1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

Server Side Includes ~ SSI~Injection

الموضوع في 'المواضيع المُكرّرة والمُخالفة' بواسطة X-vipe, بتاريخ ‏30 ديسمبر 2014.

كاتب الموضوع : X-vipe المشاهدات : 601 الردود : 11 ‏30 ديسمبر 2014
حالة الموضوع:
مغلق
  1. غير متصل

    X-vipe
    rankrank
    Developer

    عضو منذ:
    ‏6 نوفمبر 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    الوظيفة:
    Spam
    الإقامة:

    [​IMG]
    بسَم الله الرحمِن الرحيَم ، السَلام عليكِم ورحمَة الله وبركِاتة

    انِ الحمَد لله نحمَده و نستعِينه ونستغِفره و نعِوذ بالله مَن شروَر انفسِنا


    و سيَئات اعمِالنا مَن يهَده الله فلاِ مضَل لهِ و مَن يضِلل فلاِ هادِي لهَ ، امَا بعَد



    [​IMG]


    اود ان اشرح عن نوع من انواع الثغرات القاتله ولكن للاسف لم اشاهد شيء يذكر يتطرق للثغرة في الساحة. قلت اشاركم في هالنوع من الثغرات وعسى ان يكون بالشيء المفيد.


    تعريف Server Side Includes


    SSIs هي موجهات حضوريه في صفحات مكتوبه بلغة html يحتوى علي محتويات دينميكيه. شبيهه بلغة الCgi جدا ولكن SSIs يستخدم في تنفيذ بعض الاومر قبل تحميل وعرض الصفحه. هاذي الثغرة تسمح للمخترق في حقن كود جافاسكربت وايضا تنفيذ اومر واستدعاء عن بعد ومن خلال الشرح راح اتطرق في كيفيه تنفيذ اومر لينكس على السيرفر وايضا بالامكان الاتصال العكسي من خلال الثغرة

    ، طبعا characters التي تستخدم في اكتشاف الصفحه بستخدام SSI directives هي < ! # = / . " - >، طبعا موجوده في الاباتشي تحت موديل .
    Apache Module mod_include
    [​IMG]

    الثغرة تكمن في التحقق من الفلتره للمدخلات مثلها مثل اي حقن عن طريق اي لغة اخرى. لناخذ مثال بسيط للثغرة

    [​IMG]

    [​IMG]


    لنفرض بأن لدينا صفحهPHP&HTML عندما نقوم باكتابه الاسم الاول والاخير يقوم بطباعه الاسم كامل ومن ثم طبع الاي بي من خلال امر SSI= Server Side Includes وهو امر

    كود PHP:
    <!--#echo var="REMOTE_ADDR" -->


    ومن ثم تحويلنا للصفحه مثل ماقلنا في بداية المقال يقوم بتنفيذ الامر قبل تحميل الصفحة،


    [​IMG]


    المهم بعد مانقوم بكتابة الاسم الكامل في الخانتين.
    يقوم بتحويلنا الى صفحه SHTML. SSI

    [​IMG]

    الان خلونا نقوم باستبدال الاسم الاول والثاني بأومر SSI من خلال Brup suite او اي محرر الاستعلام ولكن بالنسبة لي افضل Brup suite. على كل حال نقوم بالتعديل

    [​IMG]


    نقوم بتعديل الخانات بالاومر التالية

    كود PHP:
    <!--#echo var="DOCUMENT_NAME" -->


    لاستعراض اسم الملف

    كود PHP:
    <!--#exec cmd="cat /etc/passwd" -->


    لقراءه وتنفيذ اومر اللينكس

    [​IMG]


    والناتج


    [​IMG]

    بعض الاومر.

    [​IMG]


    [​IMG]


    فــي امــأن الـلــه ورعايته

     


    جاري تحميل الصفحة...
  2. غير متصل

    М.ñàƒƒà3
    rankrank
    Active DeveloPer

    عضو منذ:
    ‏30 مارس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    الإقامة:

    رد: Server Side Includes ~ SSI~Injection

    مــشـٌكوووور ويـعـُـطيك العافيه
     


  3. غير متصل

    بــرهــومــي
    rankrank
    Developer

    عضو منذ:
    ‏9 أغسطس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    9
    نقاط الجائزة:
    الإقامة:

    رد: Server Side Includes ~ SSI~Injection

    مشكووووووووووور يعطيك الف عافيه
     


  4. غير متصل

    CarmenaBorana
    rank
    Developer

    عضو منذ:
    ‏16 ديسمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    الإقامة:

    رد: Server Side Includes ~ SSI~Injection

    بارك الله فيك يا مبدع
     


  5. غير متصل

    Wo0oLf
    DeveloPer Plus

    عضو منذ:
    ‏22 مارس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    7
    نقاط الجائزة:
    الوظيفة:
    طالب جامعي Computer science
    الإقامة:

    رد: Server Side Includes ~ SSI~Injection

    الله يبآرك فيك أخوُي
     


  6. غير متصل

    n0.H4ck
    DeveloPer Plus

    عضو منذ:
    ‏7 مايو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:

    رد: Server Side Includes ~ SSI~Injection

    لا تحرمنا من ابداعك ~
    مشكور ياغالي .. !
     


  7. غير متصل

    Ammar Elsayed
    rank
    موقوف لمخالفة الشروط

    عضو منذ:
    ‏28 يناير 2015
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: Server Side Includes ~ SSI~Injection

    مبدع...:{1!}:
     


  8. غير متصل

    ТUЯКł ΛŁ HΛЯБł
    DeveloPer Plus

    عضو منذ:
    ‏17 يوليو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    الوظيفة:
    طآلب جآمعي :(
    الإقامة:

    رد: Server Side Includes ~ SSI~Injection

    بارك الله فيك يالغلا
     


  9. غير متصل

    Mafia Scorpion
    rankrank
    Developer

    عضو منذ:
    ‏19 أغسطس 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: Server Side Includes ~ SSI~Injection

    بارك الله بيك
     


  10. غير متصل

    SMART-AL-Falahi
    Developer

    عضو منذ:
    ‏14 فبراير 2015
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    الإقامة:

    رد: Server Side Includes ~ SSI~Injection

    مممشكككور حبوووب مع اني ما فهمت الثغرات ..
     


حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...