Siteye nasil shell atilir?

Tarihe göre sırala Oylara göre sırala
Crackmeci

Crackmeci

Katılımcı Üye
28 Haz 2020
314
172
Web
Jonio' Alıntı:
Selamlar, sql injectable siteye nasil shell ata bilirim?
Genişletmek için tıkla ...
Eğer bir sitede sql injection açığı bulduysanız öncelikle users v.b. bir tablodan kullanıcı adı ve şifreyi bulmanız gerekiyor şifre genelde md5 veya başka bir yöntemle şifrelenmiş halde bulunuyor onu da kırdıktan sonra artık admin paneli aramaya başlayabilirsiniz. Admin paneli bulduktan sonra da orada dosya yüklemeye yarayan bir sayfadan burp suite yardımı ile shell atmaya çalışabilirsiniz.
 
Oyla 0 Downvote
Jonio

Jonio

Yeni üye
24 Eki 2023
9
2
Crackmeci' Alıntı:
Eğer bir sitede sql injection açığı bulduysanız öncelikle users v.b. bir tablodan kullanıcı adı ve şifreyi bulmanız gerekiyor şifre genelde md5 veya başka bir yöntemle şifrelenmiş halde bulunuyor onu da kırdıktan sonra artık admin paneli aramaya başlayabilirsiniz. Admin paneli bulduktan sonra da orada dosya yüklemeye yarayan bir sayfadan burp suite yardımı ile shell atmaya çalışabilirsiniz.
Genişletmek için tıkla ...
anladim hocam, ellerinize sagilik
 
Oyla 0 Downvote
T

tamam ağa

Uzman üye
7 Haz 2023
1,533
876
Crackmeci' Alıntı:
Eğer bir sitede sql injection açığı bulduysanız öncelikle users v.b. bir tablodan kullanıcı adı ve şifreyi bulmanız gerekiyor şifre genelde md5 veya başka bir yöntemle şifrelenmiş halde bulunuyor onu da kırdıktan sonra artık admin paneli aramaya başlayabilirsiniz. Admin paneli bulduktan sonra da orada dosya yüklemeye yarayan bir sayfadan burp suite yardımı ile shell atmaya çalışabilirsiniz.
Genişletmek için tıkla ...
tek yol o değil bazı sayfalar içerikleri SQL sunucusunda bulundurmuyor mu? evet o halde neden panel arayalım ki beirli bir sayfanın içeriğine shell kodu ekleriz ama bunu yaparken sayfa bütünlüğünü korumak lazım misal zor tespit edilmesi amacıyla getleri yakalayıp çalışabiliriz.
 
Oyla 0 Downvote
Crackmeci

Crackmeci

Katılımcı Üye
28 Haz 2020
314
172
Web
tamam ağa' Alıntı:
tek yol o değil bazı sayfalar içerikleri SQL sunucusunda bulundurmuyor mu? evet o halde neden panel arayalım ki beirli bir sayfanın içeriğine shell kodu ekleriz ama bunu yaparken sayfa bütünlüğünü korumak lazım misal zor tespit edilmesi amacıyla getleri yakalayıp çalışabiliriz.
Genişletmek için tıkla ...
Evet ancak sqlmap v.b. bir sql aracıyla denediğinizde mysql komutlarini çalıştırmak icin --sql-shell parametresini kullanmanız gerekiyor oraya girdikten sonra select * v.b. komutları çalıştırabiliyorsunuz ancak insert, update gibi komutları çalıştırmıyor hata veriyor. Eğer sizin dediginiz tarzda bir şey mümkün olsaydı kimse admin paneldeki kullanıcıları çekip md5 leri kırmaya çalışmazdı yeni bir kullanıcı oluşturup istediği şifreyi koyardı bu sebeple dediginiz şeyin çoğu sitede mümkün olduğunu zannetmiyorum.
 
Oyla 0 Downvote
T

tamam ağa

Uzman üye
7 Haz 2023
1,533
876
Crackmeci' Alıntı:
Evet ancak sqlmap v.b. bir sql aracıyla denediğinizde mysql komutlarini çalıştırmak icin --sql-shell parametresini kullanmanız gerekiyor oraya girdikten sonra select * v.b. komutları çalıştırabiliyorsunuz ancak insert, update gibi komutları çalıştırmıyor hata veriyor. Eğer sizin dediginiz tarzda bir şey mümkün olsaydı kimse admin paneldeki kullanıcıları çekip md5 leri kırmaya çalışmazdı yeni bir kullanıcı oluşturup istediği şifreyi koyardı bu sebeple dediginiz şeyin çoğu sitede mümkün olduğunu zannetmiyorum.
Genişletmek için tıkla ...
Programa ihtiyaç yok eğer sql komutları sitede çalışıyorsa istediğin gibi update,delete yapabilirsin.
owasp.org

SQL Injection | OWASP Foundation

SQL Injection on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
owasp.org owasp.org

ayrıca herkesin admin panel araması ezberci olmalarından kaynaklı kafasını çalıştıran daha kısa çözümler bulur uygular :)
 
Oyla 0 Downvote
Crackmeci

Crackmeci

Katılımcı Üye
28 Haz 2020
314
172
Web
tamam ağa' Alıntı:
Programa ihtiyaç yok eğer sql komutları sitede çalışıyorsa istediğin gibi update,delete yapabilirsin.
owasp.org

SQL Injection | OWASP Foundation

SQL Injection on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
owasp.org owasp.org

ayrıca herkesin admin panel araması ezberci olmalarından kaynaklı kafasını çalıştıran daha kısa çözümler bulur uygular :)
Genişletmek için tıkla ...
Anladım hocam haklı olabilirsiniz bilgilendirme için teşekkürler. Ben bir sitede manüel sql injection yapmayı denemiştim hatta üyeleri silip yeni üye ekleyecektim başarılı olamamıştım o sebeple kafamda bir önyargı vardı.
 
Oyla 0 Downvote
'Ra

'Ra

Ticaret Kategori Sorumlu Yardımcısı
21 Kas 2015
2,432
981
Merhabalar

SQL Açıklı Siteye Shell Atma

Hepinize selamlar arkadaşlar bu konumuzda SQL açığı bulunan hedef siteye nasıl shell atabiliriz bunu göstereceğim. Öncelikle shell atmanın birkaç yöntemi var. Siz istediğiniz yöntemi kullanabilirsiniz. Yada olmadıysa diğer yöntemi kullanarak da shell atabilirsiniz. Ancak shell atabilmek için...
www.turkhackteam.org www.turkhackteam.org

burada ki konuya bakabilirsiniz bu konu size yardımcı olacaktır.

İyi Forumlar
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.