جزء 3 من "اميرة"

اميرة الهكر · 06-03-2005, 05:00 PM

بسم الله الرحمن الرحيم
وقل رب زدنى علما
صدق الله العظيم

ثغرات برامج تصميم المواقع
1- اهم برنامج لتصميم المواقع الفرونت بيج " طبعا الهكر ما سبوهش فى حاله طلعوا فيه ثغرات ملا هاش اول من اخر وانا لاقيت موقع فيه كل الثغرات "
www.ebc.uu.se/evolmuseum/_vti_pvt/
http://www.ebc.uu.se/klubban/_vti_pvt/
http://police.hypermart.net/_vti_pvt/
http://www.seanachie.com/_vti_pvt/
http://www.ahpcc.unm.edu/~aroberts/main/_vti_pvt/
http://www.ahpcc.unm.edu/~aroberts/main/main/_vti_pvt/
http://www.tpeditor.com/_vti_pvt/
http://www.sussex.ac.uk/tcmr/pgp/pgp2/_vti_pvt/
http://www.sussex.ac.uk/Units/IRPol/MAnews/_vti_pvt/
http://members.aol.com/r1953young/_vti_pvt/
http://www.lic.wisc.edu/shapingdane/_vti_pvt/
http://www.gvc.gu.se/ngeo/ng-hem/china/_vti_pvt/
http://www.robertsmyth.leics.sch.uk/_vti_pvt/
http://www.www.nr/My%20Webs/_vti_pvt/
http://siteventos.org.gt/tal_1/_vti_pvt/
http://siteventos.org.gt/redes/_vti_pvt/
http://virtation.com/_vti_pvt/
http://www.ch.ic.ac.uk/bbc/BCG/bcg2001/myweb/_vti_pvt/
http://www.imolbio.oeaw.ac.at/xenopus/_vti_pvt/
http://www.humgym-meran.it/_vti_pvt/
http://www.ceeinet.umd.edu/faculty/ahaghani/_vti_pvt/
http://www.chu-stlouis.fr/hematoonco/_vti_pvt/
http://www.ch.ic.ac.uk/local/projec...thorn/_vti_pvt/
http://www.ce.cmu.edu/~mcnamara/_vti_pvt/
http://www.fht-stuttgart.de/fbv/fbvweb/ipo/_vti_pvt/
http://www.cem.ufpr.br/ecoturismo/_vti_pvt/
http://www.net1.net/~akiecke/_vti_pvt/
http://www.bridgewater.edu/departme...tisms/_vti_pvt/
http://www.lu.lv/jauna/strukt/jgs/_vti_pvt/
http://www.jmtrep.hpg.com.br/_vti_pvt/
http://alpha.tamu.edu/public/jae/_vti_pvt/
http://homepages.newnet.co.uk/netwo...k2000/_vti_pvt/
http://www.ff.up.pt/sirigaitas/_vti_pvt/
http://www.cyclecoachingscotland.fr...co.uk/_vti_pvt/
http://members.aol.com/tamaranth/_vti_pvt/
http://www.bridgewater.edu/departme...owman/_vti_pvt/
http://www.css.orst.edu/barley/_vti_pvt/
http://www.nilc.org.ge/geohealth/_vti_pvt/
http://www.memorial.fund.ukf.net/_vti_pvt/
http://www.ipe.csic.es/cursos.escos/_vti_pvt/
http://dnr.state.il.us/legislation/isah/_vti_pvt/
http://www.rrk-berlin.de/rrkweb/chirurgie/_vti_pvt/
http://www.jtr.gov.my/fik/_vti_pvt/
http://ww1.baywell.ne.jp/fpweb/drlatham/_vti_pvt/
http://www.wms-access.com/Photo%20Gallery/_VTI_PVT/
http://www.lfp.cz/primaire/_vti_pvt/
http://www.zs3zab.cz/_vti_pvt/service.pwd
http://pages.citenet.net/users/ctmx...pvt/service.pwd
http://ftp.scu.edu.tw/_vti_pvt/service.pwd
http://orion.ifsi.rm.cnr.it/meeting...pvt/service.pwd
http://www.momentus.com.br/users/le...pvt/service.pwd
http://www2.alpinecom.net/_vti_pvt/service.pwd
http://www.necc.cc.ms.us/~jpowell/_vti_pvt/service.pwd
http://conca.users.netlink.co.uk/_vti_pvt/service.pwd
===============================================

طيب عاوز ادور على الثغرة ازاى اخد الكلام اللى موجود بعد http://wwwواحطه فى اى محرك بحث وابدأ اشوف الموقع المصاب بهذة الثغرة

انا لاحظت شئ مهم ان الثغرة الاساسيية فى الفرونت بيج يعني الثغرة هي
_vti_pvt والباقى عبارة تقريبا عن اصدارات لها او شئ من هذا القبيل

ملاحظة:-
تنفذ الثغرة وتوجد على المواقع التي صممت بالفرونت بيج ولا تصلح لغيرها ونعرفهاازاى يا اميرة

معرفة الثغرة

1- عن طريق اى محرك بحث
2- من موقع النت كرافت

نرجع بقى ازاى اعرف ان الموقع مصاب باى ثغرة
" ما هو فى عملية البحث ممكن يجيب مواقع بتتكلم عن الثغرة يعنى مش مصابة بها او بتتكلم عن موضوع تانىمثلا عن الفرونت بيج"

****بصوااى ثغرة نعرفها موجوده بالتالى

كيف اتاكد انا الثغر شغالة ولا لا؟
- جرب اللثغرة بواسطة الـ
URL او الـ URI .وده والله انا ما استخدمه

انا اعتمد على تحميل الثغرة نفسه يعنى اذا كانت موجودة الثغرة تحمل على طول الصفحة اللى انا عاوزها

طيب احنا لقينا المهم ندور على ملف اسمه
service.pwd
نفتحه بالمفكرة وتشوف الباسوورد لكن الباسوورد مشفرة نعمل ايه

نفك التشفير بواسطة برنامج جون ذا ريبر "طبعا اتمنى ان يشرحه احد الاعضاء " وبعد فك التشفير بالجون ذا ريبر تروح للفرونت بيج
file
open web
وتحط الموقع فتطلعلك الصفحة الرئيسية فغير اللي انت عاوزهوبعد كده
save or publish
بعدين بيطلب منك كلمة السر والاسم طبعا االحكاية دى سهلة تحط الاسم وكلمة السر وتحط
sign

نصيحة منى بلاش تغير الباسورد والاسم عشان صاحب الموقع ما ياخد باله وتقدر تخش وقت ما انت عاوز

" الموضوع ده مش انا اللى عاملاه انا بس ببسط الشرح عشان اخوانى المبتد ئين "

يهمنى اعرف اذا كان فى اخطاء ام لا مع انى للامانة جربت الحكاية دى مرة وحدة ونجحت مش عارفة مممكن تكون ضربت حظ او نا يسمى بى حظ المبتدئين"

اميرة الهكر

أبو رائد · 06-03-2005, 09:20 PM

الله يعطيك العافية يا أميرة الهكر

وتشكرين فعلا على هذه المعلومات

اميرة الهكر · 07-03-2005, 12:26 AM

شكرا على مرورك اخى

الـ()ـرستان · 07-03-2005, 01:08 AM

اميرة الهكر . . . . .

ما شاء الله كل موضوع تكتبين في الاخر يهمني اعرف المعلومة دي صحيحه ولا لا

اولا احييك على كتابتك ان الموضوع منقول

ثانيا :-
بالنسبه لثغرة الفرونت بيج الثغره ببساطه تكمن في عدة ملفات وهي :-
_private
_vti_pvt
_vti_cnf

طيب ما دام نعرف الملفات ليه يكون هناك مشاكل يعني ليه تلقى مواقع فيها الثغره ؟
سؤال ذكي والرد لانه الملفات هذه مخفيه واحيانا يتم رفعها بدون قصد .
والمشكله تكمن في ان تشفير الهاش للموقع يكون في ملف

Adminstrator.pwd
Adminstrators.pwd
Service.pwd
Users.pwd
User.pwd
Author.pwd
وعندها يتم الحصول على الباسورد

تعليق على الموضوع :-

- موقع netcraft
http://www.netcraft.com/
بعد كتابة اسم الموقع وبعد البحث راح يطلع mod_frontpage/x
x رقم الاصدار

طريقة البحث في جوجل عن المواقع :-
اكتبي في محرك البحث

كود:

"_vti_pvt/service.pwd"

او

كود:

"service.pwd"

كود:

او
"_vti_pvt"

وهذا موقع هدية مصاب مني لكي

http://www.slis.ua.edu/
والثغره
http://www.slis.ua.edu/sac/_vti_pvt/service.pwd

ملاحظة :ظالفرونت بيج ثغره من عصر جدي اذكر جدي الله يسلمه كان شغال عليها زماااااان

الدنيا اتطورت لكن ستظل اول ثغره للمبتدئين

وعملية فك التشفير بسيطه زي ما قلتي بالجون

تحيتي الفتاك

سامي الشمري · 07-03-2005, 01:59 AM

[align=center][align=center][align=center] الله يعطيك العافية يا

[glow=FF00FF]أميـــرة الهكر ..[/glow]

على هذه المعلومات الطيبة ...

و الشكر موصول للأخ المرستان على التوضيح ..

تحيتيـ[/align][/align][/align]

اوجـ awjaa3 ـاع · 07-03-2005, 02:35 AM

مشكوره اختي

ومشكور يالمرستان على التوضيح

واتمنى لكم التوفيق

وفمان الله

اميرة الهكر · 07-03-2005, 12:01 PM

شكرا اخى المرستان على مرورك
ولى عندك طلب ياريت تعطنى موقع او اكثر لثغرات نظام السرفير لانها كانت عندى والله ما اعرف راحت وين حتى اكمل شرحى بالترتيب

تحياتى لك اخى
"بصراحة اول مرة يحدث تفاعل مباشر بينى وبين المشرف والله يا رائديه تحسدون على المرستان"

ابتسـ ألم ـامة · 07-03-2005, 10:33 PM

[glint]هـــلا وغـــلا
أختي أميرة الهكرز[/glint]

يعطيك العافية

وتعاون رائع من الأخ الـ()ـرستان

ومتابعة أروع لكل ما يطرح

فله الشكر

دمت بخير

كلمــات مــن ذهــب
أجمع سمان الهرج خوف من التقصير ؛؛؛؛ وليا جيت بشرح له كلامي تهازلته
يجي منه لي هيبة .. معزة .. حيا .. تقدير ؛؛؛؛ أقابله عندي علم ... وأروح ماقلته

@ اللهم عظم حب القرآن في قلوبنا، وقلوب أبنائنا
واجعلنا ممن تعلم القرآن وعلمه@

الـ()ـرستان · 10-03-2005, 02:16 PM

اميرة الهكر

اولا نحن اسرة واحده في منتديات الرائدية وهدفنا الاساسي من الجميع هو طرح كل ماهو مفيد للجميع ولله الحمد الرائدية تذخر باعضاءها المتميزون في جميع المجالات

وبالنسبه للمواقع للاسف ماعندي مواقع تشرح ثغرات للسيرفرات فالسيرفرات دراسة وعلم ماهي شرح حتى الي يشرح استغلال ثغره راح تكون قديمه وعلى العموم ملك البحث google ما راح يقصر

مواضيع بالعربي :-
http://www.google.com/search?hl=ar&q...7%D8%AA%22&lr=
مواضيع اجنبيه:-
http://www.google.com/search?hl=ar&q=%22IIS+bug%22&lr=

وهناك الف طريقه للبحث لكن هذه واحده من الف وان شاء الله مزيد من التميز

الفتاك

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
الكنافه الكذابه ..من مطبخ"اميرة الكون"..	اميرة الكون..	أطباق بأيدي الرائديات	16	03-06-2010 02:55 PM
جديد"" انشودة """ الامـــوج الازرق "" بصوت المنشد فارس النشمي	سـَمآ ♪	منتدى الصوتيات والمرئيات الإسلامية	27	29-04-2010 06:33 PM
"""" فريق برازيل الخفجي يحقق بطولتين في يوم واحد """"	مجنون التايب	منتدى الوسط الرياضي بالخفجي	12	24-06-2008 12:01 AM
كلنا "الجرة المشقوقة "	الديرة	:: المنتدى العام ::	12	22-01-2007 12:04 AM
..""..""...""" أيــالا يتهــــم فالنسيــــــا بخداعـــــه "..""."...""	دخــــٌيل	:: الأخبار الرياضية والمواضيع المنقولة::	5	13-08-2006 03:18 AM