العودة   منتديات العاشق ~ عشقا بلا حدود > الاقسام التطويرية > ركـــن ثغـــرات النسخـــــه الثالثـــه

إضافة رد
 
أدوات الموضوع انواع عرض الموضوع
  #1  
قديم 10-08-2010, 09:43 AM
الصورة الرمزية عشوووق
عشوووق غير متواجد حالياً
 
تاريخ التسجيل: Oct 2009
الدولة: JORDAN ~
المشاركات: 2,209
عشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of light
دورة الحماية الكاملة والكمال لله المقدمة من منتديات العاشق

سم الله الرحمن الرحيم


طبعا جاتلي الفكرة اني انزل دورة حماية فى المنتديات الفي بي

=======================================
للمبتئدين وهي الدروس كلها فديو

===========================

وطبعا المنتديات الجديدة مافيها ثغرات ولا تسمعون اى كلام بيتقال فى المنتديات التطويرية

اسف
ولو حد قالي كيف المنتديات انتا بتقول مافيها ثغرات ومنتداي بيخترق ?
========================
راح اقولك الهكر بيخترق المنتديات ازاى الهكر يجماعة مش غبي دول ملوك النت
بيجيب اي بي السيرفر عن طريق الرن على جهازك وبيعمل بيج ويطلع اي بي السيرفر
======================
وطبعا بع ما يجيب الاي بي بتاع السيرفر بيدخل على موقع
www.msn.com
والموقع دة مصيبة بيساعد الهكر فى اكتشاف السكربتات

يبدا الهكر بالبحث عن

ip:xxxxxxx powerd

وكلمة

xxxxxxx
هى الاي بي

انما كلمة
powerd
دى بقى اللى بتعرض له السكربتات
==============================
الهكر يجماعة لما يكتب الكلام فى البحث بيعرض له جميع المنتديات اللى على السيرفر وبيبقى مكتوب تحت اسم المنتدى الاسكربتات المتركبة

الهكر بيجيب اي منتدى معاك على السيرفر مركب اي سكريبت به ثغرات يعني لو لقى سكريبت جملا ودى اكيد فى ثغرات هيبدا يخترق المنتدى دة بالثغرات اللى فيه
ولو لقى سكربت مركز تحميل ترايد نت يقى يبقى كدة وصل للى هو عاوز بيدا الهكر فى اختراق الاسكريبت وجد فيه ثغرات هيرفع شيل على المنتدى اللى مركب الاسكريبت
وهيقدر يتخطى الصلاحيات واختراق سيرفرات الويندوز دة لو عطى لنفسه صلاحيات
administrator
ودة مثال على الشي الروسي
c99
مرفوع على سيرفر شوفو الخطور




1 - دى معلومات عن السيرفر
2 - دى صلاحيات الهكر على السبرقر
3- حالة السيرفر
4- دة يوزر ومسار الهكر اللى موجود فيه
5- مجلدات وملفات موقعك
6- دة بيقدر يتص بالقاعدة
7 - ودة تغير امر فى الشيل يعني يقدر يجيب باسورد ويزر موقعك
8- ودة ترخيص الملفات يعني اللى بللون الاخضر يعني مثلا
777
9- ودة الهكر لو عاوز يعدل او يحذف


========================================
طبعا الهكر كل اللى يهمه فى الموضوع انو يوصل لملف الكونفيج
المهمز انا جاتلي فكرة اني انزل موضوع لحماية المنتدى
==================================================
ملحوظة يجماعة ان كنت ناسي حاجة اعذروني بس انا هكر واكيد دى الطرق اللى بتجنن الهكر

والموضوع دة بحقوق منتديات عيون مصر

يعني اللى هينقله من غير مايذكر المصدر
www.egy-eyes.com/vb
مش هسامحه
الشرح مقدم من
black-moom
و
shell c99
لعيون منتدايا
www.egy-eyes.com/vb

ودة رابط الموضوع الاصلي
http://www.egy-eyes.com/vb/t9150.html
=============================================

نبدا على بركة الله اول درس هو
تغير اسم الكونفيج ودة مهم جدا فى حماية المنتدى

لتحميل الدرس رابط التحميل اهو


اضغط هنا


تاني دروس وهو تغير مسار الكونفيج يعني نقله من الانكلود لمجلد اخر

للتحميل اضغط هنا


ثالث درس وهو تغير مسار المجلدين بتوع المشرفين والمراقبين

اضغط هنا

نيجي نسد الثغرات بقى وطبعا للضرورة
=====================================
ثغره الهتمل

بالنسبه للتواقيع
خيارات المنتدى
خيارات هوية العضو
السماح بأكواد الـ HTML في التواقيع
لا


3-
خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ HTML في الرسائل الخاصة
لا


4-
خيارات المنتدى
خيارات ملاحظات العضو
السماح بـ HTML في ملاحظات الأعضاء
لا

===========================================

حل ثغره شريط المواضيع
افتح ملف last10.php
وببعض الهاكات الاخرى ملف ttlast.php
ابحث عن

$fsel
$ftitle
فقط قم بحذفهم من الملف
وارفعه لمجلد منتداك
=================================================

ثغرة ملف التعليمات faq.php
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى

طريقة سد الثغرة
فتح ملف faq.php وقم بالبحث عن الأسطر التاليه
كود PHP:
// initialize some template bits


$faqbits = '';


$faqlinks = '';



اضف بعدها مباشرة


كود PHP:
$navbits[''] =$vbphrase['faq'];



ثغرة ملف editpost.php


هي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث

طريقة سد الثغرة

قم بفتح ملف editpost.php وابحث عن السطر التالي


كود PHP:
$edit['title'] = trim($_POST['title']);



استبدله بهذا السطر


كود PHP:
$edit['title'] = trim(xss_clean($_POST['title']));



احفظ الملف وارفعه لمجلد منتداك



=================================

ثغرة ملف authorize.php
وهي ثغره من نوع SQL Injection

هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل
=================================================

سد ثغرة spacer_open وهي اخطر ثغرات الى يستغلها اطفال الهكر للتعديل على القوالب
ويقدر يخترق المنتدى بأكمله
طريقة سدها


اول افتح ملف global.php

الملف موجود على المسار

global.php/vb/

افتح ملف global.php


كود PHP:
eval('$spacer_open = "' . fetch_template('spacer_open') . '";');



ثمّ نغيّر كلمة spacer_open إلى كلمة أخرى ولتكن مثلاً

egy-eyes.com

بحيث يصبح الكود بالشكل التالي :

كود PHP:
eval('$spacer_open = "' . fetch_template('egy-eyes.com') . '";');



ثم احفظ الملف وارفعه .

هذه اول خطوه الخطوه الثانيه توجه الى لوحة تحكم المنتدى
وبعدين اضافة قالب جديد

وعنوان القالب راح يكون بالاسم اللى اخترناه

egy-eyes.com


ونضع فى محتواه

كود PHP:
<!-- open content container -->


<if condition="$show['old_explorer']">


<table cellpadding="0" cellspacing="0" border="0" width="$stylevar[outertablewidth]" align="center"><tr><td class="page" style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px">


<else />


<div align="center">


[LEFT] <div class="page" style="width:$stylevar[outerdivwidth]; text-align:$stylevar
"
>


<div style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px">


</if>



over

عند النقل يرجي زكر المصدر
__________________
للدخول الى الدردشة الكتابية اضغط هنا

تنبيه:
لا تقرأ وترحل .. شارك معنا لكي تفيد وتستفيد


رد مع اقتباس
  #2  
قديم 10-09-2010, 08:39 AM
shell c99 hacker غير متواجد حالياً
 
تاريخ التسجيل: Oct 2010
المشاركات: 1
shell c99 hacker is on a distinguished road
افتراضي

يسعد مســــــــــــــــــــاك ياريس وفعلا الحمد لله الشرح متعوب فيه ويارب يكون عجبك وانشاء الله انتظر مني اكتر


تحياتي


black-moon
رد مع اقتباس
  #3  
قديم 10-09-2010, 10:50 AM
الصورة الرمزية عشوووق
عشوووق غير متواجد حالياً
 
تاريخ التسجيل: Oct 2009
الدولة: JORDAN ~
المشاركات: 2,209
عشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of lightعشوووق is a glorious beacon of light
افتراضي

هلا حبيبي نورت المنتدى ...
__________________
للدخول الى الدردشة الكتابية اضغط هنا

تنبيه:
لا تقرأ وترحل .. شارك معنا لكي تفيد وتستفيد


رد مع اقتباس
  #4  
قديم 06-05-2011, 08:08 PM
الصورة الرمزية الفتى الفدائي
الفتى الفدائي غير متواجد حالياً
مدير المنتدى
 
تاريخ التسجيل: Jun 2010
الدولة: –•¤•»_ اًلِحًـٌـِ فِدٌأآئْو ـًـِـٌزِيَـِِنٌ_«•¤•–
المشاركات: 6,676
الفتى الفدائي will become famous soon enoughالفتى الفدائي will become famous soon enough
افتراضي

مشكوووووور والله يعطيك الف عافيه
__________________



بآلله عليكم آلآ تخجلون من تشآؤمكم وجنود الجيش العربي السوري من آشتآقوآ لآهلهم ,,,

من لم يعرفوآ آلنوم منذ آشهر ,,, من لم يتذوقوآ الطعآم بمنآزلهم منذ آشهر ,,,
من آشتآقوآ ليحتضنوآ آبنآئهم ,, من لم يعرفوا إلا صوت النار والبارود منذ زمن طويل ,,,
ويبتسمون فهل لكم الحق تحزنون ,,,

التوقـيـ ع : مـ شهيد لأجـ Ahmad ــل سوريـا الأسـ Alassd ـد ــشروع





رد مع اقتباس
  #5  
قديم 09-04-2011, 06:40 AM
الصورة الرمزية ميدووو
ميدووو غير متواجد حالياً
 
تاريخ التسجيل: Mar 2010
الدولة: الكويت
المشاركات: 7,243
ميدووو has a spectacular aura aboutميدووو has a spectacular aura aboutميدووو has a spectacular aura about
افتراضي

كالعاده رائع عشوق
رد مع اقتباس
  #6  
قديم 10-24-2012, 10:23 PM
الصورة الرمزية شهد
شهد غير متواجد حالياً
 
تاريخ التسجيل: Oct 2011
الدولة: غزة
المشاركات: 16,522
شهد is a splendid one to beholdشهد is a splendid one to beholdشهد is a splendid one to beholdشهد is a splendid one to beholdشهد is a splendid one to beholdشهد is a splendid one to beholdشهد is a splendid one to beholdشهد is a splendid one to behold
افتراضي

مشكوووووور والله يعطيك الف عافيه
رد مع اقتباس
  #7  
قديم 10-24-2012, 11:00 PM
الصورة الرمزية حلا
حلا غير متواجد حالياً
 
تاريخ التسجيل: Oct 2011
المشاركات: 12,830
حلا is a splendid one to beholdحلا is a splendid one to beholdحلا is a splendid one to beholdحلا is a splendid one to beholdحلا is a splendid one to beholdحلا is a splendid one to beholdحلا is a splendid one to behold
افتراضي

رد مع اقتباس
إضافة رد

أدوات الموضوع
انواع عرض الموضوع

ضوابط المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع


الساعة الآن 07:29 PM.


Powered by vBulletin® Version 3.8.10 Beta 1
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Trans by
حميع الخقوق محفوظة © لـ منتديات العاشق 2009 - 2022