معا سنتعلم في هذا الموضوع طريقة لاكتشاف ثغرات الفايل انكلوود بطريقة مختلفة.
هذه الطريقة تعتبر نوع من الاختراق المنظم
ذلك انك لا تبحث عشوائي،
لنفترض ان امامك موقع ما تريد اختراقه، ماذا تفعل؟
أول شئ انت تشوف السكربتات اللي المتركبة في الموقع.
مثلا Guest Book او Chat ****** الخ
يعني انت بتتصفح الموقع و تعرف ايه السكربتات اللي متركبه فيه،
طيب لو ما لقينا ثغرات نزلت من قبل لهذه السكربتات نسكت و نقول خلاص؟!!
لا طبعا تعال نعرف مع بعض ايه اللي نعمله،
طبعا العادة ان الموقع بيحط تحميل السكربت او موقع صاحب السكربت و لو مش حاطه دور انت و حمله،
و الآن لنتعلم معا اكتشاف ثغرات الفايل انكلوود،
ثغرات الفايل انكلوود تعتمد على اربع دوال و هي:
include
include_once
require
require_once
طيب ازاي تكون هذه الدوال مصيبة للسكربت بثغرة الانكلوود و ازاي نستغل الثغره؟ تعال مع بعض نشوف،
انت لقيت جوا ملف في السكربت و ليكن index.php السطر ده:
include $Red_Casper
من هنا نفهم ان Red_Casper ده متغير مصاب بالانكلوود لانه مش محدد بملف ،
و طالما عرفنا ان المتغير هو اللي بيكون بعد علامة $
يبقى الاستغلال في مثالنا بيكون بالشكل ده:
index.php?Red_Casper=L
طبعا نحط رابط الشيل بتاعنا بدل كلمة L ، و طبعا تروح تجرب في الموقع،
تقولي افرض ان السكربت كبير، هاتعب كتير جدا و انا بدقق في كل ملف و سطر
اقولك حمل البرنامج ده:
JAAScoisX-Code.exe
البرنامج ده ممتاز
انت بتديله المجلد اللي جواه السكربت مثلا في : C:\****** طبعا عن طريق browse
و هو من نفسه بيبحثلك عن الثغرات مش فايل انكلوود بس لا و كمان ثغرات اخرى،
و أخيرا بعد اذنكم ليا طلب:
لا احد يتربص لمواقع المسلمين، حرام نبقى احنا و الكفره عليهم و انا برئ من اي حد يطبق الطريقة و يوصل لثغرات في المواقع الاسلامية و العربيه غير المضره و ينفذ فيها