شرح explaination تخطي bypass حماية security مراكز centers الرفع uploader قائمة الامتدادات السوداء او الممنوعة extension blacklisting عن طريق via اضافة add امتداد extension جديد new
السلام عليكم
ازاى الحال يا رجالة
النهاردة هنبتدي مع اول درس من سلسلة دروس تخطي حمايات مراكز الرفع ان شاء الله
طبعا طرق او حمايات مراكز الرفع ليها اكتر من طريقة والحمد لله لكل حماية اكتر من طريقة للتخطي برضو ههه
انا هحاول اطبق على كل الطرق ان شاء الله لو قدرت طبعا
هنتكلم النهاردة عن اول طريقة وهي حماية extension blacklisting الي هي قائمة الامتدادات السوداء (الممنوعة)
الحماية دي ممكن نعملها باكتر من طريقة بس انا هتكلم على بعض الدوال الى بنستخدمها فى الحماية دي زي مثلا
in_array(), array_search(), array_values(), etc...
وظيفة الدوال دي هي البحث عن قيم بنحددها داخلها للبحث عنها اذا كانت موجودة او لا ... بالتالي اذا كان القيمة موجودة ممكن نحذفها او نحط رسالة معينة
زي مثلا يعني انا هحط امثلة علي الدوال دي عشان تبقي واضحه للجميع
مثال علي الدالة in_array
<?php
$x = array(".php", ".pl", ".py", ".cgi");
if (!in_array($x)) {
echo "Valid extension";
} else {
echo "Invalid Extension";
}
نفس الكلام علي الدالة array_search او الدالة array_values تقدر تبحث عنهم او تقرأ عنهم في موقع php.net
الطرق بتختلف طبعا في كتابة الكود او الشرط اللي انت عاوز تحققه
تمام لحد كده يا رجالة وفيه طرق كتير ة لتخطي هذه الحماية هحاول اشرحها ان شاء الله
ازاي بيتم التلاعب في الامتدادات ده بيتم من خلال اي اضافة (Add-on) او اداة بتسمح لنا التعديل علي الطلبات requests المرسلة للسيرفر وفي منهم كتير جدا زي مثلا
اضافات tamper data, live http headers, modify headers وغيرهم
اداوات زي burp suit, fiddler, zap proxy وغيرهم
نبتدي باول طريقة في تخطي هذه الحماية وهي من خلال التلاعب في الامتدادات للملف اللي بنحاول نرفعه وهو (uploader) بسيط عشان اقدر ارفع منه php shell بعد كده
يعني انا هفضل اخمن عليه امتدادات تنفيذية تانية للغة php ودي كتيرة وبتشتغل زي مثلا
.php, .php1, .php2, .php3, .php4, .php5, .php7, .phps, .phtml
ممكن رقم 1 ورقم 2 ميشتغلوش معاك بس الباقي اكيد هيشتغل لان دي الامتدادات التنفيذية المتاحة للغة php
حلو اوي لحد كده نشوف بقي الفديو التوضيحي للعملية دي وازاي نتلاعب في الامتدادات
التحميل علي الرابط التالي
اي استفسار او اضافة علي الدرس اهلا بيها
موفقين ~
الصياد /.
اخى الكريم , قبل اضافة التعليق تذكر قول الله تعالى "ما يلفظ من قول الا لديه رقيب عتيد"