذ:
    ‏12 ابريل 2015
    عدد المشاركات:
    الإعجابات المتلقاة:
    944
    نقاط الجائزة:
    الجنس:
    ذكر
    الإقامة:

    24

    مجهود جميل يعطيك العافيه
     


  6. غير متصل

    PROCESSEUR.DZ
    rank
    Developer

    عضو منذ:
    ‏16 ديسمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    الوظيفة:
    مصلح حواسب
    الإقامة:

    بارك الله فيك أخي الفاضل

    و يعطيك الصحة
     


    أعجب بهذه المشاركة Egy HacKerS
  7. غير متصل

    X-1
    rankrank
    Developer

    عضو منذ:
    ‏10 يونيو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    الإقامة:

    بطل الله يوفقك
     


  8. غير متصل

    Egy HacKerS
    DeveloPer Plus

    عضو منذ:
    ‏1 ديسمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    19
    نقاط الجائزة:
    الوظيفة:
    HacKer
    الإقامة:

    شكرآ لمروركم
     


  9. غير متصل

    S-H-M
    rank
    New Developer

    عضو منذ:
    ‏8 يوليو 2017
    عدد المشاركات:
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:

    مشكورر ي كبير
     


  10. غير متصل

    SecuRitY
    rank
    Developer

    عضو منذ:
    ‏27 أغسطس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    آلله يعطيك العافيه :
     


حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...