بسم الله الرحمن الرحيم
---------------------------------
تعلم اختراق السرفرات مع* Unit-X Team *
---------------------------------
اكيد الكل هيقول اختراق السرفرات قديمة لاكنى قررة عمل
شىء جديد بالنسبة للمبتدى وهو البداية من الصفر مع التجربة
بناء على طلب كثير من الاعضاء المهم
اكيد ما راح نتكلم عن الاستهداف بجمع المعلومات ولا الكلام ده
لانه بيعقد المبتدىء الى هيكون سر تفوقه اكيد الثقة بالنفس
وبقولها لكل مبتدىء ماتحول انك تستهدف موقع وتجرب عليه ثغرات
حتى يكون عندك الخبرة الكافية لذلك والا الفشل هيكون صعب جدا
على العموم نبدا ذى ما قلنا من الصفر .
اكيد كلنا شفنا فى باب الصغرات فى المنتدى صغرات فى برمجيات
php / asp / mdb / unicode
وغيرها كثير بس المشكلة انى لما بخترق بهذه الثغرات مابتفيد
كثير لانى بهذا ما بكون مخترق الموقع انا بخترق برنامج عليه
لاكن فى برامج تقدر تستغلها للسيطرة على السرفر بالكامل
مش الموقع وبس ومن اتفه هذة الثغرات ثغرة uploader وهى
عبارة عن سكربت مكتوب بلغة php ليسهل على الادمن تحميل الملفات
بدون الدخول على ftp بس فى اتجاه واحد من الادمن الى الموقع
مش العكس وفى الغالب توضع الملفات الى انت بتحملها على السرفر
فى فولدر اسمه uploads وكمثال على ذلك :
--------------------------------------
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]--------------------------------------
من هنا تقدر تحمل اى شىء على الموقع
طيب كدا تمام ايه الى هنحمله على الموقع اكيد مش الاندكس
لانى بتكلم مع شباب طموحين عاوزين يخترقوا السرفر طيب نعرف السرفر
شغال unix ولا 2000 اوكى وبعدكدا نقدر نحدد هندخل للسرفر باى سكربت
طيب هنحدد السرفر بالطريقة السهلة وهى netcraft اكيد الكل عارفها
طلعلنا نظام التشغيل unix اول ما نشوف يونكس وابلودر = phpshell
بدون كلام لانه افضل شىء فى هذة الحالة
طيب نحمل الشيل اذاى ؟
مسالة سهلة جدا
انت تحمل الملف المرفق على الجهاز عندك وتفك ضغطه
هتلاقى داخل الفولدر 5 ملفات تعملهم ابلود على السرفر
وتشغله من المتصفح بالشكل ده:
--------------------------------------
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]--------------------------------------
تمام واكيد مش هشرح الاوامر ولا كيفية السيطررة على السرفر لانى
سبق وشرحتها بالتفصيل فى المشاركة :
--------------------------------------
تعلم (phpshell) مع * UNIT-X TEAM *
--------------------------------------
وصلة التنزيل للشيل
اوكى كل الكلام ده ينطبق على سرفرات linux و unix انما 2000 نعمل فيه ايه ؟
ده حل سهل جدا وذى ما اتعودنا هنبداء من الاول
ننقى ثغرة تكون سهلة لسرفرات 2000 اه اكيد الكل سمع عن webfolder
والى ما سمعش نسمعه الويب فولدر ثغرة بتخليك تحمل وتنزل وتحزف اى ملفات من على
اى موقع مصاب بها يعنى كانك فكيت تشفير كلمة السر لموقع ودخلت ftp بس فى ثغرتنا
مافى فك تشفير.
بالنسبة للناس الى بتقول الويب فولدر ما بيعمل الاعلى وندس 98 دولا غلطنين لانه بيعمل
على كل اصدرات الوندس الفرق انه فى وندس 98 بيكون له ايكونة فى My Computer انما فى
باقى الاصدرات بيكون فى المسار التالى:
----------------------------------------------------
Desktop>My Network Places>Add Network Place
----------------------------------------------------
تمام اول ما تختار الايكونة Add Network Place سيظهر لك نافذة اكتب فى الفراغ اسم الموقع
ومثال على المواقع المصابة بالثغرة:
----------------------------
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]----------------------------
تمام احنا كدا سيطرنا على الموقع بس المشكلة اننا ذى ما قلنا احنا عوزين السرفر
مش الموقع يبقى فيه سكربتات perl الى بتستخدم فى اختراق الساف مود على اللينكس
اكيد انت هتقول اننا كدا خرجنا عن الموضوع لاكن اقولك ان السكربت بعد اضافة بعض
التعديلات عليه بيكون جاهز للعمل على انظمة 2000 و nt طيب وده هيكون ايه نظام اوامره
اكيد نظام 2000 يبقى يشتغل باوامر الدوس العادية
وهتكون طريقة التشغيل بالشكل ده
-------------------------------------------
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]-------------------------------------------
وكلمة المرور
--------------
EVIL-MASTER
--------------
بس فى ميزة هنا عن اللينكس
وهى انك ممكن تحمل السكربت على موقع فى السرفر وتلاقى انك عندك صلاحيات فى تغيير
اى شىء فى المواقع الى على السرفر بدون اى قيود وده بيحصل 85% من المواقع الى على النت
على العموم انت عندك فى السكربت من فوق امكانية التحميل من والى الموقع وانت مش هتكون محتاج اكثر من هذا
وعلى فكرة السرفر فيه مواقع وليك صلاحيات
وعلى فكرة فى سكربتات افضل من هذا بكثير لاكن لازم اخذ الاذن من المشرف العام قبل النشر
وكان عندى ملاحظة وهى انك ماتعتبر الابلودر والويب فولدر هم الاساس كل يوم فيه جديد
ولو كنت متابع الثغرات فى مواقع السكيورتى اكيد هتوصل اسرع من الصاروخ
تحياتي
........ منقول لعيونكم .......
المزاج
موضوع: شرح اختراق السرفرات بواسطه Unit-X Team 
الجمعة يوليو 08, 2011 10:05 pm