شرح البرنامج خطوة بخطوة :

الخطوة الاولى :

عليك بتحميل البرنامج

الخطوة الثانية :

عليك بإيجاد مواقع مصابة بثغرة SQL

و ذالك بكتابة رموز خاصة تكتبها في محرك البحث جوجل و هذه الرموز تدعى بالدوركات dorks اليك امثلة عن بعض هذه الرموز: 

يوجد العديد من الدوركات مثال 

inurl:index.php?id=

inurl:pageid=

هنا تجدون مجموعة كبيرة من الدوركات.

الخطوة الثالثة :

بعد أن كتبنا الدورك في محرك البحث و ظهرت النتائج الا و هي المواقع المصابة .

ننسخ ما هو مكتوب بالاخضر لبرنامج havij 

 ثم نضغط على analyse في أعلى يمين البرنامج ، ليبدأ البرنامج بالحقن .

و الان إن نجحت في الاختراق فسوف يظهر البرنامج هكذا : 

الخطوة الرابعة :

اضغط الان على tables ثم على get tables

و الان حدد العمود الذي تشك فيه بأنه يحوي المعلومات الاساسية للموقع و غالبا ما يكون مسمى ب admin  ثم اضغط على get columns ثم تظهر لك اعمدة أخرى من بينها user name و password حدد الاثنين معا ثم اضغط على

 get data

و الان سيظهر لك اسم المستخدم و كلمة المرور ، لكن بقية مشكلة واحدة و هي ان كلمة المرور التي تظهر مشفرة و تحتاج الى فك التشفير لفك تشفيرها هناك طريقتان :

الطريقة الاولى عن طريق البرنامج فالضغط على MD5 و ادخال كلمة المرور المشفرة ثم start او analyse يبدأ البرنامج بفك التشفير .

الطريقة الثانية و هي ادخال كلمة المرور المشفرة في أحد مواقع فك التشفير ليفك تشفيرها يوجد عدة مواقع واليك  هذا المواقع MD5 online  .

الى هنا اكون قد انتهيت من الشرح و أتمنى ان تكونوا قد استفدتم

كان معكم اخوكم قصي ابوعجيلة 

0 تعليق

المبرمج المحترف 7:08 ص

مزيد من المعلومات »

بسم الله الرحمن الرحيم و الصلاة و السلام على اشرف المرسلين اما بعد 

السلام عليكم  و رحمة الله تعالى و بركاته

مرحباً بكم اخواني الكرام في شرح اليوم 

و من منا ﻻ يعرف ثغرة SQL Injection او مايعرف بثغرات الحقن التي احتلت مئات الالاف من المواقع الكبيرة منها و الصغيرة

بداية سنعرفها ببساطة : 

ثغرة SQL Injection هي ثغرة امنية توجد في قواعد البيانات الخاصة بالمواقع

و تمكننا من رؤية كل ما بقاعدة البيانات من جداول الى اعمدة و من اعمدة الى بيانات

كيف نكتشفها ؟ : 

ساشرح لكم طريقة اكتشافها من الرابط اخواني و ليس من السكربت البرمجي

الطريقة بسيطة جدا

يجب ان يكون الرابط على الشكل

http://www.site.com/[anything].[anything]?[anything]=[integer(number)]

و anything يتم استبدالها بأي كلمة مثل

www.site.com/index.php?id=6

www.site.com/book.php?cid=7

www.site.php/member_profile.asp?mnl=20

...الخ من الروابط

الان بعدما نحصل على هذا الرابط نضيف هذه العلامة ' في نهاية الرابط فقط

مثل هكذا

www.site.com/index.php?id=6'      

اذا لم يتغير شكل الموقع وبقي مثل ماهو اذاً فهو سليم و غير مصاب

اما اذا تغير شكل الموقع بدون اخطاء فهناك احتمالية قليلة بإصابته

و اذا ظهر لكم خطأ مثل 

This error message may seem cryptic at first. That is because it is a general MySQL error pointing to a syntax error of ..... 

او 

You have an error in your SQL syntax; check the manual that  ....

....  

اذا فالموقع مصاب بهذه الثغرة

الآن ننتقل الى

طريقة استغلال الثغرة :

لاستغلال ثغرة SQL Injection اخواني هناك طريقتين 

طريقة الحقن اليدوي : و طبعا طريقة يدوية و متعبة و بدون اي برامج فقط تضيف تعديلات على الرابط مثل

 union+select+,1,2,3,4,5

order+by+6

و العديد من الاوامر مايجعله يديوي و صعب و لكن نتيجته ممتازة

طريقة الحقن الاوتوماتيكي : و طبعاً هي المشهورة نظراً لسهولتها و سرعتها

لأنه يستعمل فيها البرامج مثل Havij و اداة sqlmap فقط عليك وضع الرابط و تنتظر النتائج ^_^

 و في هذا الشرح سنشرح الحقن الاوتوماتيكي و بالتحديد اداة sqlmap الموجودة في كالي لينكس

 و يمكنكم تحميلها على الويندوز ايضا من الموقع الرسمي 

في الدرس القدام انشاء لله لكيفية الحقن  عن طريق برنامج Havij و هو اسهل طريقة للمبتدئين 

1 تعليق

المبرمج المحترف 7:07 ص

مزيد من المعلومات »

بسم الله الرحمن الرحيم 

السلام عليكم اخوانى واخواتى ؟ انشالله بخير 

الموضوع باين من عنوانه 

ولكن قبل البدء انا بريء من اى شخص يستخدمو في الغلط او ضدد المسلمين 

نبدء 

..

" اولا وستردد هذه الكلمه في جميع الدروس القادمه 

الاختراق في الفيس بوك صعب ولكن ليس مستحيل اانت تخترق دومين ولا تخترق السيرفر فالسيرفر صعب جدا ومن الممكن ان يكن مستحيل فى الوقت الحالى "

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

بعد ان تم جمع المعلومات عن الهدف كما ذكرنا في الدرس قبل السابق 

نأخذ id الحساب المستهدف ونذهب الى فيس بوك 

ثم الضغط على نسيت كلمة السر 

كما في الصوره 

ستفتح لك نافذه مكتوب بها اكتب اى دى او البريد الاكترونى للتعرف على حسابك 

ستكتب بها id او البريد الاكترونى للمستهدف 

كما في الصوره 

بعد ذلك سيعطيك الحساب او شكل الحساب الذي تريده 

فتضغط لا يمكننى الوصول الى حسابي 

كما في الصوره 

الان

جينا للمهم واهم حاجه 

اولا لازم نعرف ان كل حساب فيه ثغرات غير الاخر 

ولكن جميع الحسابات بها ثغرات لسرقتها ولا يوجد ما هو مستحيل كل ما عليك هو التركيز جيد 

ـــــ 

دلوقتى ثغرة الشخص اللى قدمنا بطاقة هيه ازاى 

لاحظ ان حكتب الكلام تحت الصوره من هلا

انظر للصوره اولا ثم الشرح تحتها 

1_ اكتب بها اسم المستهدف كما هو في حسابه الفيس بوك 

2_ ضع بها رابط صفحته الشخصيه 

3_ ضع بريد الكترونى لك (مهم جدا بريد الكترونى يكون شغال سواء اميل ياهو او هوتميل او او الخ المهم تقد تفتحه وتستقبل عليه الرسايل ) 

ملحوظه لازم البريد الاكترونى يكون جديد او بمعنى اوضح يكون غير مستخدمه على الفيس بوك 

...............

تعال نشوف بعدها وركز منيح 

1_ اختارها غير ذلك 

2_ اختار بلدك وضع رقم هاتف جوال 

3_ اكتب لا استطيع فتح حسابي بسبب اختراق البريد الاكترونى الخاص بي + حساب الفيس بوك واتمنى الرد على طلبي فورا 

4_ دى بقي اهم حااااااااااااااجه 

نركز 

اشرب شاي بقي كدا 

شربت ؟ جميل 

تعمل بطاقه مزيفه 

والافضل عمل بطاقه حكوميه

حتكتب في البطاقه (الحكوميه ) الاسم + تاريخ الميلاد +الدوله 

وكل دا طبعا معلوماته هو مش انته !! 

يارب تكون فهمت 

وانتهاء درسنا لهذا اليوم والسلام عليكم ورحمة الله وبركاته

0 تعليق

المبرمج المحترف 8:22 ص

مزيد من المعلومات »

 غالبا ادا سألت أي مبرمج محترف عن اصعب مرحلة مر بها اثناء مشواره هي عالم البرمجة ، تتوقع ان يكون جوابه في مراحل متقدمة و معقدة من تعلم لغة ما او خلال تطبيق مشاريعه البرمجية المعقدة ... ، لكن جوابه غالبا سيكون منافيا تماما لتوقعاتك ، في مرحلة بداية التعلم ، نعم البداية في تلك المرحلة يرسم المتعلم مساره من من خلال العديد من المجالات و يبني أساسه الدي يكمل به مشواره ، ادا كانت بداية المبرمج خاطئة ووقع في الاخطاء التي سندكرها في تدوينة اليوم ، عادة ما يرافقها بعدة مدة ضجر و ترك للمجال نتيجة عدم الوصول لنتيجة خلال تعلمه للبرمجة .

الخطأ رقم 1 : التعلم بدون خطة 

من اكثر الاخطاء شيوعا في متل هدا المجال ينجم عنه التردد على العديد من المجالات البرمجية ويب،لندرويد،سطح مكتب ... و التوجه لكل شيئ يصدر جديدا  تاركا المتعلم يحمل احساس انه لن يستطيع تعلم البرمجة طوال حياته و محصلته بعد دلك من العلم تكون طفيفة جدا. 

الخطأ رقم 2 : عدم التطبيق 

 لا ننكر ان للكورسات و الكتب و التعليم الجامعي او الاكاديمي دور هام و كبير في تعلم البرمجة لكن التطبيق تقريبا هو اساس النجاح في هدا المجال فبالتعلم دون تطبيق تجد انك قد وسعت المجال حول نفسك و كثرت على نفسك المعلومات دون تطبيق او ترسيخ لها ما يجعلك تقريبا ترجع لنقطة الصفر ، حاول تقريبا كل خطوة تمر بها او معرفة تكتسبها ان ترسخها لاتطبيق العملي او اجعل لنفسك مشروع كلها تعلمة جديد تطبقه و تنفده على دلك المشروع .

  الخطأ رقم 3 : محاولة تعلم اكثر من شيئ وقت واحد

  حب تعلم اكثر من شيئ واحد في البرمجة من اعداء المبتدئين في هدا المجال ، حاول كلما استطعة صب طاقتك في مجال واحد لنقول اندرويد فقط و ابدع فيه ، و ضع في بالك انك داخل في هدا المجال ليس لاتقان اكبر كم من المجالات بل للابداع .

  الخطأ رقم 4 : تعلم اكثر من لغة 

 ضع في بالك ان الغات البرمجية ليست الا ادوات لتفيد افكارنا و مشاريعنا و تجسيد لطموحاتنا ، تعلم اكثر من لغة لا يجعلك محترف بل احترافك للغة و امتلاك الفكر البرمجي الجيد هو ما يجعلك مبرمج جيد ، ركز فقط على لغة او اكثر حسب احتياجك فقط و انطلق في الابداع .

  الخطأ رقم 5 : التسرع 

    لا تضن ان قرائتك لكتاب او مشاهدة دورة في مدة شهر ستجعلك محترف البرمجة صبر و تطبيق و تركيز و لا تهتم للوقت ابدا و تسرع في عملية التعلم لانه وقتها يكون تضييعا حقيقيا لوقتك ، لا تتخطى اي مرحلة قبل استيعاب و هضم سابقتها .

    في الاخير نتمنى انك استفدة من تدوينة ، و من النصائح المقدمة و تبدا في عملية تعلم هدا المجال الرائع و لا تنسى ان تشارك المقالة لتعم المنفعة .

0 تعليق

المبرمج المحترف 9:16 ص

مزيد من المعلومات »