Siteye nasil shell atilir?
- Konuyu başlatan Jonio
- Başlangıç tarihi
Eğer bir sitede sql injection açığı bulduysanız öncelikle users v.b. bir tablodan kullanıcı adı ve şifreyi bulmanız gerekiyor şifre genelde md5 veya başka bir yöntemle şifrelenmiş halde bulunuyor onu da kırdıktan sonra artık admin paneli aramaya başlayabilirsiniz. Admin paneli bulduktan sonra da orada dosya yüklemeye yarayan bir sayfadan burp suite yardımı ile shell atmaya çalışabilirsiniz.
)
tek yol o değil bazı sayfalar içerikleri SQL sunucusunda bulundurmuyor mu? evet o halde neden panel arayalım ki beirli bir sayfanın içeriğine shell kodu ekleriz ama bunu yaparken sayfa bütünlüğünü korumak lazım misal zor tespit edilmesi amacıyla getleri yakalayıp çalışabiliriz.
insert into deyimi ile ekleyebilirsin.
SQL INSERT INTO Statement
W3Schools offers free online tutorials, references and exercises in all the major languages of the web. Covering popular subjects like HTML, CSS, JavaScript, Python, SQL, Java, and many, many more.
Evet ancak sqlmap v.b. bir sql aracıyla denediğinizde mysql komutlarini çalıştırmak icin --sql-shell parametresini kullanmanız gerekiyor oraya girdikten sonra select * v.b. komutları çalıştırabiliyorsunuz ancak insert, update gibi komutları çalıştırmıyor hata veriyor. Eğer sizin dediginiz tarzda bir şey mümkün olsaydı kimse admin paneldeki kullanıcıları çekip md5 leri kırmaya çalışmazdı yeni bir kullanıcı oluşturup istediği şifreyi koyardı bu sebeple dediginiz şeyin çoğu sitede mümkün olduğunu zannetmiyorum.
Programa ihtiyaç yok eğer sql komutları sitede çalışıyorsa istediğin gibi update,delete yapabilirsin.
SQL Injection | OWASP Foundation
SQL Injection on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
ayrıca herkesin admin panel araması ezberci olmalarından kaynaklı kafasını çalıştıran daha kısa çözümler bulur uygular
Anladım hocam haklı olabilirsiniz bilgilendirme için teşekkürler. Ben bir sitede manüel sql injection yapmayı denemiştim hatta üyeleri silip yeni üye ekleyecektim başarılı olamamıştım o sebeple kafamda bir önyargı vardı.Programa ihtiyaç yok eğer sql komutları sitede çalışıyorsa istediğin gibi update,delete yapabilirsin.
SQL Injection | OWASP Foundation
SQL Injection on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
ayrıca herkesin admin panel araması ezberci olmalarından kaynaklı kafasını çalıştıran daha kısa çözümler bulur uygular
Merhabalar
www.turkhackteam.org
burada ki konuya bakabilirsiniz bu konu size yardımcı olacaktır.
İyi Forumlar
SQL Açıklı Siteye Shell Atma
Hepinize selamlar arkadaşlar bu konumuzda SQL açığı bulunan hedef siteye nasıl shell atabiliriz bunu göstereceğim. Öncelikle shell atmanın birkaç yöntemi var. Siz istediğiniz yöntemi kullanabilirsiniz. Yada olmadıysa diğer yöntemi kullanarak da shell atabilirsiniz. Ancak shell atabilmek için...
www.turkhackteam.org
burada ki konuya bakabilirsiniz bu konu size yardımcı olacaktır.
İyi Forumlar
