Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Capture The Flag

Capture The Flag Vulnerable VM Walkthrough & Capture The Flag Writeup Yazabileceğiniz Bölüm



DVWA Çözümleri ~ Anka Tim

Capture The Flag

Yeni Konu aç Konu Kapatılmıştır
 
Seçenekler
Alt 16-03-2019 22:32   #11
  • Anka(Saldırı) Timi
  • Üye Bilgileri
Üyelik tarihi
01/2018
Yaş
22
Mesajlar
Konular

Teşekkür (Etti): 1720
Teşekkür (Aldı): 759




Cross Site Request Forgery (CSRF) (Low)




___________________________________________

Ülkümüz göklerde dalgalanan sancak,
Biz Allah'ın huzurunda eğiliriz ancak!


Twitter Dışında Hiçbir Sosyal Medyada Hesabım Yoktur.
 Offline  
 
Teşekkür

Gozluk Bey, TuranAlemdar, The CrueL Teşekkür etti.
Alt 19-03-2019 21:25   #12
  • Anka(Saldırı) Timi
  • Üye Bilgileri
Üyelik tarihi
01/2018
Yaş
22
Mesajlar
Konular

Teşekkür (Etti): 1720
Teşekkür (Aldı): 759




XSS Reflected (Low)




___________________________________________

Ülkümüz göklerde dalgalanan sancak,
Biz Allah'ın huzurunda eğiliriz ancak!


Twitter Dışında Hiçbir Sosyal Medyada Hesabım Yoktur.
 Offline  
 
Teşekkür

Kacamax, The CrueL Teşekkür etti.
Alt 20-03-2019 19:31   #13
  • Anka(Saldırı) Timi
  • Üye Bilgileri
Üyelik tarihi
01/2018
Yaş
22
Mesajlar
Konular

Teşekkür (Etti): 1720
Teşekkür (Aldı): 759




XSS Dom (Low)




___________________________________________

Ülkümüz göklerde dalgalanan sancak,
Biz Allah'ın huzurunda eğiliriz ancak!


Twitter Dışında Hiçbir Sosyal Medyada Hesabım Yoktur.
 Offline  
 
Alt 4 Hafta önce   #14
  • Anka(Saldırı) Timi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Nereden
DerinDevlet
Mesajlar
Konular

Teşekkür (Etti): 206
Teşekkür (Aldı): 303




Dvwa Medium Xss Reflected


SELAMLAR ARKADAŞLAR DVWA XSS REFLECTED AÇIĞINI İNCELEYECEĞİZ.


Bildiğimiz üzere artık güvenlik önlemleri eskiye nazaran daha iyi seviyede
bu sebeple web uygulama geliştiricileri uygulamayı yazarken kodları belli takım
filtrelemelerden geçirmekte.




Kod:
<script>alert('TurkHackTeam');</script>


bu tarz bir alert vermeye yani scriptimizi çalıştırmak istediğimizde
yazdığımız javascript kodları çalışmayacaktır. Bunun sebebi



Kod:
<?php 
 
// Is there any input? 
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input 
    $name = str_replace( '<script>', '', $_GET[ 'name' ] ); //burası
 
    // Feedback for end user 
    echo "<pre>Hello ${name}</pre>"; 
} 
 
?>


Buradaki satırda bulunan input'u temsil eden $_GET['name']
değişkeni eğer <script> kelimesini içeriyorsa str_replace()
fonksiyonu ile bu kelimeden ayıklanmaktadır
Böylece input olarak script kodu girildiğinde
<script> tag'ı silinerek ekrana yansıtılacağından javascript kodumuz
işlevsiz olacaktır.





Bunu bypass edebilmek için script kodlarını tag'ların içine alacağız.





Kod:
<scr<script>ipt>alert('THT');</script>
Bu tarz tag'ların içine gömülmüş bir sorgu çalıştırdığımızda filtre bypass edilmiş olacaktır.



___________________________________________




Konu metonya tarafından ( 4 Hafta önce Saat 19:15 ) değiştirilmiştir..
 Offline  
 
Teşekkür

The CrueL, ch_arli41, TuranAlemdar Teşekkür etti.
Alt 3 Hafta önce   #15
  • Saldırı Timleri Lider Yardımcısı
  • Üye Bilgileri
Üyelik tarihi
09/2013
Nereden
Ahıska
Mesajlar
Konular

Teşekkür (Etti): 3878
Teşekkür (Aldı): 2090


Brute Force ~ Medium








Brute Force Low Levelın ardından şimdi Medium Level kısmını inceleyelim.






Low Levelda Brute Force saldırısına karşı herhangi bir güvenlik önlemi olmayan bir panele saldırmıştık. Burpsuite aracı ile elimizdeki wordlisti admin panel üzerine "hızlı bir şekilde" denemiş, kaba kuvvet saldırımızı gerçekleştirmiştik.

Ancak Medium Levela geçince işler biraz daha değişiyor. Çok caydırıcı olmasa da kaba kuvvet saldırısına karşı bir tık daha önlem alınmış olduğunu görüyoruz. Ne önlem alınmış, Low Levelın ve Medium Levelın kaynak kodlarını inceleyip bakalım.





Low Level





Medium Level





Her iki görselde de "else" bloğuna bakalım. Eğer saldırı esnasında denenen kullanıcı adı - şifre kombinasyonu yanlışsa, yani saldırdığımız sitenin veritabanında bulunan, doğru giriş bilgileri olan kullanıcı adı - şifre bilgisi ile uyuşmuyorsa bu kod bloğuna girilir. Daha sonra size kullanıcı adının veya şifrenin yanlış olduğunu belirten bir uyarı çıkar ve giriş başarısız olur.


Low Levelda durum sadece böyle iken Medium Levelda eklenen bir şey daha olduğunu görüyoruz.

"sleep()" fonksiyonu eklenmiş. "sleep(2)" ile yapılan şey else bloğuna girerse, yani yanlış kullanıcı adı - şifre girilirse kullanıcı adı veya şifrenin yanlış olduğuna dair uyarıyı 2 saniye gecikmeli olarak verecektir. Bu da bir sonraki giriş denemenizin 2 saniye gecikmesi demektir. Saldırının süresi uzayacağı için biraz da olsa caydırıcı bir önlemdir.





___________________________________________

" Türk'ü sevdim, seveceğim. Ama bunun sonunda ızdıraplar varmış,
felaketler varmış, hatta karşılaşılacak türlü kahpelikler doluymuş.
Hepsi kabul! Türk Irkı sağ olsun! "

Cru

Konu The CrueL tarafından ( 3 Hafta önce Saat 19:42 ) değiştirilmiştir..
 Offline  
 
Teşekkür

TuranAlemdar, deargod, metonya Teşekkür etti.
Konu Kapatılmıştır

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau