بعطيكم طريقتين اعرفها لثغره
#information_disclosureuser admin & passwd
الفكره من الثغرة تلاقي معلومات حساسه مثل يوزر وباسورد ولا أي هبد يأثر ويعطيك صلاحيات بالموقع
على العموم نبدا بسم الله
ناخذ الهدف وعلى طول نفتح أداءة #ffuf او #dirsearch أختار الي تبي ونفحص عن المسارات
#information_disclosureuser admin & passwd
الفكره من الثغرة تلاقي معلومات حساسه مثل يوزر وباسورد ولا أي هبد يأثر ويعطيك صلاحيات بالموقع
على العموم نبدا بسم الله
ناخذ الهدف وعلى طول نفتح أداءة #ffuf او #dirsearch أختار الي تبي ونفحص عن المسارات
طبعا انا أستخدمت #ffuf وفحصته نشوف مجلد أسمه demo شدني هذا المجلد وبشوف أفتحه من المتصفح عادي ..
ونشوف سكربت تجريبي منتهيه صلاحيته وتقدر تجدد بعد 14 يوم الواضح ناسين السكربت وأنتهت الفتره التجريبية المهم نكمل ..
ونشوف سكربت تجريبي منتهيه صلاحيته وتقدر تجدد بعد 14 يوم الواضح ناسين السكربت وأنتهت الفتره التجريبية المهم نكمل ..
اخذت أسم السكربت وبحثت عنه ب github ولقيته موجود حلوووووين كذا اللحين نقدر نقرا السورس كود كامل مع شاهي وانت مروق
جرب أبحث عن مثلا user - passwd - demo
عني انا مركز على معلومات تسجيل الدخول يمكن ينساها المبرمج بالكومنت او ملفات الجافا سكربت والتامبلت
أنا لقيت الى ابحث عنه بهالكلمتين usr - pwd
وطلعت لنا مثل الصور بمسار
templates/pages/demo.html
عني انا مركز على معلومات تسجيل الدخول يمكن ينساها المبرمج بالكومنت او ملفات الجافا سكربت والتامبلت
أنا لقيت الى ابحث عنه بهالكلمتين usr - pwd
وطلعت لنا مثل الصور بمسار
templates/pages/demo.html
طيب هذا سيناريو مو دايم يضبط معك احيانا ماتلاقي شي بال github السكربت يكون برايفت مثلا
تجرب تخمن على اللوحة بيوزر وباسورد افتراضيه المعروفه دامه سكربت تجريبي يمكن تمشي معك
تجرب تخمن على اللوحة بيوزر وباسورد افتراضيه المعروفه دامه سكربت تجريبي يمكن تمشي معك
وفيه طريقه ثانية ودايماً اعتمد عليها وأول شئ أبدا فيه قبل github نفسه
اقراء السورس كود حق الصفحة نفسها وملفات javascript الى تطلع قدامك ضروري ضروري
بس دام عارفين اسماء المتغيرات من github نجرب نبحث عن pwd usr ولقيناه بصفحة مثل مانشوف الصورة
اقراء السورس كود حق الصفحة نفسها وملفات javascript الى تطلع قدامك ضروري ضروري
بس دام عارفين اسماء المتغيرات من github نجرب نبحث عن pwd usr ولقيناه بصفحة مثل مانشوف الصورة
الخلاصة انا متعمد أشرح فقرة الgithub عشان تشغل مخك وتعتمد تتعمق بالبحث، تقدر تحمل السكربت بجهازك وتفحصه على كيف كيفك مو شرط تدور معلومات حساسه عاد هالنقطة تعتمد عليك.
وبالاخير إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان والعذر على الاطالة
وبالاخير إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان والعذر على الاطالة
رتب @rattibha
Loading suggestions...