آموزش حملات XFS
جمعه, ۲۵ بهمن ۱۳۹۲، ۰۹:۳۹ ق.ظ
XFS ترکیبی از حملاتی XSS و SQL injection میباشد یعنی شما میتوانید باگ SQL injection خود را به XSS تبدیل کنید برای اینکه بتوانید XFS را بشکلی کامل بیاموزید باید حتما با باگی XSS و SQL injection بلد باشید اگر با این دو با آشنایی ندارید از همین جا خواندن این آموزش را قطع کنید ....
ما در حملات XFS برای اینکه بتوانیم کد های جاوا اسکریپت خود را روی سایت تزریق کنیم از دستوری یا تابع char() استفاده میکنیم یعنی میتوانم بگویم که تمامی کارایی حملاتی XFS مربوطی تابع Char() است ...در گامی اول شما باید یک Target پیدا کنید که باگی SQL Injection را داشته باشد و بعد با استفاده از دستوراتی پایین تعدادی Column های تارگیت را پیدا میکنیم:
www.target.com/index.php?id=2+order+by+column numbers
http://www.target.com/index.php?id=2...select+columns...
بعد از اینکه تعدادی columns ها را پیدا کردیم باید columns آسیب پذیری سایت هدف را پیدا کنیم هر سایت که باگ Sql دارد یک column آسیب پذیر دارد که ما با استفاده از همون column دستوراتی خود را تزریق میکنیم من در اینجا بصورت فرضی تعدادی column های سایت هدف را 10 و column آسیب پذیر را 6 انتخاب کردم به مثال ها دقت کنید:
http://www.target.com/index.php?id=2...5,6,7,8,9,10-- Columns Numbers
http://www.target.com/index.php?id=2...r(),7,8,9,10-- char function usage
خوب تا اینجا که همش SQL injection بود حالا میرسیم به اصلی موضوع (XFS):
ما برای اینکه بتوانیم کدهای javascript خود را به سایت تزریق کنیم باید کدهای خود را به ASCII تبدیل کنیم که یک الگوریم خاص جهت Encrypt کردن است ...مثلا به این کد همتون آشناه هستید :
اگر اینو به ASCII تبدیل کنیم به این شکل میشود:
60 115 99 114 105 112 116 62 97 108 101 114 116 40 39 104 105 39 41 60 47 115 99 114 105 112 116 62
برای تبدیل کردن کدهای جاوا اسکریپت به ascii از سایت زیر استفاه کنید:
http://facegroup.nazuka.net/hex.php
به کدی ascii بالا دقت کنید میبینید که در بینی هر دو عدد یک فاصله یا Space است که باید ما این فاصله ها را به (,) تبدیل کنیم مانندی این:
60,115,99,114,105,112,116,62,97,108,101,114,116,40 ,39,104
,105,39,41,60,47,115,99,114,105,112,116,62
وبعد در بینی دستوری char() بگذاریم و در سایت به این شکل تزریق کنیم:
http://www.target.com/index.php?id=2...99,114,105,112
,116,62,97,108,101,114,116,40,39,104,105,39,41,60, 47,115,99,114,105,112,116,62),7,8,9,10--
حالا شما نتیجه کدی خود را بنگرید....توجه داشته باشید که باید فاصله های بین کد را به (,) تبدیل کنید در غیری آن کدی شما اجرا نخواهد شد در ضمن در بینی کدی جاوا اسکریپت شما هم باید هیچ فاصله نباشد!!!
شما با استفاده از XFS میتوانید کد های جهت دزدیدنی کوکی را نیز به سایت تزریق کنید و یا کدی Deface Page خود را تزریق کنید...
منبع::: مرجع دانلود برق , هک و امنیت
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.