Hacking Minions

Web Hacking

هجمة command injection وتنفيذ أوامر النظام على السيرفر

سنتحدث في هذا الموضوع عن هجمة command injection وأسباب حدوثها وطرق استكشافها والخطر منها. ثغرة command injection هي ثغرة تمكّن الهاكر من تنفيذ أوامر النظام الذي يعمل به السيرفر المستضيف للصفحة، ومن خلال هذه الهجمة نستطيع إحداث الكثير من التغييرات، كما نستطيع استعراض الملفات والتجوّل بينها.. وغيرها من الاستغلالات التي ستتضح خلال الشرح. أسباب حدوث …

هجمة command injection وتنفيذ أوامر النظام على السيرفر قراءة المزيد »

شرح وتنفيذ هجمة LFI (Local File Inclusion)

ثغرة Local File Inclusion(LFI) هي ثغرة تتيح قراءة وتصفح وتشغيل الملفات الموجودة في السيرفر بدون طلب أي صلاحيات، وذلك بمجرد كتابة أوامر بسيطة جداً جداً. أولاً، ما هو معنى “include” ؟ عندما تريد أن تستدعي ملف في php أو JSP, فأنت تقوم بعملية “include” أو تضمين للملف. إذاً “Local File Inclusion” تعني عرض الملفات المتاحة …

شرح وتنفيذ هجمة LFI (Local File Inclusion) قراءة المزيد »

شرح وتنفيذ هجمة RFI(Remote File Inclusion)

اليوم سنشرح هجمة RFI(Remote File Inclusion) والتي تعد النوع الثاني من هجمات الـFile inclusion، وكما وضحنا في شرح هجمة LFI طريقة عمل ومسببات هذه الثغرة، نبدأ الآن شرح هجمة الـRFI . ما الفرق بين الثغرتين؟ الفرق بين الهجمتين واضح بمجرد فهم الإسم، فـLFI تعني Local File Inclusion بمعنى أنها محلية وينفذ فيها كل شي عن …

شرح وتنفيذ هجمة RFI(Remote File Inclusion) قراءة المزيد »

Exploitation using BeEF-xss(2/2) | مثال عملي باستخدام أداة بييف

موضوع اليوم سوف يكون عن سيناريو XSS عبر أداة BeEF. هذه الأداة اختصار لـ”BrowserExploitation Framework” وهي تخص ثغرات المتصفح بشكل عام. الأداة تقوم بإنشاء ملف “Hook” يحتوي على كود JavaScript خبيث والغرض منه التحكم بمتصفح الضحية, والأداة تقوم بتشغيل سيرفر Apache حيث يوضع هذا الملف. إذا سوف نقوم بوضع هذا الملف بداخل موقع مصاب بثغرة …

Exploitation using BeEF-xss(2/2) | مثال عملي باستخدام أداة بييف قراءة المزيد »

مقدمة في Cross Site Scripting | (1/2) XSS

موضوع اليوم سوف يكون الجزء الأول من شرحنا لثغرة “Cross Site Scripting” أو “XSS” كإختصار. الـXSS هو نوع من الهجمات على تطبيقات الويب أو المواقع الالكترونية بمسمى آخر. ببساطة, الهجمة تكون عبر عملية حقن أكواد JavaScript خبيثة بموقع موثوق لكن يوجد به ثغرة, والثغرات عديدة وتكون في الأماكن في المواقع التي تستقبل مدخلات (input) من …

مقدمة في Cross Site Scripting | (1/2) XSS قراءة المزيد »

ثغرة Unrestricted File Upload واستغلالها

في هذا الموضوع سنشرح ثغرة file upload، والتي تسمح لنا برفع أي نوع من الملفات التي نرغب برفعها على السيرفر المستهدف، وهذه الهجمة هي من الهجمات التي تستهدف السيرفر و مستخدمي الموقع وتختلف أسباب كل عملية حسب رغبة الهاكر. – ماهي ثغرة File Upload؟ ذه الثغرة خطيرة جداً لأنها تتيح لنا أن نرفع ملف أياً …

ثغرة Unrestricted File Upload واستغلالها قراءة المزيد »