الي سيف الجزيرة ولكم أ يضا

السلام عليكم ورحمة اللة وبركاتة

انا أ سف يا سيف الجزيرة علي التا خير لاني من زمان ما دخلت النت

ابعطيك كل طرق اختراق المنتديات تقريبا بس لا تجرب علي هالمنتدي ززززززززززززززززززززززين

بسم الله الرحمن الرحيم

السلام عليكم

الشرح: ثغرة تصيب منتديات Web Wiz Guide

أولا إذهب إلى google

اكتب

Web Wiz forum

وانتظر لحد ماتطلع لك المواقع الي تدعم هذا المنتدى ادخل المنتدى واكتب بعد forum

admin/wwforum.mdb

حمل الملف وادخل عليه عن طريق microsoft office access

بعد ماتاخذ باسوورد المشرف العام اذهب إلى admin

سجل اسمك والباسوورد

الآن أنت في لوحة التحكم

=[userid]&bbpassword=[password hash http://www.victim.com/vb/index.php?bbuserid=

ستجد عبارة : " أهلا بعودتك يـا ( اسم الذي سرقت منه الكوكيز....) "

في هذه الحالة انت الان تستطيع التحكم بكل شي وكانك مدير المنتدى (الذي سرقت منه الكوكيز) ..

لكننا نحتاج الى كلمة المرور للدخول الى لوحة التحكم .. اذهب الى (التحكم) وقم بتعديل البريد الالكتروني الى بريدك الخاص

وثم قم بتسجيل الخروج .. ثم اذهب الى اداة Forgot Password .. وعندها تستطيع استقبال بريد يحتوي باسورد الادمن ..

اعتقد انك تعلم ما يجب ان تفعله بعد ذلك !! ادخل الى لوحة التحكم وافعل ما تشاء .. !

------------

الحل

-----------

للحماية من هذه الثغرة قم باغلاق الـ HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... )

(واي منفذ يمكن من خلاله وضع كود HTML باي صورة كانت )

كما يجب اغلا كود الـ IMG .. لانه ببساطة بامكانك استخدامه بدل كلمة <script> فاذا وضعت <img> او <Demon> او

اي كلمة اخرى فانه سيتم تنفيذ السكربت بشكل او باخر ... لذا كن حذرا واغلق هذه المنافذ .

Be Secret .. Dont' be Lamer .

تاريخ اكتشاف الثغرة : 31 - 1 - 2002

تم تجربتها على الاصدار 2.2.0 وهي تعمل بنجاح .

أرجو أن تستخدموا هذه الطريقة ضد العدو وألا تستخدموها ضد إخوانكم العرب والمسلمين

======================================

إختراق منتديات VP

======================================

اختراق المنتديات بس بمنتديات vb

. قم بالتسجيل كعضو مع مراعاة التسجيل ببريد حقيقي

2. تدخل المنتدى كعضو بأسم المستخدم وكلمة السر الخاصة بك

3. أضغط على زر ( الأعضاء ) الموجود بالأعلي أو members .

أو العنوان التفصيلي التالي :

http://url/memberlist.php

URL = العنوان المستضيف للمنتدى

مثل = - .com

4. أضغط على أي مستخدم من المستخدمين عشوائيا وستلاحظ ظهور عنوان طويل بالأعلي في مستطيل العناوين address bar .

سيظهر لك عنوان يحمل أرقاما وأحرفا عشوائية كالشكل التالي :

http://url/member.php?soitgoe68e45u...info&userid=266

هذا العنوان الطويل يعني = عرض بيانات المستخدم رقم 266

5. بكل بساطة غير الرقم من 266 الى الرقم واحد هكذا

http://url/member.php?soitgoe68e45u...etinfo&userid=1

العضو رقم واحد عادة وأفتراضيا يكون هو المدير للمنتدى administrator .

(((== ها أنت تجتاز الخطوة الأولى بنجاح وتعرف من هو المدير للموقع == ))

أحفظ أسم المدير حيث أنك ستحتاجه بالخطوة التالية

6. أكتب العنوان التالي مع تغيير المتغييرات التي ساذكرها :

=');'.$users=$DB_site->query http://url/member.php?action=login&...VALIDPASS&url=

('update+user+set+email='YOUR@EMAIL.HERE'+WHERE+username='ADMIN'').'

العنوان هذا ستقوم بتغيير الكلمات التالية

URL = كما ذكرنا سابقا الموقع المستضيف للمنتدى

VALIDUSER = أسم المستخدم الخاص بك

VALIDPASS = كلمة السر الخاصة بك

mailto:YOUR@EMAIL.HERE=البريد الذي سجلت به بالمنتدى

ADMIN = أسم مدير المنتدى ( الذي أكتفشته بالخطوة السابقة )

7. بعد أن تغيير جميع ما سبق وتتأكد منه تقوم بعمل أنعاش للمنتدى عدة مرات refresh .

8. ثم ترجع لصفحة المنتدى الرئيسية

http://url/index.php

ثم حاول الدخول بأستخدام أسم المستخدم الخاص بك وأستعمال كلمة سر خاطئة ( يجب أن تكون خاطئة ) .

بالطيع ستظهر لك الصفحة التعيسة التي تقول :

أنت قمت بكتابة كلمة سر خاطئة

you typed in the wrong password

9. بكل بساطة أضغط على

نسيت كلمة السر

forgot password

والتي ستقوم بأرسال كلمة السر الى بريدك الألكتروني

10. أفتح بريدك وستجد كلمة السر الخاصة بمدير المنتدى

======================================

إختراق منتديات xmb

======================================

تعتبر المنتديات من نوع xmb من المنتديات التي اكتيبت شهره واسعه في مجالها وحالها حال الكثير من الأنواع الأخرى من المنتديات من وجود الثغرات والأختراقات فلا يوجد شيء كامل على وجه الأرض الا الله عز وجل..

وصف للثغره::

وقد تم اكتشاف ثغره جديده في هذا النوع من المنتديات مما يمكنك ان تكون المدير على المنتدى او تكون مشرف اوي اي عضو اخر

الأصدار المصاب:::

XMB 1.6 Magic Lantern Final

الشرح والتطبيق:::

جا وقت الشغل والجد<<< سوف اقوم بتقسيم الدرس على خطوات حتى يفهم ويكون اوووضح وأسهل:

1- عليك بالذهاب الى موقع جوجل http://www.google.com

2- اكتب في منطقة البحث XMB 1.6 Magic Lantern Final

3- سوف ترى منتديات كثييييييييره اكثرها مصابه بهذه الثغره لكن رجاااء

لاتقرب المنتديات العربية وعليك بتحذيرها من الثغره الموجوده.

4- اضغط على اي منتدى وقم بكتابة الكلمة التالية بعد عنوان المنتدى

index_log.log يعني راح يكون زي كده

http://www.******.com/massegboard/index_log.log

5- راح ينزل عندك ملف والملف عباره عن ملف زي الكوكيز كبير وفيه اسماء

المستخدمين والباسورد وأشياء ثانيه ماتهمنا.

6- الأن عليك بالبحث في المنتدى عن اسم المدير وذلك بالذهاب الى المواضيع

وتشوف الأسماء والي تلقى تحت اسمه ادمن ستريتور انسخ اسمه.

7- افتح الملف الي نزلته من الموقع وسوي بحث عن اسم المدير راح يجيك زي

كده مثلا::

xmbuser=admin

واباس راح تلقاه قدامه زي كده

xmbpw=1faeb6747a31c854800ddf3c62b1717a

8- طبعا الباس في هذه الحاله مشفر وفك التشفير صعب لهذا الغرض قامت شركة

CCI بتصميم برنامج يقوم بهذا الغرض وهذه وصلت البرنامج

ftp://www.cafecounterintelligence.com/cci/chigger.exe

======================================

إختراق منتديات Web Wiz Guide

======================================

مثالhttp://host.basharnet.com/forum

بسم الله الرحمن الرحيم

السلام عليكم

الشرح: ثغرة تصيب منتديات Web Wiz Guide

أولا إذهب إلى google

اكتب

Web Wiz forum

وانتظر لحد ماتطلع لك المواقع الي تدعم هذا المنتدى ادخل المنتدى واكتب بعد forum

admin/wwforum.mdb

حمل الملف وادخل عليه عن طريق microsoft office access

بعد ماتاخذ باسوورد المشرف العام اذهب إلى admin

سجل اسمك والباسوورد

الآن أنت في لوحة التحكم

ارجو ان لا اكون قد اطلت عليكم

ولكم خالص الشكر شــــــــــــــــــــــــــــــــــــــــــــــ عطـــــــــــية ــــــــــــــــــــــــــــويش

rare_falcom@hotmail.com

ورمضان كريم

شويش عطيه مشكور على هذي الافكار بس اخوي فيه بعض الاشياء ناقلها خطئ بعض الوصل انت تلاحظ بعض الوصلات في وسطها .... نقط يعني مهب طال كل الوصله ونت تنسخ الوصله مع النقط فمايطلع شي

اذا تبيني اشررحلك اكثر او هذا الشرح يكفي ؟؟؟؟؟؟؟؟؟؟

تحياتي،،،