Upload Açığı Nedir, Upload Açığı İle Site Hacklemek [ Web Hacking Eğitimi #2 ]

"Xale

Katılımcı Üye
16 Eki 2020
442
0
Merhabalar, bugün sizlere upload açığı nedir ve nasıl kullanılır bunlardan bahsedeceğim, başlayalım.​

Upload açığı nedir?​
Upload, Türkçe anlamı ile yüklemek demektir. Tarafımızca bir siteye resim yüklersek bu siteye resim upload etmek olur. Upload açığının tehlikesi ise, hacker'ın siteye zararlı yazılım yüklemesi ve o yazılımı kullanıp siteyi hacklemesidir. Ve ek olarak kullanıcıların yüklediği bütün dosyaları görebilirler ve bu başka sorunlarada yol açabilir.​

Upload açıklı site bulmak
Öncelikle Google'a şu dorku yazıyoruz:​
Kod:
inurl /kindeditor/examples/uploadbutton.html

Ve karşımıza, bir sürü upload açıklı site çıkıcaktır.​

Upload açıklı sitelere index basmak.​

Önce, karşımıza çıkan sitelerden herhangi bir siteye giriyoruz. Daha sonra Upload butonuna tıklıyoruz ve indeximizi seçiyoruz. Yandaki yazı kutusunda çıkan yazıyı kopyalıyoruz ve sitenin yanına yazıyoruz. Yani:​

Diyelimki açık linkinde bulunuyor, bizde [url]http://www.uitstor.com'un yanında /en/public/js/kindeditor/examples/uploadbutton.html kısmını silip yandaki yazı kutusunda çıkan şeyi yazıcaz.

Mesela, yandaki yazı kutusunda /en/public/js/kindeditor/attached/file/20210331/20210331034812_24828.html yazıyorsa, bu yazıyı kısmının yani alan adı kısmının yanına yapıştırıcaz ve link şöyle olucak:

[url]http://www.uitstor.com/en/public/js/kindeditor/attached/file/20210331/20210331034812_24828.html


Bu şekilde indeximizi siteye upload ettik.

Hayırlı günler.
 

Feqtico

Katılımcı Üye
24 Haz 2020
539
47
Konun güzel, ama upload açıklarında hedef sistemde koruma yoksa direkt shell upload edip web sunucusunu ele geçirebileceğimizi veya hedef sitede dosyanın MİME Type değerine göre yapılan bir koruma varsa bunu burpsuite ile bypass edilip shell upload edilebileceğini gösterseydin daha güzel olurdu bence :)

Eline emeğine sağlık :)
 

masonz

Yardımsever Üyeler Kulübü
12 Ocak 2021
1,149
1
Nereden Nereye
Güzel bir konu olmuş başarıların devamını dilerim
ama görseller ekleseniz daha iyi olacağına inanıyorum ayrıca Feqtico kendisine
katılıyorum.

iyi forumlar
 

ByZehirx

Yaşayan Forum Efsanesi
10 Şub 2012
10,520
30
Osmaniye
Bu tarz konular coook coook eski ancak (!)
Zaman zaman bu konuları gündeme getirmek
Konuyu farklı bir yorum ile ele almak gerektirir
Evet upload cok eski bir mevzu ben bu konu hakkında android uygulaması dahi yapmiştim o kadar basit ve eski konu.
Ama şunu unutmamak gerek bu upload aciginin ne oldugunu hiç bilmiyenlerimiz var ve ilk index basıp kendini heveslendirmek icin iyi yorucusuz bir yoldur.
Az önce forumda bir konu vardı
Lamerlikden nasıl cıkarım diye
Al bu konuyu git 2 3 tane siteye index bas ve özgüvenini kamçıla biz seni yine bugün lamer olarak biliriz ama yarın bugünün ekmeqini yiyor olursun.

Eline saglik dostum
 

OKDAX

Yeni üye
30 Mar 2019
6
0
Jamaika
Bu tarz konular coook coook eski ancak (!)
Zaman zaman bu konuları gündeme getirmek
Konuyu farklı bir yorum ile ele almak gerektirir
Evet upload cok eski bir mevzu ben bu konu hakkında android uygulaması dahi yapmiştim o kadar basit ve eski konu.
Ama şunu unutmamak gerek bu upload aciginin ne oldugunu hiç bilmiyenlerimiz var ve ilk index basıp kendini heveslendirmek icin iyi yorucusuz bir yoldur.
Az önce forumda bir konu vardı
Lamerlikden nasıl cıkarım diye
Al bu konuyu git 2 3 tane siteye index bas ve özgüvenini kamçıla biz seni yine bugün lamer olarak biliriz ama yarın bugünün ekmeqini yiyor olursun.

Eline saglik dostum

aklımdan geçen herşeyi hocam döktürmüş eline sağlık :)
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.