Değerli arkadaşlar, forumlardaki bilgilerin derlenmesi ve basite indirgenerek yazılması gerektiğine inanıyordum. Bunun için araştırdım, bu sırada kendim de geliştim. Şimdi, yeni başlayanların anlayabileceği düzeyde, geniş açıklamalı & içerikli bir döküman olması için bunu yazıyorum. Sıfırdan başlayan arkadaşlar için çok faydalı, "vasat" arkadaşların da içinde ufak detaylar bulabileceğini düşündüğüm bir döküman... Umarım faydalı olurum.
Bu anlatımlarda, pratikten ziyade teorik bilgi vermek durumundayım ama, teoriyi oldukça geniş tuttuğum için pratik yapmanız kolaylaşacak inşAllah. Bunun yanında öğrendiklerinizi misyon dahilinde faaliyete geçirmeniz için çalışmanız gerekiyor. Anlatılanları pratiğe geçirirken karşılaştığınız soruları buraya veya başlı başına açtığınız bir forum konusuna yazarsanız yardımcı oluruz... Veya MSNM gibi iletişim programlarıyla da kafanıza takılanları "usta"larımıza sorabilirsiniz.
Bu kadar nutuktan sonra, başlayalım...
Web sitelerini hacklemek için kullanılan iki yöntem vardır, domain ve host hack. Domain sitelerin adresidir, hosting ise siz sitenin adresini yazdığınızda yönlendiğiniz bilgisayardır, yani sitenin içerisindeki tüm dosyaları barındıran bilgisayarlar... Örneklendirecek olursak www.e-hack.org bir domaindir. Fakat bu sitede bulunan tüm dosyalar, bir hosting firmasının bilgisayarları içindedir. Siz adres barınıza
http://www.e-hack.org
yazdığınızda, e-hack.orgun dosyalarının bulunduğu bilgisayara yönlenirsiniz. Bir sitenin domainini hacklediğinizde, o domaini sizin "hacked by xxx" yazan sayfanıza yönlendirirsiniz ve bu şekilde siteyi hacklemiş olursunuz. Hosting hackte ise, direkt olarak sitenin içeriğini değiştirir, Admin kullanıcısının ayarları ile oynar, yönlendirme ile filân uğraşmazsınız.
Şimdi yöntemlerden bahsedeyim...
Mail-hack: Domain hack için kullanılan en önemli yöntemlerden birisi mail hacktir. Önce www.arama.com/domain.php3 gibi adresleri kullanarak hedefimizdeki siteye whois çekeriz (Whois çekeriz dedim de kafanız karışmasın; sadece verdiğim adrese gidip karşınıza çıkan kutucuğa hedefteki sitenin ismini girip ilgili düğmeye tıklamanız yeterli ) ) ve orada admin mail veya technical contact gibi kısımlarda yazan mail adresini hackleriz. Daha sonra bu whois bilgilerinde yazan domain veya host firmasına (ns1.xxx.com, ns2.xxx.com, veya register through yazan yerlerden kopya çekebilirsiniz, birazcık İngilizceyle olayı anlayabilirsiniz zaten) hacklediğimiz adresten mail atarız ve deriz ki: "şifremi unuttum, siteme giriş yapamıyorum. Yani size rahatsızlık vermek istemem ama şu şifremi, görmüş olduğunuz bu maile atar mısınız?". Eğer size direkt olarak şifreyi yollamak yerine "Dur bakalım birader... Senin adın, yaşın, şeklin şemalin, yani bize kayıt olurken kullandığın bilgilerini bir gönder bize ki, senin o sitenin sahibi olduğuna inanalım ve sana şifreyi yollayalım. Ne malum senin siteyi hacklemeyeceğin?" gibi bir cevap gelirse, whois bilgilerinin arasında bulunan admin-name, admin-city gibi bilgileri derleyin, şöyle bir kalıba oturtun ve sizden üye olurken kullandığınız bilgilerinizi isteyen şirkete yollayın... Hacklemek istediğiniz sitenin domain veya host şirketi (genelde aynı şirket olurlar) size şifreyi yollayacak... Veya hiç mail yazmakla uğraşmadan, domain şirketinin sitesine girersiniz ve orada online olarak şifrenizi yolladıkları "Şifremi Unuttum!" gibi bir link varsa orayı kullanırsınız. Onlarda size şifreyi yollar... Eğer şifre gelirse, bu şifreyi sitenin FTPsinde de deneyerek sonuca ulaşabilirsiniz (belki, çünkü kullanıcı adı da lazım FTPlerde ve bu çok değişik kelimeler olabilir, siteadi.com olmayabilir kullanıcı adları büyük ihtimalle! En iyisi manuel olarak muhtemel kullanıcı isimlerini denemek veya finger çekmek -ki uzun iştir finger çekmek, konu dağılmasın. O yüzden burada yazmıyorum nasıl yapıldığını, ilerleyen bölümlerde yeri gelince kısaca değineceğim.-...) veya domain şirketini kullanarak, domaini içinde "Hacked by xxx" yazan bir adrese yönlendirebilirsiniz...)
Tabii bu anlattıklarım için, öncelikle mail-hackten biraz anlamanız gerekiyor. O yüzden size şu anda hatırladığım birkaç mail-hack yöntemini yazayım:
1. Fake mail:
Tecrübesiz kullanıcıların maillerini almak için bire bir. Kurbana bir anonymous mail (Anonymous Mail=Belli bir mail adresinizin olması gerekmeden atabildiğiniz, kimlik bilgilerinizi taşımayan maillerdir denebilir) yollayan (aenima mail bomber gibi çoğu mail-bomber bu işi yapabiliyor) bir program veya bir fake mail/anonymous mail sitesi (mesela anonymous mail hizmeti www.anonymouse.ws adresinde var) kullanarak fake mail atabilirsiniz. Direkt olarak fake kodunu HTML şeklinde kendi elinizle yazabilirsiniz, ama "bununla uğraşamam" derseniz hazır fake kodlarını ve fake mail sitelerini kullanabilirsiniz. Tam yeri gelmişken söyleyeyim arkadaşlar, Hacking ile uğraşacaksanız en azından HTMLi bari bilin. Hazır fake kodlarını veya fake sitelerini de kullanabilirsiniz ama emin olun ki hiç bir kod sizinkinden güzel olamaz!.. Sadece Fakede değil, her konuda lâzım HTML... Bunu öğrenin en azından... Bunun yanında "yok, ben uğraşamam, işim acele" gibi şeylerle kendinizi avutmak istiyorsanız veya fake kodu yazmaya üşeniyorsanız, Sizin için yazdığım bir çok fake kodları var onları kullanabilirsiniz[mail hacking bölümünde] ...Ayrıca Fake sitelerinden bazılarını biraz aşağıda veriyorum.
Öncelikle, fake mailin mantığı nedir? Fake mailde, adama kullandığı mail account şirketinden, veya -daha kesin sonuç alabilirsiniz- adamın üye olduğu herhangi bir portaldan bir mail atıyormuş ve onun şifresine ihtiyaç duyuyormuş gibi davranıyorsunuz. Örneğin adama [email protected] adresinden mail atıyormuş gibi gösteriyorsunuz (farklı bir mailden geliyormuş izlenimi verme özelliği hemen hemen tüm fake mail sitelerinde veya anonymous mail programlarında vardır), ve onun size yolladığı şifresi sizin belirttiğiniz mail adresine geliyor, yani sizin mailinize. Meselâ siz Mynet yöneticisisiniz, "bir kullanıcı sizin siteniz hakkında bir şikayette bulundu, inceleme yapacağız" dersiniz ve "kullanıcı adı", "parola" ve bir de "sitenizin kısa tanımı" başlıklı 3 adet kutu gösterirsiniz. Formu kendi mail adresinize yönlendirirsiniz. Adam şifreyi yazıp gönder düğmesine bastığı an şifreyi siz alırsınız. Veya ne bilim, adama "üyelik aktivasyonu" başlığıyla bir mail atarsınız ve adamın üyeliğinin aktifliğinin korunabilmesi için size kullanıcı adı ve şifresini göndermesini söyleyebilirsiniz. Onun üye olduğunu bildiğiniz bir web sitesinin admini olarak ona mail atarsınız ve dersiniz ki "Sitemiz yeniden yapılanma içerisine girmiştir. Kullanılmayan hesaplar sebebiyle hem şirketimiz zor durumda kalmakta, hem de size verdiğimiz hizmetlerde aksamalar görülmektedir. Eğer sitemizi kullanmaya devam etmek istiyorsanız kullanıcı adınızı ve şifrenizi aşağıdaki kutulara girin (/aşağıdaki linkteki forma yazın)...." vs. diyebilirsiniz. Veyahutta... Önce kurbana saçma sapan birkaç adet mail atarsınız(mail-bomb yaparsınız) mesela "ERROAR 0013e5B" gibi saçma sapan bir içeriği olur. Sonra adamın mail aldığı şirketin üyelik hizmetkârı olarak bir mail atar ve dersiniz ki: "üyelik hesabınızda bir problem çıktı, üyeliğinizi yeniden yapılandırmamız için bize kullanıcı adı ve şifrenizi yollayın." Bunun gibi yalanlarla adamın şifresini istiyorsunuz ve adam sizin kendi mail adresinize veya hazırladığınız Fake scriptine yönlenmiş olan forma şifresini gönderdiği an, artık size kalan şifre ve kullanıcı adını mail sitesinin login kısmına girip maili hackledikten sonra, kullanıcı şifresi ve gizli soru gibi çeşitli bilgileri değiştirmek... Ve ardından, hiç vakit geçirmeden host veya domain şirketinden şifreyi istemek.
Bu arada atlanmaması gereken bir konu var ki, bazı siteler HTML hâlinde gönderilen mailleri biçimlendirmiyor, kodları gösteriyor (Mynet). Bunu atlatabilmek için stratejik bir site alıyorsunuz (mesela uyelikservisi.sitemynet.com gibi -mynet için inandırıcı olur bu tabii ki-) ve attığınız mailde diyorsunuz ki: "aşağıdaki linke tıklayın ve bize şu şu şu sebepten dolayı yollamanız gereken bilgilerinizi gönderin." Aşağıdaki linkin bulunduğu siteye siz fake kodunu atıyorsunuz ve sonuçta mail sizin.
Fake sonuçlarının size ulaşabilmesi için kendi fake servisinizi de kurabilirsiniz. Mesela ücretsiz asp hostu veren websamba.com gibi bir yerden site alırsınız, CWnun Programlar/illegalPort kategorisinde iP Personal Fake zipindeki default.asp, kayit.asp ve db/fakes.mdb dosyalarını upload edersiniz bu bedava ASP destekli adresinize, sonra da paketteki hazır HTML kodunu veya kendi yazdığınız kodu <form action="..." kısmındaki yeri değiştirip meselâ <form action="http://www.websamba.com/Websamba daki_Kullanici_Adiniz/kayit.asp" şeklinde ayarlarsanız, sonuç alırsınız. Veya hiç uğraşmadan da hazır fake sitelerini kullanabilirsiniz... Bir kaç tanesi:
Build a Free Website with Web Hosting | Tripod -
www.siberkorsan.net/fake/index.php
www.hademeler.netteyim.net/fakemail.htm
Build a Free Website with Web Hosting | Tripod
Build a Free Website with Web Hosting | Tripod
www10.brinkster.com/Dostturk/fake.htm
www.kingsoffalcons.com/fake/index.php
www.nailkaplan.tr.cx
Build a Free Website with Web Hosting | Tripod
Fake konusu biraz da sizin yaratıcılığınıza bağlı... Temel olarak mantığı yukarıdaki gibi...
Tabii ki fake atarken kullanılan dilin resmî ve nazik olması önemli. Bunun yanında sonuna "Mynet A.Ş.", "Hotmail", "Yahoo! Member Services" gibi şeyler yazarsanız daha inandırıcı olur. Lâkin Doktora gönderilen fake(!)deki gibi "saygılarımızla yahoo a.ş." yazarsanız millet sadece sizinle dalga geçer...)
Bu arada, fakeinizde adamın mailinin alınmış olduğu şirketin sürekli kullandığı logosuna, resimlerine, linklerine de mailiniz içerisinde yer verirseniz daha inandırıcı olur... ("Acaba onu Nası yapacam?" demeyin, hiç olmazsa HTMLi öğrenin be arkadaşlar! Tabii ki <img> ve <a> etiketleriyle))
NOT:Konu alıntıdır.
Bu anlatımlarda, pratikten ziyade teorik bilgi vermek durumundayım ama, teoriyi oldukça geniş tuttuğum için pratik yapmanız kolaylaşacak inşAllah. Bunun yanında öğrendiklerinizi misyon dahilinde faaliyete geçirmeniz için çalışmanız gerekiyor. Anlatılanları pratiğe geçirirken karşılaştığınız soruları buraya veya başlı başına açtığınız bir forum konusuna yazarsanız yardımcı oluruz... Veya MSNM gibi iletişim programlarıyla da kafanıza takılanları "usta"larımıza sorabilirsiniz.
Bu kadar nutuktan sonra, başlayalım...
Web sitelerini hacklemek için kullanılan iki yöntem vardır, domain ve host hack. Domain sitelerin adresidir, hosting ise siz sitenin adresini yazdığınızda yönlendiğiniz bilgisayardır, yani sitenin içerisindeki tüm dosyaları barındıran bilgisayarlar... Örneklendirecek olursak www.e-hack.org bir domaindir. Fakat bu sitede bulunan tüm dosyalar, bir hosting firmasının bilgisayarları içindedir. Siz adres barınıza
http://www.e-hack.org
yazdığınızda, e-hack.orgun dosyalarının bulunduğu bilgisayara yönlenirsiniz. Bir sitenin domainini hacklediğinizde, o domaini sizin "hacked by xxx" yazan sayfanıza yönlendirirsiniz ve bu şekilde siteyi hacklemiş olursunuz. Hosting hackte ise, direkt olarak sitenin içeriğini değiştirir, Admin kullanıcısının ayarları ile oynar, yönlendirme ile filân uğraşmazsınız.
Şimdi yöntemlerden bahsedeyim...
Mail-hack: Domain hack için kullanılan en önemli yöntemlerden birisi mail hacktir. Önce www.arama.com/domain.php3 gibi adresleri kullanarak hedefimizdeki siteye whois çekeriz (Whois çekeriz dedim de kafanız karışmasın; sadece verdiğim adrese gidip karşınıza çıkan kutucuğa hedefteki sitenin ismini girip ilgili düğmeye tıklamanız yeterli ) ) ve orada admin mail veya technical contact gibi kısımlarda yazan mail adresini hackleriz. Daha sonra bu whois bilgilerinde yazan domain veya host firmasına (ns1.xxx.com, ns2.xxx.com, veya register through yazan yerlerden kopya çekebilirsiniz, birazcık İngilizceyle olayı anlayabilirsiniz zaten) hacklediğimiz adresten mail atarız ve deriz ki: "şifremi unuttum, siteme giriş yapamıyorum. Yani size rahatsızlık vermek istemem ama şu şifremi, görmüş olduğunuz bu maile atar mısınız?". Eğer size direkt olarak şifreyi yollamak yerine "Dur bakalım birader... Senin adın, yaşın, şeklin şemalin, yani bize kayıt olurken kullandığın bilgilerini bir gönder bize ki, senin o sitenin sahibi olduğuna inanalım ve sana şifreyi yollayalım. Ne malum senin siteyi hacklemeyeceğin?" gibi bir cevap gelirse, whois bilgilerinin arasında bulunan admin-name, admin-city gibi bilgileri derleyin, şöyle bir kalıba oturtun ve sizden üye olurken kullandığınız bilgilerinizi isteyen şirkete yollayın... Hacklemek istediğiniz sitenin domain veya host şirketi (genelde aynı şirket olurlar) size şifreyi yollayacak... Veya hiç mail yazmakla uğraşmadan, domain şirketinin sitesine girersiniz ve orada online olarak şifrenizi yolladıkları "Şifremi Unuttum!" gibi bir link varsa orayı kullanırsınız. Onlarda size şifreyi yollar... Eğer şifre gelirse, bu şifreyi sitenin FTPsinde de deneyerek sonuca ulaşabilirsiniz (belki, çünkü kullanıcı adı da lazım FTPlerde ve bu çok değişik kelimeler olabilir, siteadi.com olmayabilir kullanıcı adları büyük ihtimalle! En iyisi manuel olarak muhtemel kullanıcı isimlerini denemek veya finger çekmek -ki uzun iştir finger çekmek, konu dağılmasın. O yüzden burada yazmıyorum nasıl yapıldığını, ilerleyen bölümlerde yeri gelince kısaca değineceğim.-...) veya domain şirketini kullanarak, domaini içinde "Hacked by xxx" yazan bir adrese yönlendirebilirsiniz...)
Tabii bu anlattıklarım için, öncelikle mail-hackten biraz anlamanız gerekiyor. O yüzden size şu anda hatırladığım birkaç mail-hack yöntemini yazayım:
1. Fake mail:
Tecrübesiz kullanıcıların maillerini almak için bire bir. Kurbana bir anonymous mail (Anonymous Mail=Belli bir mail adresinizin olması gerekmeden atabildiğiniz, kimlik bilgilerinizi taşımayan maillerdir denebilir) yollayan (aenima mail bomber gibi çoğu mail-bomber bu işi yapabiliyor) bir program veya bir fake mail/anonymous mail sitesi (mesela anonymous mail hizmeti www.anonymouse.ws adresinde var) kullanarak fake mail atabilirsiniz. Direkt olarak fake kodunu HTML şeklinde kendi elinizle yazabilirsiniz, ama "bununla uğraşamam" derseniz hazır fake kodlarını ve fake mail sitelerini kullanabilirsiniz. Tam yeri gelmişken söyleyeyim arkadaşlar, Hacking ile uğraşacaksanız en azından HTMLi bari bilin. Hazır fake kodlarını veya fake sitelerini de kullanabilirsiniz ama emin olun ki hiç bir kod sizinkinden güzel olamaz!.. Sadece Fakede değil, her konuda lâzım HTML... Bunu öğrenin en azından... Bunun yanında "yok, ben uğraşamam, işim acele" gibi şeylerle kendinizi avutmak istiyorsanız veya fake kodu yazmaya üşeniyorsanız, Sizin için yazdığım bir çok fake kodları var onları kullanabilirsiniz[mail hacking bölümünde] ...Ayrıca Fake sitelerinden bazılarını biraz aşağıda veriyorum.
Öncelikle, fake mailin mantığı nedir? Fake mailde, adama kullandığı mail account şirketinden, veya -daha kesin sonuç alabilirsiniz- adamın üye olduğu herhangi bir portaldan bir mail atıyormuş ve onun şifresine ihtiyaç duyuyormuş gibi davranıyorsunuz. Örneğin adama [email protected] adresinden mail atıyormuş gibi gösteriyorsunuz (farklı bir mailden geliyormuş izlenimi verme özelliği hemen hemen tüm fake mail sitelerinde veya anonymous mail programlarında vardır), ve onun size yolladığı şifresi sizin belirttiğiniz mail adresine geliyor, yani sizin mailinize. Meselâ siz Mynet yöneticisisiniz, "bir kullanıcı sizin siteniz hakkında bir şikayette bulundu, inceleme yapacağız" dersiniz ve "kullanıcı adı", "parola" ve bir de "sitenizin kısa tanımı" başlıklı 3 adet kutu gösterirsiniz. Formu kendi mail adresinize yönlendirirsiniz. Adam şifreyi yazıp gönder düğmesine bastığı an şifreyi siz alırsınız. Veya ne bilim, adama "üyelik aktivasyonu" başlığıyla bir mail atarsınız ve adamın üyeliğinin aktifliğinin korunabilmesi için size kullanıcı adı ve şifresini göndermesini söyleyebilirsiniz. Onun üye olduğunu bildiğiniz bir web sitesinin admini olarak ona mail atarsınız ve dersiniz ki "Sitemiz yeniden yapılanma içerisine girmiştir. Kullanılmayan hesaplar sebebiyle hem şirketimiz zor durumda kalmakta, hem de size verdiğimiz hizmetlerde aksamalar görülmektedir. Eğer sitemizi kullanmaya devam etmek istiyorsanız kullanıcı adınızı ve şifrenizi aşağıdaki kutulara girin (/aşağıdaki linkteki forma yazın)...." vs. diyebilirsiniz. Veyahutta... Önce kurbana saçma sapan birkaç adet mail atarsınız(mail-bomb yaparsınız) mesela "ERROAR 0013e5B" gibi saçma sapan bir içeriği olur. Sonra adamın mail aldığı şirketin üyelik hizmetkârı olarak bir mail atar ve dersiniz ki: "üyelik hesabınızda bir problem çıktı, üyeliğinizi yeniden yapılandırmamız için bize kullanıcı adı ve şifrenizi yollayın." Bunun gibi yalanlarla adamın şifresini istiyorsunuz ve adam sizin kendi mail adresinize veya hazırladığınız Fake scriptine yönlenmiş olan forma şifresini gönderdiği an, artık size kalan şifre ve kullanıcı adını mail sitesinin login kısmına girip maili hackledikten sonra, kullanıcı şifresi ve gizli soru gibi çeşitli bilgileri değiştirmek... Ve ardından, hiç vakit geçirmeden host veya domain şirketinden şifreyi istemek.
Bu arada atlanmaması gereken bir konu var ki, bazı siteler HTML hâlinde gönderilen mailleri biçimlendirmiyor, kodları gösteriyor (Mynet). Bunu atlatabilmek için stratejik bir site alıyorsunuz (mesela uyelikservisi.sitemynet.com gibi -mynet için inandırıcı olur bu tabii ki-) ve attığınız mailde diyorsunuz ki: "aşağıdaki linke tıklayın ve bize şu şu şu sebepten dolayı yollamanız gereken bilgilerinizi gönderin." Aşağıdaki linkin bulunduğu siteye siz fake kodunu atıyorsunuz ve sonuçta mail sizin.
Fake sonuçlarının size ulaşabilmesi için kendi fake servisinizi de kurabilirsiniz. Mesela ücretsiz asp hostu veren websamba.com gibi bir yerden site alırsınız, CWnun Programlar/illegalPort kategorisinde iP Personal Fake zipindeki default.asp, kayit.asp ve db/fakes.mdb dosyalarını upload edersiniz bu bedava ASP destekli adresinize, sonra da paketteki hazır HTML kodunu veya kendi yazdığınız kodu <form action="..." kısmındaki yeri değiştirip meselâ <form action="http://www.websamba.com/Websamba daki_Kullanici_Adiniz/kayit.asp" şeklinde ayarlarsanız, sonuç alırsınız. Veya hiç uğraşmadan da hazır fake sitelerini kullanabilirsiniz... Bir kaç tanesi:
Build a Free Website with Web Hosting | Tripod -
www.siberkorsan.net/fake/index.php
www.hademeler.netteyim.net/fakemail.htm
Build a Free Website with Web Hosting | Tripod
Build a Free Website with Web Hosting | Tripod
www10.brinkster.com/Dostturk/fake.htm
www.kingsoffalcons.com/fake/index.php
www.nailkaplan.tr.cx
Build a Free Website with Web Hosting | Tripod
Fake konusu biraz da sizin yaratıcılığınıza bağlı... Temel olarak mantığı yukarıdaki gibi...
Tabii ki fake atarken kullanılan dilin resmî ve nazik olması önemli. Bunun yanında sonuna "Mynet A.Ş.", "Hotmail", "Yahoo! Member Services" gibi şeyler yazarsanız daha inandırıcı olur. Lâkin Doktora gönderilen fake(!)deki gibi "saygılarımızla yahoo a.ş." yazarsanız millet sadece sizinle dalga geçer...)
Bu arada, fakeinizde adamın mailinin alınmış olduğu şirketin sürekli kullandığı logosuna, resimlerine, linklerine de mailiniz içerisinde yer verirseniz daha inandırıcı olur... ("Acaba onu Nası yapacam?" demeyin, hiç olmazsa HTMLi öğrenin be arkadaşlar! Tabii ki <img> ve <a> etiketleriyle))
NOT:Konu alıntıdır.