توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مشکل در پیدا کردن تارگت SQLi
mosi13
06-20-2011, 12:04 PM
سلام دوستان
من تقریبا اس کیو ال اینجکشن رو کامل بلدم فقط تنها مشکل من تو پیدا کردن تارگته!:20:
یعنی اگرهم یه تارگت کاملا آسیب پذیر پیدا کنم و تا مرحله ی بیرون کشیدن اطلاعات از دیتابیس هم برم،واسم فایده ای نداره چون بخش مدیریت ادمین هم نداره که لااقل یه یوزر و پس رو بکشم بیرون و برم تو بخش مدیریت سایت!(با هویج هم تست می کنم اصلا صفحه ادمین پیدا نمیکنه)
اگه سایتی بخش ادمین نداشته باشه باید چجوری هکش کنم؟
با تشکر
h-sk55py
06-20-2011, 12:13 PM
دوست عزيز...
راه هاي بسياري وجود داره
مثلا تبديل sqli به xss يا اپلود شل ...
اگر فقط ميخوايد مثلا اسمتون رو توي سايت وارد كنيد كه خيلي راحت هست ميتونيد اسم تيبيل ها يا ... رو تغيير بديد بعد خواهيد ديد كه مثلا جاي اسم news مياد hacked by ...
گاهي اوقات هم هست كه هويج به تنهايي نميتونه ادمين پيج رو پيدا كنه بهتره از اسگريپت ها استفاده كنيد ...
يا حق
black
06-20-2011, 12:21 PM
سلام دوستان
من تقریبا اس کیو ال اینجکشن رو کامل بلدم فقط تنها مشکل من تو پیدا کردن تارگته!:20:
یعنی اگرهم یه تارگت کاملا آسیب پذیر پیدا کنم و تا مرحله ی بیرون کشیدن اطلاعات از دیتابیس هم برم،واسم فایده ای نداره چون بخش مدیریت ادمین هم نداره که لااقل یه یوزر و پس رو بکشم بیرون و برم تو بخش مدیریت سایت!(با هویج هم تست می کنم اصلا صفحه ادمین پیدا نمیکنه)
اگه سایتی بخش ادمین نداشته باشه باید چجوری هکش کنم؟
با تشکر
سلام
برای پیدا کردن صفحه ادمین فقط به هویج بسنده نکنید میتونید از برنامه acuntix استفغاده کنید یا اینکه به صورت دستی از گوگل کمک بگیرید بارها شده هویج نتونسته ادمین پیج رو پیدا کنه ولی به صورت دستی راحت تونستم پیدا کنم
اینجوری هم تست کنید
site:[Only registered and activated users can see links] inurl:login
admin
user
mange
...
اینکه سایت ادمین پیج نداره ممکنه برای اپدیت از ftp استفاده کنه
یه راه بدست اوردن یوزر و پس ftp هست
راه دیگه اینکه اگه دسترسی به سرور موردنظر داشته باشید بتونیداز دیتابیس نفوذ کنید.
mosi13
06-20-2011, 12:34 PM
ممنون از همتون
فقط در مورد این دو جمله میشه یکم بیشتر توضیح بدید:
یه راه بدست اوردن یوزر و پس ftp هست
مثلا تبديل sqli به xss يا اپلود شل ...
NoL1m1t
06-20-2011, 12:46 PM
ممنون از همتون
فقط در مورد این دو جمله میشه یکم بیشتر توضیح بدید:
یه راه بدست اوردن یوزر و پس ftp هست
مثلا تبديل sqli به xss يا اپلود شل ...
واسه سوال اولی میتونی از بروت فورسرها استفاده کنی که زیاد کارساز نیست
واسه سوال دومی این فیلم میتونه کمکت کنه
[Only registered and activated users can see links]
h-sk55py
06-20-2011, 12:46 PM
دوست عزيز ...
اموزش ها زيادي توي انجمن هست
سرچ ميكرديد
>[Only registered and activated users can see links]
> [Only registered and activated users can see links]
يا حق
vBulletin® v3.8.4, Copyright ©2000-2012, Jelsoft Enterprises Ltd.
