Turkhackteam.net/org - Turkish Hacking & Security Platform...  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform... >
Turkhackteam Under Ground
> Exploitler > Bug Researchers

Bug Researchers Yeni bulunan açıklar.


Webboard CMS SQL İnjection | Bug Researchers Kulüp

Bug Researchers

Yeni Konu aç Cevapla
 
Seçenekler
Alt 30-12-2016   #1
  • Offline
  • Teğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Nereden
İstanbul
Mesajlar
Konular


  
Webboard CMS SQL İnjection | Bug Researchers Kulüp


Zafiyet, “webboard” dizini altında ki, “webboard_detail.php” dosyasının, “id” değişkeni üzerinde tespit edilmiştir. “id” değişkeninin GET methodu ile alınması ve herhangi bir filtreleme yapılmaması sonucunda istemci tarafında sql komutlarının çalışması sonucunda “SQL İnjection” açığı sömürülüyor.

Kod:
<------------------ header data start ------------------- >
#############################################################
# Application Name : Webboard CMS SQL İnjection
# Vulnerable Type : SQL İnjection
# Author: Turkhackteam | Pentester | Bug Researchers
# Date: 26.09.2016
#Tested on: Windows 10 / Google Chrome 
#Linux / sqlmap 1.0.6.28#dev
# Google Dork: inurl:”webboard/webboard_detail.php?id=”
# Tested On Demo Sites:
http://www.pakordum.go.th/webboard/webboard_detail.php?id=2
http://www.theallbug.com/webboard/webboard_detail.php?id=WEB-201104-000008 
< ------------------- header data end of ------------------- >
    


__________________

-Pentester Academy Youtube & Siber Güvenlik Eğitim Platformu-

-Web Uygulama Bug Araştırmacısı-
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #2
  • Offline
  • Asteğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Mesajlar
Konular
1


  

Nasıl bir siber güvenlik uzmanı ve pentester veya hacker ne dersen artık tayland sitelerinde sqli açıgı bulup tht'de paylaşırki
    
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #3
  • Offline
  • Teğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Nereden
İstanbul
Mesajlar
Konular


  

Alıntı:
TnLamaz´isimli üyeden Alıntı Mesajı göster
Nasıl bir siber güvenlik uzmanı ve pentester veya hacker ne dersen artık tayland sitelerinde sqli açıgı bulup tht'de paylaşırki
Tnlamaz kardeşim, Tayland' da bir açık yok burada. Web uygulamalarinda bulunan, "webboard" sayfasında kaynakli SQL injection açığı. O siteler ise açığa örnek olan siteler. Bir bug researcher olarak görevim bu..
    


__________________

-Pentester Academy Youtube & Siber Güvenlik Eğitim Platformu-

-Web Uygulama Bug Araştırmacısı-
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #4
  • Offline
  • Asteğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Mesajlar
Konular
1


  

Alıntı:
Pentester´isimli üyeden Alıntı Mesajı göster
Tnlamaz kardeşim, Tayland' da bir açık yok burada. Web uygulamalarinda bulunan, "webboard" sayfasında kaynakli SQL injection açığı. O siteler ise açığa örnek olan siteler. Bir bug researcher olarak görevim bu..
Kardeşim o scriptin cms oldugundan bile şüpheliyim ve onu ancak tayland sitelerinde bulursun zamanında az hacklemedik onları
Ve bence bunu yapmak için pentester vs. olmaya gerek yok googlede 2-3 dork arattınızmı bulursunuz zaten
    
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #5
  • Offline
  • Teğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Nereden
İstanbul
Mesajlar
Konular


  

Alıntı:
TnLamaz´isimli üyeden Alıntı Mesajı göster
Kardeşim o scriptin cms oldugundan bile şüpheliyim ve onu ancak tayland sitelerinde bulursun zamanında az hacklemedik onları
Ve bence bunu yapmak için pentester vs. olmaya gerek yok googlede 2-3 dork arattınızmı bulursunuz zaten
Olay nerede bulduğun değil, ne bulduğundur
Pentester olmaya gerek yok zaten
    


__________________

-Pentester Academy Youtube & Siber Güvenlik Eğitim Platformu-

-Web Uygulama Bug Araştırmacısı-
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #6
  • Offline
  • Asteğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Mesajlar
Konular
1


  

Alıntı:
Pentester´isimli üyeden Alıntı Mesajı göster
Olay nerede bulduğun değil, ne bulduğundur
Pentester olmaya gerek yok zaten
Sql injection sonuçta
Bunu hergün forumda binlerce paylaşıyorlar ozaman onlarda o 2-3 site için kodlanmıs scripti süsleyüp püsleyip bug researcher'iz diye paylaşabilirler
    
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #7
  • Offline
  • Teğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Nereden
İstanbul
Mesajlar
Konular


  

Alıntı:
TnLamaz´isimli üyeden Alıntı Mesajı göster
Sql injection sonuçta
Bunu hergün forumda binlerce paylaşıyorlar ozaman onlarda o 2-3 site için kodlanmıs scripti süsleyüp püsleyip bug researcher'iz diye paylaşabilirler
Olayın mantığını kavradığin zaman ne olduğunu anlarsın
    


__________________

-Pentester Academy Youtube & Siber Güvenlik Eğitim Platformu-

-Web Uygulama Bug Araştırmacısı-
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #8
  • Offline
  • Asteğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Mesajlar
Konular
1


  

Alıntı:
Pentester´isimli üyeden Alıntı Mesajı göster
Olayın mantığını kavradığin zaman ne olduğunu anlarsın
Bu yazdığın "yazı"ya exploit diyenlerdensin sanırsam
0day açıklarını hiç yaşamamıs birisi gibisin

zaten application name'ye sql injection yazmandan belli bu işten anlamadığın.
Neyse daha fazla uzatmayacağım
    
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #9
  • Offline
  • Teğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Nereden
İstanbul
Mesajlar
Konular


  

Alıntı:
TnLamaz´isimli üyeden Alıntı Mesajı göster
Bu yazdığın "yazı"ya exploit diyenlerdensin sanırsam
0day açıklarını hiç yaşamamıs birisi gibisin

zaten application name'ye sql injection yazmandan belli bu işten anlamadığın.
Neyse daha fazla uzatmayacağım
Bu yazdigima exploit dediğimi hatırlamıyorum
Bu işten de yeteri kadar anlıyorum. Sanırsam, sen ne yaptığımı anlamadin , bu sana bir bug gibi gelmemiş olabilir, ama bu bug dışında birçok bulduğum zafiyet, "cxsecurity" üzerinde bulunuyor.
Konularımdan da bakabilirsin, diğer örneklere
    


__________________

-Pentester Academy Youtube & Siber Güvenlik Eğitim Platformu-

-Web Uygulama Bug Araştırmacısı-
Offline
 
Alıntı ile Cevapla
Alt 02-01-2017   #10
  • Offline
  • Asteğmen
  • Genel Bilgiler
Üyelik tarihi
Sep 2016
Mesajlar
Konular
1


  

Alıntı:
Pentester´isimli üyeden Alıntı Mesajı göster
Bu yazdigima exploit dediğimi hatırlamıyorum
Bu işten de yeteri kadar anlıyorum. Sanırsam, sen ne yaptığımı anlamadin , bu sana bir bug gibi gelmemiş olabilir, ama bu bug dışında birçok bulduğum zafiyet, "cxsecurity" üzerinde bulunuyor.
Konularımdan da bakabilirsin, diğer örneklere
Bence yeteri kadar değil.
Bu basit şemayı bile doğru şekilde dolduramamışsın gibi geldi bana.
Bunun bir nevi zafiyet bildirimi oldugu açık
fakat benim dediğimi de anlamamıssın konunun kalitesizliğinden bahsediyordum aslında
bunun gibi dandik scriptlerde bulunan açıkları zaten herkes googleden 2 kelime sayesinde buluyor bunun ayrı bir özelliği yok bug researcher grubu diye birşey varsada buna kesinlikle yakışmıyor / hak etmiyor

cxesecurity daha çok "lame" bir platformdur bunu fark etmedin heralde orada herkes istediğini kafasına göre paylaşabiliyor mesela anlamını bilmediği bugları admin page bypass diye paylaşabiliyor
    

Konu TnLamaz tarafından (02-01-2017 Saat 14:47 ) değiştirilmiştir..
Offline
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-KodlarıKapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından açılmaktadır.
Bu konular yönetimimiz tarafından takip edilsede gözden kaçabilen telif hakkı olan veya mahkeme kararı çıkmış konular sitemizde bulunabilir. Bu tür konuları bize turkhackteamiletisim [at] gmail.com adresine mail atarak bildirdiğiniz takdirde en kısa sürede konular hakkında gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com


Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz, bu sitelerin güvenlik açıklarını site sahibine bildirmek için çaba sarfeder.
Turkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Turkhackteam sorumlu değildir. Sitelerinize Turkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.




Powered by vBulletin® Copyright ©2000 - 2017

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı



Google Links

Referandum 2017



Search Engine Friendly URLs by vBSEO 3.6.0 ©2011, Crawlability, Inc.