آموزش تست امنیت سایت هایی که باگ sql دارد

تست امنیت سایت و باگ گیری sql

مرورگر شما با وبسایت سازگار است

اگر سایت شما این باگ را داشته باشد به راحتی چند کلیک هک می شود!

برای این کار نیاز به یه نرم افزار قدرتمند بانام "هویج" داریم

این برنامه با تزریق اسکریپت ها بسیار زیاد و ترفند های بسیار پیشرفته سایت شما را مورد هدف قرار داده و از نقاط ضعف ان استفاده کرده و پس از چند دقیقه ان را (ه)__(ک) می کند...

امکانات این برنامه برای نفوذ به بخش مدیریت سایت شما کامل است و شما نیازی به نرم افزار دیگه ای ندارید

-Find Admin:

این نرم افزار سایت شما را اسکن می کند و پس از چند دقیقه یا ثانیه بخش مدیریت و لاگین سایت را در اختیار شما قرار داده و پس از رمز گشایی(MD5) پسورد دیافت شده می توان به بخش مدیریت سایت دست پیداکرد.

برای پیداکردن سایت هایی که این باگ را دارند باید از گوگل هکینگ استفاده کنید(در آینده آموزش میدم)

1.گوگل را باز کنید

2.دستورات زیر را واردکنید

inurl:id= filetype:php

inurl: .asp?id=

inurl index.php id=

من از قبل این دستورات را نوشتم فقط کافیه این رو وارد کنید و برای باگ یابی سایتتون ادرس اون رو به این شکل وارد کنید

inurl:siteravaredkonid inurl:id= filetype:php

inurl:siteravaredkonid inurl: .asp?id=

inurl index.php id= inurl:siteravaredkonid

وقتی که به دیتابیس سایت دست پیداکردید روی Tables کلیک کنید

برای دسترسی به دیتابیس های دیگر سایت روی Get DBs کلیک کنید

برای دسترسی به زیر شاخه های دیتابیس روی Get Table

پس از اتمام پردازش و نمایان شدن زیرشاخه ها روی بخش هایی مانند admin_user یا admin یا admin_pass و... کلیک کنید و گزینه Get columns را انتخاب کنید و صبر کنید.

اگر در بخش بالا به اروور برخوردید روی کلید Get Data کلیک کنید

↖پس از هک شدن بخش بالا و دستیابی به یوزر و پسورد اگر رمز گزاری شده بود (بعضی سایت ها از ان استفاده می کنند)از بخش بالایی روی کلید(MD5) کلیک کنید و کلید رمزگزاری شده را وارد کنید تا پروسه رمز گشایی تمام شود

اگر پسورد در دیتابیس سایت های این بخش باشد رمزگشایی می شود

برای پیدا کردن صفحه ورودی login باید ادرس تارنمای سایت را در بخش Find Adnin وارد کنید تا نرم افزار شروع به جستجوی صفحه کند

پس از پیدا کردن صفحه login یوزر نیم ، پسورد را وارد کنید و از ان لذت ببرید D:

نمونه:

برای شروع می توانید سایت http://www.tunesoman.com/product.php?id=200 را وارد کنید(باید باگ sql داشته باشه)

_این سایت برای login از صفحه های داخلی استفاده می کند.

این سایت رمز ها را رمز گزاری کرده و باید ان را رمز گشایی کنید (من قبلا این کار را انجام دادم)

user: mbkaushik

pass: 80a8a1240904e9255b86b86aa8d25eff

------------

رمز گشایی شده:

user: myadmin

pass: singh@123

---

اینم لیست سایت های دارای bug sql

لیست سایت هایی که باگ sql دارد

#درخواستی

http://maskinconsulting.se/wds_news/article.php?ID=1 

http://citylinefoods.com/index.asp?id=123

http://www.cenarrusa.org/content.asp?id=3

http://www.atmarine.fi/index.php?id=2

http://www.tadspec.com/index.php?id=15

http://www.f10products.co.za/index.php?id=5

http://www.tunesoman.com/product.php?id=200

http://www.katoombagroup.org/details.php?id=56

http://www.dr-hashemi.com/index.php?newsid=108

http://www.tadspec.com/index.php?id=15

http://www.romanianwriters.ro/s.php?id=1

http://www.adamslove.org/en-d.php?id=264

http://www.fairtradegroupnepal.org/about.php?id=1

http://www.solcavsko.info/index.php?id=54

http://www.atmarine.fi/index.php?id=2

http://www.romanianwriters.ro/s.php?id=1

http://www.finvent.com/details.php?id=20

http://www.imagesystems.com.mt/index.php?id=10

http://www.sneaindia.com/index.php?id=15

---

برترین کانال آموزش هک و امنیت کانال آموزش هک (کانال مدیر وبلاگ ماه آبی)

@hackamooz

برای دانلود نرم افزار هویج ایمیل بفرستید تا لینک دانلود رو براتون بفرستم یا با یه سرچ ساده دانلود کنید

یا اینکه از کانال ما در سروش دانلود کنید