#1
|
||||
|
||||
دورة الحماية الكاملة والكمال لله المقدمة من منتديات العاشق
سم الله الرحمن الرحيم
طبعا جاتلي الفكرة اني انزل دورة حماية فى المنتديات الفي بي ======================================= للمبتئدين وهي الدروس كلها فديو =========================== وطبعا المنتديات الجديدة مافيها ثغرات ولا تسمعون اى كلام بيتقال فى المنتديات التطويرية اسف ولو حد قالي كيف المنتديات انتا بتقول مافيها ثغرات ومنتداي بيخترق ? ======================== راح اقولك الهكر بيخترق المنتديات ازاى الهكر يجماعة مش غبي دول ملوك النت بيجيب اي بي السيرفر عن طريق الرن على جهازك وبيعمل بيج ويطلع اي بي السيرفر ====================== وطبعا بع ما يجيب الاي بي بتاع السيرفر بيدخل على موقع www.msn.com والموقع دة مصيبة بيساعد الهكر فى اكتشاف السكربتات يبدا الهكر بالبحث عن ip:xxxxxxx powerd وكلمة xxxxxxx هى الاي بي انما كلمة powerd دى بقى اللى بتعرض له السكربتات ============================== الهكر يجماعة لما يكتب الكلام فى البحث بيعرض له جميع المنتديات اللى على السيرفر وبيبقى مكتوب تحت اسم المنتدى الاسكربتات المتركبة الهكر بيجيب اي منتدى معاك على السيرفر مركب اي سكريبت به ثغرات يعني لو لقى سكريبت جملا ودى اكيد فى ثغرات هيبدا يخترق المنتدى دة بالثغرات اللى فيه ولو لقى سكربت مركز تحميل ترايد نت يقى يبقى كدة وصل للى هو عاوز بيدا الهكر فى اختراق الاسكريبت وجد فيه ثغرات هيرفع شيل على المنتدى اللى مركب الاسكريبت وهيقدر يتخطى الصلاحيات واختراق سيرفرات الويندوز دة لو عطى لنفسه صلاحيات administrator ودة مثال على الشي الروسي c99 مرفوع على سيرفر شوفو الخطور 1 - دى معلومات عن السيرفر 2 - دى صلاحيات الهكر على السبرقر 3- حالة السيرفر 4- دة يوزر ومسار الهكر اللى موجود فيه 5- مجلدات وملفات موقعك 6- دة بيقدر يتص بالقاعدة 7 - ودة تغير امر فى الشيل يعني يقدر يجيب باسورد ويزر موقعك 8- ودة ترخيص الملفات يعني اللى بللون الاخضر يعني مثلا 777 9- ودة الهكر لو عاوز يعدل او يحذف ======================================== طبعا الهكر كل اللى يهمه فى الموضوع انو يوصل لملف الكونفيج المهمز انا جاتلي فكرة اني انزل موضوع لحماية المنتدى ================================================== ملحوظة يجماعة ان كنت ناسي حاجة اعذروني بس انا هكر واكيد دى الطرق اللى بتجنن الهكر والموضوع دة بحقوق منتديات عيون مصر يعني اللى هينقله من غير مايذكر المصدر www.egy-eyes.com/vb مش هسامحه الشرح مقدم من black-moom و shell c99 لعيون منتدايا www.egy-eyes.com/vb ودة رابط الموضوع الاصلي http://www.egy-eyes.com/vb/t9150.html ============================================= نبدا على بركة الله اول درس هو تغير اسم الكونفيج ودة مهم جدا فى حماية المنتدى لتحميل الدرس رابط التحميل اهو اضغط هنا تاني دروس وهو تغير مسار الكونفيج يعني نقله من الانكلود لمجلد اخر للتحميل اضغط هنا ثالث درس وهو تغير مسار المجلدين بتوع المشرفين والمراقبين اضغط هنا نيجي نسد الثغرات بقى وطبعا للضرورة ===================================== ثغره الهتمل بالنسبه للتواقيع خيارات المنتدى خيارات هوية العضو السماح بأكواد الـ HTML في التواقيع لا 3- خيارات المنتدى خيارات الرسائل الخاصة السماح بأكواد الـ HTML في الرسائل الخاصة لا 4- خيارات المنتدى خيارات ملاحظات العضو السماح بـ HTML في ملاحظات الأعضاء لا =========================================== حل ثغره شريط المواضيع افتح ملف last10.php وببعض الهاكات الاخرى ملف ttlast.php ابحث عن $fsel $ftitle فقط قم بحذفهم من الملف وارفعه لمجلد منتداك ================================================= ثغرة ملف التعليمات faq.php وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في أي دليل داخل السرفر تقع ملفات المنتدى طريقة سد الثغرة فتح ملف faq.php وقم بالبحث عن الأسطر التاليه كود PHP: // initialize some template bits $faqbits = ''; $faqlinks = ''; اضف بعدها مباشرة كود PHP: $navbits[''] =$vbphrase['faq']; ثغرة ملف editpost.php هي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث طريقة سد الثغرة قم بفتح ملف editpost.php وابحث عن السطر التالي كود PHP: $edit['title'] = trim($_POST['title']); استبدله بهذا السطر كود PHP: $edit['title'] = trim(xss_clean($_POST['title'])); احفظ الملف وارفعه لمجلد منتداك ================================= ثغرة ملف authorize.php وهي ثغره من نوع SQL Injection هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل ================================================= سد ثغرة spacer_open وهي اخطر ثغرات الى يستغلها اطفال الهكر للتعديل على القوالب ويقدر يخترق المنتدى بأكمله طريقة سدها اول افتح ملف global.php الملف موجود على المسار global.php/vb/ افتح ملف global.php كود PHP: eval('$spacer_open = "' . fetch_template('spacer_open') . '";'); ثمّ نغيّر كلمة spacer_open إلى كلمة أخرى ولتكن مثلاً egy-eyes.com بحيث يصبح الكود بالشكل التالي : كود PHP: eval('$spacer_open = "' . fetch_template('egy-eyes.com') . '";'); ثم احفظ الملف وارفعه . هذه اول خطوه الخطوه الثانيه توجه الى لوحة تحكم المنتدى وبعدين اضافة قالب جديد وعنوان القالب راح يكون بالاسم اللى اخترناه egy-eyes.com ونضع فى محتواه كود PHP: <!-- open content container --> <if condition="$show['old_explorer']"> <table cellpadding="0" cellspacing="0" border="0" width="$stylevar[outertablewidth]" align="center"><tr><td class="page" style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px"> <else /> <div align="center"> [LEFT] <div class="page" style="width:$stylevar[outerdivwidth]; text-align:$stylevar " > <div style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px"> </if> over عند النقل يرجي زكر المصدر
__________________
|
|
|