بسم الله الرحمن الرحيم و الصلاة و السلام على اشرف المرسلين اما بعد
السلام عليكم و رحمة الله تعالى و بركاته
مرحباً بكم اخواني الكرام في شرح اليوم
شرح اليوم يا حبايبي في مجال الاختراق
و هو شرح هدفه التعليم ﻻ اكثر .. بمعنى اي شيء غير قانوني تقوم به فأنا بريء منه :)
و من منا ﻻ يعرف ثغرة SQL Injection او مايعرف بثغرات الحقن التي احتلت مئات الالاف من المواقع الكبيرة منها و الصغيرة
بداية سنعرفها ببساطة :
ثغرة SQL Injection هي ثغرة امنية توجد في قواعد البيانات الخاصة بالمواقع
و تمكننا من رؤية كل ما بقاعدة البيانات من جداول الى اعمدة و من اعمدة الى بيانات
كيف نكتشفها ؟ :
ساشرح لكم طريقة اكتشافها من الرابط اخواني و ليس من السكربت البرمجي
الطريقة بسيطة جدا
يجب ان يكون الرابط على الشكل
http://www.site.com/[anything].[anything]?[anything]=[integer(number)]
و anything يتم استبدالها بأي كلمة مثل
www.site.com/index.php?id=6
www.site.com/book.php?cid=7
www.site.php/member_profile.asp?mnl=20
...الخ من الروابط
الان بعدما نحصل على هذا الرابط نضيف هذه العلامة ' في نهاية الرابط فقط
مثل هكذا
www.site.com/index.php?id=6'
اذا لم يتغير شكل الموقع وبقي مثل ماهو اذاً فهو سليم و غير مصاب
اما اذا تغير شكل الموقع بدون اخطاء فهناك احتمالية قليلة بإصابته
و اذا ظهر لكم خطأ مثل
This error message may seem cryptic at first. That is because it is a general MySQL error pointing to a syntax error of .....
او
You have an error in your SQL syntax; check the manual that ....
....
اذا فالموقع مصاب بهذه الثغرة
الآن ننتقل الى
طريقة استغلال الثغرة :
لاستغلال ثغرة SQL Injection اخواني هناك طريقتين
طريقة الحقن اليدوي : و طبعا طريقة يدوية و متعبة و بدون اي برامج فقط تضيف تعديلات على الرابط مثل
union+select+,1,2,3,4,5
order+by+6
و العديد من الاوامر مايجعله يديوي و صعب و لكن نتيجته ممتازة
طريقة الحقن الاوتوماتيكي : و طبعاً هي المشهورة نظراً لسهولتها و سرعتها
لأنه يستعمل فيها البرامج مثل Havij و اداة sqlmap فقط عليك وضع الرابط و تنتظر النتائج ^_^
و في هذا الشرح سنشرح الحقن الاوتوماتيكي و بالتحديد اداة sqlmap الموجودة في كالي لينكس
و يمكنكم تحميلها على الويندوز ايضا من الموقع الرسمي
الشرح :
الاوامر المستعملة في الشرح :
sqlmap -u [site] --dbs
sqlmap -u [site] -D [Database Name] --tables
sqlmap -u [site] -D [Database] -T [Table] --columns
sqlmap -u [site] -D [Databas] -T [Table ] -C [Column1,Column2,...] --dump
sqlmap -u [site] -D [Database Name] --tables
sqlmap -u [site] -D [Database] -T [Table] --columns
sqlmap -u [site] -D [Databas] -T [Table ] -C [Column1,Column2,...] --dump
الى هنا اصل لنهاية شرح اليوم
اتمنى اني افدتكم و اعتذر عن الاخطاء التي بالفيديو .. :)
و اي استفسار او مشكلة فضعوها في تعليق هنا او بالفيديو
او راسلوني على الخاص
http://www.facebook.com/djardi.messaoud
و السلام عليكم و رحمة الله تعالى وبركاته
بسم الله الرحمن الرحيم و الصلاة و السلام على اشرف المرسلين اما بعد
السلام عليكم و رحمة الله تعالى و بركاته
مرحباً بكم اخواني الكرام في هذا الشرح البسيط و المتواضع
بعد انتهاء شهادة البكالوريا .... عدنا اليكم من جديد
اتمنى ان تدعوا لنا بالنجاح و التوفيق
بدون إطالة
شرح اليوم هو طريقة تثبيت البرنامجين Skype و Team Viewer
فكثير منا يحتاجهما و لكن ﻻ يعرف طريقة التثبيت مع انها بسيطة جداً
و خاصة تثبيت TeamViewer ومشاكل تثبيته المتنوعة
طبعاً على نظام الكالي لينكس ... و هو من نوع Debian
لذلك قمت بشرحه
تفضلوا هذا هو الشرح :
و لمن ﻻ يريد مشاهدة الفيديو و الاكتفاء بالشرح الكتابي هذه هي الخطوات ببساطة :
1-تحميل البرنامجين من موقعهما الرسمي بصيغة .deb ( Debian )
Skype : http://www.skype.com/en/download-skype/skype-for-computer/
Team Viewer : https://www.teamviewer.com/en/download/linux.aspx
2- اعطاء الملفات التصريح +x اي تصريح التنفيذ ليمكنك تشغيله كبرنامج
عن طريق الامر chmod +x * اذا اردت اعطاء التصريح لكامل الملفات
و يمكنك تطبيق chmod +x [filename].deb اذا اردت فعل ذلك لملف واحد
ملاحظة : امر التصفح cd [Directory Name ] و امر عرض الملفات ls او ls -l لعرضهم بشكل مفصل
3-تشغيل الحزمتين بواسطة الامر dpkg -i [filename].deb
4-السكايب ﻻ توجد معه مشكلة ، التيم فيور يتم تثبيته مع وجود اخطاء لذلك يجب اصلاح الاخطاء بتطبيق الامر apt-get -f install
اتمنى اني افدتكم بشرح اليوم
و اي مشكلة واجهتكم الرجاء وضعها في تعليق او مراسلتي على فيس بوك
https//www.facebook.com/djardi.messaoud
و السلام عليكم ورحمة الله تعالى و بركاته
رمضاآنكم مبارك
