close
تبلیغات در اینترنت
آموزش هک وردپرس با استفاده از باگ sql
سه شنبه 21 آذر 1396
هدف اصلی این آموزش اینه که به مدیران و طراحان وب سایت هایی که از سیستم مدیریت محتوای وردپرس استفاده میکن نشون داده بشه که شوخی گرفتن بحث امنیت، آپدیت نکردن منظم هسته وردپرس و افزونه های مورد استفاده و استفاده از افزونه های غیر معتبر چه عواقبی برای اونها داره و چقدر راحت وب سایتشون…
جاي تبليغات شما
جاي تبليغات شما
پنل کاربري
آمار سايت
  • آمار بازديد
  • بازديد امروز : 2,027
  • بازديد ديروز : 3,273
  • بازديد کل : 5,629,962
منو اصلی

دانلود آخرین نسخه بازی

تبلیغات
رزرو هتل مشهد

تبلیغات
مدل لباس مجلسی
پلاستوفوم
مدل لباس مجلسی
باربيكيو ردیاب خودرو خرید اینترنتی کتاب
ثبت آژانس مسافرتی
آموزش هک وردپرس با استفاده از باگ sql
  • تعداد بازديد : 311
  • آموزش هک وردپرس با استفاده از باگ sql

    هدف اصلی این آموزش اینه که به مدیران و طراحان وب سایت هایی که از سیستم مدیریت محتوای وردپرس استفاده میکن نشون داده بشه که شوخی گرفتن بحث امنیت، آپدیت نکردن منظم هسته وردپرس و افزونه های مورد استفاده و استفاده از افزونه های غیر معتبر چه عواقبی برای اونها داره و چقدر راحت وب سایتشون هک میشه و اطلاعاتشون به سرقت میره.

     

    کار هک رو با یک مثال پیش میبریم.

    به عنوان مثال افزونه formcraft یک مشکل امنیتی داره و در صورت استفاده در وب سایت، آدرس های به شکل زیر، باگ sql خواهند داشت.

    http://www.domain.com/wp-content/plugins/formcraft/form.php?id=1

    خوب یک وب سایت که از این افزونه استفاده میکنه رو پیدا میکنیم. برای این کار آدرس زیر رو در گوگل سرچ کنید.

    inurl:wp-content/plugins/formcraft

    خیلی ساده لیستی از وب سایت هایی که مشکل امنیتی مورد نظر ما رو دارن پیدا کردیم. یکی از این وب سایت ها که از وردپرس ورژن قبل از ۳.۷ استفاده میکنه رو انتخاب میکنیم. برای دیدن ورژن وردپرس هر سایت میتونید از آدرس http://www.domain.com/readme.html استفاده کنید. البته ممکنه وب مستر، فایل readme.html رو پاک کرده باشه. در این صورت به یکی از صفحه های وب سایت مورد نظر برید و کلید ترکیبی CTRL+U رو بزنید و به دنبال کلمه WordPress بگردید. به عنوان مثال ورژن وردپرس مورد استفاده به این صورت به شما نشون داده میشه:

    <meta name=”generator” content=”WordPress 3.5.2” />

    فرض میکنیم وب سایت domain.com شرایط مورد نظر ما رو داره و آدرس http://www.domain.com/wp-content/plugins/formcraft/form.php?id=1 در اون موجوده. حالا کافیه آدرس دارای باگ sql رو در نرم افزار هویج وارد کنید. نسخه پرتابل (ورژن ۱.۱۶) نرم افزار هویج رو میتونید از اینجا دانلود کنید.

    حال مراحل زیر را گام به گام طی کنید:

    ۱- وارد کرد آدرس حاوی باگ sql در قسمت Target و سپس فشردن دکمه Analyse

    ۲- پس از پیدا کردن نام دیتابیس توسط نرم افزار هویج به بخش tables رفته، دیتابیس یافته شده را انتخاب میکنیم و دکمه Get Tables را میزنیم.

    ۳- پس از یافتن نام جداول، جدول با نام wp_users و یا نامی شبیه به آن را انتخاب کرده و دکمه Get Columns را میزنیم.

    ۴- ستون های با نام شبیه user_login، ID و user_activation را انتخاب کرده و دکمه Get Data را میزنیم.

    ۵- نام کاربری مدیر سایت را از میان نام های کاربری موجود انتخاب میکنیم (معمولا کاربر با ID کوچکتر)

    ۶- درخواست فراموشی رمز عبور از صفحه ورود (http://www.domain.com/wp-admin) با استفاده از نام کاربری مدیر

    ۷- به دست آوردن Activation Key جهت بازسازی رمز عبور با استفاده از نرم افزار هویج (مرحله چهارم را یکبار دیگر تکرار میکنیم)

    ۸- تولید آدرس زیر با استفاده از نام کاربری مدیر و Activation Key (به جای موارد قرمز شده در لینک زیر باید نام کاربری مدیر و Activation Key رو وارد کنید)

    http://www.domain.com/wp-login.php?action=rp&key=ActivationKey&login=AdminUser

    ۹- وارد کردن آدرس بالا در مرورگر و تغییر پسورد مدیر

    ۱۰- وارد شدن به پنل مدیریت با استفاده از آدرس http://www.domain.com/wp-admin (نام کاربری مدیر و پسورد جدید رو وارد کنید)

    ۱۱- آپلود کردن شل (shell) و دیفیس سایت مورد نظر (این قسمت به علت بد آموزی !!! توضیح داده نمیشه فقط همین قدر بدونید که وب سایت مورد نظر کارش تمومه)

    نويسنده : محمد تاريخ : سه شنبه 08 ارديبهشت 1394 امتياز :
    مدل لباس
    محل تبلیغات شما
    نظرات
  • در قمست نظرات مشکلات و پيشنهادات و انتقادات خود را با ما در جريان بگزاريد.

  • نام
    ایمیل (منتشر نمی‌شود) (لازم)
    وبسایت
    :) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
    نظر خصوصی
    مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
    کد امنیتی