شرح رفع شل علي سكربت مركز التحميل كليجا عن طريق الاضافات

السلام عليكم

ازاي الحال؟

في ناس سألتني عن ازاي نرفع شل داخل سكربت كليجا المعروف لرفع الملفات

النهاردة ان شاء الله هنعرف ازاي نرفع شل من لوحة تحكم سكربت كليجا عن طريق الاضافات

في طرق تانية كتيرة وبأفكار مختلفة هشرحها برضو للناس علي المدونة ان شاء الله

اول حاجة نيجي لتوضيح بعض الاساسيات

ويب شل "web shell" ؟

هو برنامج خبيث يتم استخدامه من المهاجم (الهاكر) بقصد الحصول علي اتصال مستمر علي تطبيق ويب مخترق, الويب شل نفسه لا يمكنه الهجوم او استغلال ثغرة من علي بعد لذلك فهو الخطوه الثانية دائما للهاكر

الوظائف الشائعة للويب شل هي تنفيذ اوامر , سرد قواعد البيانات, تنفيذ اكواد لـ اللغة المبرمج بها الويب شل, ادارة الملفات والمجلدات وله استخدامات اخري كثيرة

في اغلب الحالات يكون الويب شل مبرمج بلغة php لانها اللغة الاكثر استخداما في تطبيقات الويب ولكن يمكن برمجته ايضا بلغات اخري مثل python او perl وغيرهم

ويب سيرفر "web server" ؟

هو نظام حاسوب يعالج الطلبات من خلال http البروتوكول الاساسي لتوزيع المعلومات علي شبكة الانترنت, الوظيفة الاساسية للويب سيرفر هي تخزين, معالجة, وتوصيل صفحات الويب الي العملاء

هو خادم, جهاز كمبيوتر بيتم تثبيت عليه نظام تشغيل لينكس او ويندوز بيكون متصل بالانترنت بشكل مستمر, امكانيات الهاردوير عالية جدا ومخصصة للعمل كـ سيرفر

سكربت "script" ؟

في لغات البرمجة, السكربت هو برنامج او سلسلة تعليمات مُفسرة او يتم حملها من برنامج اخر بدلا من معالج الحاسوب كـ برنامج مترجم

بعض اللغات صممت خصيصا كلغات برمجة script language والاكثر انتشارا مثل perl, javascript, php, python وغيرهم

وهناك انواع من لغات البرمجة مثلا لغات php, perl, python هي لغات يتم معالجتها من خلال الويب سيرفر للعمل علي مواقع الويب وهي ما تسمي بلغات من جانب السيرفر server side language

ولغات مثل javascript يتم معالجتها من خلال متصفح الويب وهي ما تسمي بـلغات من جانب العميل client side language

هاتكس "htaccess" ؟

هو ملف التكوين للويب سيرفر التي تعمل علي الاباتشي ويب سيرفر, عندما يُوضع هذا الملف في المسار الصحيح لتشغيل الاباتشي ويب سيرفر عليه

يمكن استخدام هذه الملفات في حجات كتيرة او كـ بديل للاباتشي ويب سيرفر في تفعيل/تعطيل الوظائف الاضافية او المميزات التي يعرضها الاباتشي ويب سيرفر

هذه التسهيلات تشمل وظائف التوجيه الاساسية, علي سبيل المثال في حالة حدوث خطأ ان ملف غير موجود, او لوظائف متقدمة مثل حماية كلمة السر للمحتوي او منع الآخرين من سرقة صورك والتي تسمي بـ (image hotlink protection)

كليجا "Kleeja"؟

هو نظام إدارة محتوي CMS, سكربت مركز تحميل محترف متعدد اللغات وله مميزات كثيرة جدا مثل انه سهل الاستخدام ومتعدد المظاهر والاضافات والحماية ومميزات اخري كثيرة, في الاغلب استخدامه كـ مركز تحميل/رفع ملفات

دلوقتي نرجع لشرحنا يا رجالة بعد ما عرفنا الاساسيات اللي لازم نبقي عارفنها

بعد ما حملت السكربت عندي علي السيرفر المحلي وفحصت ملفاته ومجلداته وحاولت اشوف طرق ازاي نرفع شل من لوحة التحكم

لقيت ان الملفات بتترفع في مجلد uploads اللي ضمن مجلدات السكربت

لقيت فيه كمان ملف htaccess وده محتواه

# Htaccess for Protection# Kleeja 2007 - 2010# $Id: .htaccess 1557 2010-08-08 10:09:50Z saanina $
<Files ~ "^.*\.(php|php*|cgi|pl|phtml|shtml|sql|asp|aspx)">    Order allow,deny    Deny from all</Files>
#Disable PHP engine in this folder<IfModule mod_php4.c>php_flag engine off</IfModule>
#Disable PHP engine in this folder<IfModule mod_php5.c>php_flag engine off</IfModule>
#Don't handle those types in this folderRemoveType .php .php* .phtml .pl .cgi .asp .aspx .sql
#404 error should show something usefull#todo/ images->image info, another show our info pageErrorDocument 404 ../images/not_exists.jpg

من الاخر اي ملف تنفيذي مش هيشتغل مهما حاولت .. يعني تقريباً مانع كل الملفات التنفيذية كلها ههه :)

احنا قولنا اننا هنبتدي بطريقة سهلة وبتتخطي المشاكل دي كلها بكل بساطة

كل اللي علينا اننا هنجيب اي plugin وندمج فيها كود php يخلينا نرفع ملف php web shell بتاعنا وبدون اي مشاكل

طيب الفكرة يا جماعة ببساطة اننا عشان ننفذها لازم ملف htaccess ده ميكونش موجود صح كده ؟

بالتالي اللي هنعمله اننا هندمج الدالة دي مثلا

unlink("file_name");

الدالة دي في لغة php وظيفتها هي حذف اي ملف يتم تحديده من خلالها

يعني الفكرة اننا هنمسح ملف htaccess وبعدها هندمج في plugin تانية كود file uploader عشان نرفع من خلاله php web shell بتاعنا بكل سهولة

دي فكرة من الافكار يا جماعة ولسه في افكار تانية اكتر واسهل حتي من اننا ندمج في plugins

بس فكر فيها انت وحاول توصلها :)

طيب نيجي للشرح التطبيقي علي اليوتيوب

لتحميل الاضافات علي الرابط التالي
https://up.top4top.net/downloadf-6987t0kv1-rar.html
اي استفسار او مشكلة بخصوص الشرح احنا موجودين

موفقين ~

الصياد /.