İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

web hack nasıl yapılır açıklayıcı bir döküman

04-06-2009 13:36
#1
atlas_tr - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2008
Nereden:
NErDe OLsam BEğeNİRsin
Mesajlar:
2.383
Teşekkür (Etti):
19
Teşekkür (Aldı):
189
Konular:
389
Ticaret:
(0) %
Sizlere bazi gerçeklerden bahsedecegim.. hacker olmak istiyorsaniz bazi seyleri biliyor olmaniz gerekiyor.. hacker olmak nedir ? açiklar bulmaktir.. açik bulmak için açik bulunacak sistemin çok iyi idrak edilmesi üzerinde çok iyi çalisilmasi gerekiyor.. bütün bunlar bir yana birazda progamlama temeli olmasi gerekiyor.. Simdi arkadaslar yöneticiler olarak biraz bu konuyu konustuk tartistik ve sonuç olarak pek iyi olmayan bir sonuca ulastik.. Takimdaki arkadaslar (hack ögrenmek amaçli gelen) \'in %70 gibi büyük bir orani temel kavramlardan habersiz.. nasil yani.. simdi sistemi tam bilmeniz gerekiyor dedik.. bir web sitesi hack edecekseniz web sitesi sistemini bilmeniz gerekiyor.. nasil bir web sitesi ? öncelikle bunu bilmemiz gerekiyor.. siteye giriyoruz ve asp ile yapilmis oldugunu görüyoruz.. hmm düsünelim o zaman ne yapabiliriz ? iste bu devrede biraz asp bilgisi gerekiyor.. dedimya eger birsey yapmak istiyorsak öncelikle o konu hakkinda bilgili olmamiz gerekiyor.. diyelimki asp de biliyoruz.. o zaman sitenin html (client kodlari) de biraz gezintiye çikariz.. kodlardan korkmayin nihayetinde onlarda insan elinden çikiyor daha sonra asp ile baglantili birseyler yapabilme ihtimali olup olmadigina bakariz.. arkadaslar simdi hep yüzeysel geçiyorum farkindayim ancak anlatacaklarim biraz uzun o yüzden ayrintiya sonra inecegim..


Öncelikle yukarida da bahsettigim gibi sistemi iyi bilirseniz açiklari rahat görürsünüz.. burada ne çikiyor karsimiza ? hackerlik aslinda sistemleri iyi taniyan insanlarin yapabilecegi bir is.. öyle her önüne gelen yapamaz bunu.. arkadaslar bunlari neden diyorum? yanlis yoldayiz aslinda.. hackerlik diye bir meslek yoktur.. hackerlik birinci basamak degildir! öncelikle sistemleri iyi bilen arkadaslar kendi alanlarinda hackerlik yapabilirler.. bir nevi master yapmak gibi bisey benim sizlere önerim sudur ki : burada bizlere windows ile ilgili sorular sorun, linux ile ilgili sorular sorun, su sekilde bir web sitesini yapiyorum burasinda takildim nasil yaparim gibisinden sorular sorun.. arkadaslarimizin çogu su siteyi nasil hackleriz gibisinden yaklasiyor.. simdi böyle bir durumda bizim bisey anlatmamiz mümkün degil.. ama bazi arkadaslar var.. haberlerini aliyoruz cw daki forumda yazilanlarin print çiktisini alip çalisiyorlar deniyorlar.. daha sonra takildiklari yerde gelip soruyorlar.. tek kelime ile alnindan öpüyorum o kardeslerin ) eger yaklasim bu sekilde olursa bildigimiz birsey olupda sizlerle paylasmamamiz söz konusu bile degildir!


Simdi sizlere bir hack yönteminden bahsetmek istiyorum.. genelde asp destekli üye sistemli sitelerde karsilastigim bu açigi kendim bulmustum ancak her html ve asp bilen biraz düsünürse bunu bulabilir, yani baska yerlerde de böyle bir açiktan bahsedilmis olabilir.. simdi öncelikle bu hack yöntemi için bir ön bilgi olarak html dersi verecegim ucunda hackerlik olunca anca çalisiyorsunuz napim ) arada biraz böyle dersler verelim bilmeyen arkadaslarda bu bahane ile ögrensinler ))


simdi genel olarak internet üzerinde doldurdugunuz tüm formlar biryere post edilir yani gönderilir.. gönderildigi yer bunu isler ve kaydetmesi gerekiyorsa kaydeder.. mesela siz bir web sayfasina login olurken kullanici sifre gibi bilgileri girersiniz.. bu bilgiler bir dosyaya post edilir ve o dosya da database e baglanarak böyle bir kullanici olup olmadigina sifresinin tutup tutmadigina bakar.. bunlarin hepsi tutarsa ona göre bir yönlendirme yapar.. öncelikle bir form yapisini görelim..


Code:
<form action="guncelle.asp" method="post">
<input type=text name="kullaniciadi">
<input type=password name="kullanicisifre">
<input type=submit name="smtGiris" value="Giris">
</form>

simdi bu form yapisinda post edilen yani verilerin gönderildigi dosya "guncelle.asp" olarak belirlenmis. "type=text" demek bir text kutusu demektir.. buralara kullanici bilgileri giriliyor.. "type=password" demek ise yine bir text kutusu açiyor ancak girilen deger "*" karakteri ile gösteriliyor. en son olarak da "type=submit" var.. bu da bir button çikarir sayfada.. bu buttonun görevi tiklandiginda textkutularina girilen degerleri form action kisminda yazan dosyaya yani guncelle.asp dosyasina göndermesini saglar.. simdi arkadaslar birde forumlarda "type=hidden" kullanilir.. bu su demektir, sayfada gözükmeyen ve içinde veri barindiran inputlar.. sayfada gözükmüyor.. ancak "View Sorce" (Kaynagi görüntüle) dendiginde bu gözükecektir.. simdi arkadaslar bunu nasil kullanabiliriz biraz düsünelim.. simdi eger webmaster siteyi kendisi yaptiysa, kodlari kendisi yazdiysa yani bir nuke degilse (nukelerde bunlarin önlemi aliniyor.. o adamlar profosyonelce yaziyorlar kodlari) bu açik %80 var kullanici bilgilerini degistirme bölümünü bilirsiniz.. profil düzenle falan diye de geçer bazi yerlerde.. hapteam ve itiraf.com dan bahsetmek istiyorum.. evet bu sitelerde bu açik vardi.. simdi yok.. o zaman hapteam ile aramiz nanelimonluydu biliyor herkes olaylari simdi gayet iyiyiz yaptigim is öncelikle sitelerine üye oldum.. sonraki adim profil düzenle bölümüne girdim.. sayfanin kaynak koduna girdim.. aynen söyleydi :
Code:
<form action="default.asp?hp=uyeislem&islem=kayit" method="Post">
<input type=hidden name="kullanici" value="zehir">
<input type="text" name="uye_adi" size="20" value="Zeber">
<input type="password" name="uye_sifresi" size="20" value="123456789">
<input type="text" name="uye_sifre_sorusu" size="20" value="kerata seni">
<input type="text" name="uye_sifre_cevabi" size="20" value="bunlara bakmayin salliyorum ">
<input type="text" name="uye_eposta" size="20" value="Mail Adresi">
<input type="text" name="uye_web_site" size="20" value="http://www.cyberprotest.org">
<input style="background-color: #f6f6f6;" style="border:1px" type="submit" value="Güncelle">
</form>

simdi arkadaslar burdaki degerlere aldanip birseyler yapmaya kalkmayin bunlar tamamen sallama degerlerdir ) evet simdi kabataslak karsima çikan bu tabloda <input type=hidden name="kullanici" value="Zeber"> böyle bir satir var.. bu ne demek oluyor ? bu su demek oluyor ki, kullanici adi sayfada gösterilmiyor ama burada gizli olarak sayfanin arkasinda tutuluyor.. ve buradan post edilerek diger sayfada bu kullanici adina ait bilgileri degistiriyor.. evet ben ne yaptim biliyormusunuz ? bulari bir htm dosyasi olusturdum ve içine koydum.. daha sonra formun action kisminda direk default.asp diyor onun basina "http://www.hap-team.com/" ekledim. asagidaki gibi oldu..
Code:
<form action="http://www.hap-team.com/default.asp?...em&islem=kayit" method="Post">

simdi type=hidden olan inputun type ini hidden degilde text yapiyorum.. asagidaki gibi oluyor..

<input type=text name="kullanici" value="Zeber">

evet dosya üzerinde yapacagim islem bu kadar.. simdiden sonrasi çalistirmaya bakiyor ) dosyanin son hali asagidaki gibi :
Code:
<form action="http://www.hap-team.com/default.asp?...em&islem=kayit" method="Post">
<input type=text name="kullanici" value="zehir">
<input type="text" name="uye_adi" size="20" value="Zeber">
<input type="password" name="uye_sifresi" size="20" value="123456789">
<input type="text" name="uye_sifre_sorusu" size="20" value="kerata seni">
<input type="text" name="uye_sifre_cevabi" size="20" value="bunlara bakmayin salliyorum ">
<input type="text" name="uye_eposta" size="20" value="Mail Adresi">
<input type="text" name="uye_web_site" size="20" value="http://www.cyberprotest.org">
<input style="background-color: #f6f6f6;" style="border:1px" type="submit" value="Güncelle">
</form>

evet bu degisikliklerden sonra dosyayi çalistiriyoruz ve karsimiza text alanlari geliyor.. en bastaki kullanici adi.. simdi ben burada istedigim kullanicinin bilgilerini degistirebilme yetkisine sahibim nasilmi? kullanici olarak zehir yerine adminlerden birinin adini yazdigimda admin kullanicisinin sifresini degistirmis olurum.. admin kullanicisi ile sisteme girip sayfada birçok sey yapabilirsiniz (admin yetkisi düzeyinde..).. evet hapteam adminlerinin sifrelerini bu sekilde degistirmistim.. simdi onlar bizlerin kardesleri oldugu için sitelerinde de böyle bir açik yok artik itiraf.com a da ayni sekilde girmistim.. admin sifresini aldim birçok yaziyi istedigim gibi editledim müstehcen seyler vardi düzelttim hepsini ancak adminler kisa sürede farkedip siteyi kapattilar 1 gün kadar. daha sonra açtiklarinda böyle bir açik yoktu )) üzüldümmü? hayir.. bisey yapmak isteseydim o zaman yapardim elimdeydi hersey.. ama hersey zarar vermek degildir.. sunu unutmayin! bilgilendiginiz zaman hacklemenin degilde yardim etmenin, açiklari site sahiplerine bildirmenin daha güzel huzur verici oldugunu göreceksiniz.. umarim bu günler yakin olur.. parmaklarim yoruldu arkadaslar hakkinizi helal edin birazda uzun oldu ama Dualarinizi esirgemeyin..
Code:
bu arada unutmadan egitim için önerecegim siteler :

face=Courier New, Courier, mono www.maxiasp.com
face=Courier New, Courier, mono www.aspnedir.com
face=Courier New, Courier, mono www.yazgelistir.com
face=Courier New, Courier, mono www.planetsourcecode.com - Bol bol örnekler bulabilirisniz..


HTML sayfalari ile ilgilenen arkadaslar, HTML ile JAVASCRIPT in nasil bir iliski içerisinde oldugunu bilirler..
örnek olarak:

<HTML>
<HEAD>
<TITLE>DENEMEDIR</TITLE>
</HEAD>
******** LANGUAGE=JAVASCRIPT>
function runMail(a,b,c){

}
</SCRIPT>
<BODY>
<a onClick="runMail(true,1,2)">mail oku!</a>
</BODY>
</HTML>

Simdi bu kodda neler var bir bakalim öncelikle.. ********></script> tagini herkes görüyor heralde degilmi simdi bu tag içerisine browserin destekledigi dillerde progr*yasak kelime*lar yazilir.. default olarak Client ta çalisan bir koddur.. içerisinde bir function var. Bu functionun adi runMail ve 3 tane parametre almakta.. alinan parametreler içerisinde hiçbir adres yok.. yani adresten kastim http://www Seklinde bir adres.. o halde bütün hersey bu runMail fonksiyonunun içerisinde yeraliyor.. adres dahil.. sonucta tikladigimizda bir adrese gidecek degilmi? mantikli düsününce sonuca ulastik.. runMail fonksiyonunun içerisinde adres vardi.. bizde onu aldik.. fonksiyon ne ise yariyor diyeceksiniz? Gönderilen parametrelerden ilki true-false degerleri aliyor.. bunuda mailin kapasitesinin dolup dolmadigini ayirt ediyor.. eger dolmus ise true veriyor.. sonra runMail in içinde kontrol ediyor eger true ise maili açmiyor aslinda mantikli degilmi? Ama adamlarin mantiksiz yaptiklari sey bunu client a vermeleri.. iste böyle asilabilir clienta verirlerse.. bu arada gönderilen diger parametrelerden biride mailin numarasini tutuyor.. mesela 120 tane mail var.. son mailin numarasi 120 oluyor.. simdi arkadaslar biz runMail içinden asagidakine benzer bir adres satirini aldik..
face=Courier New color=#0000ff deneme.com
gibi.. burda en sondaki mailid mailin numarasini tutuyor.. bunu aldik ve ufak bir program yazdik.. bu program tüm mailleri yükledi.. toplam 100 ün üzerinde mail gelmis ve hepsini 4-5 dk içerisinde yükledik.. malum bu islerde hizli olmak gerekir
Kullanıcı İmzası
Darkpaw, DevriMTeam, cercii, MTESER2005 Teşekkür etti.

04-06-2009 15:37
#2
Ra's al Ghul - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
03/2007
Nereden:
glenn moors
Mesajlar:
7.976
Teşekkür (Etti):
27
Teşekkür (Aldı):
2706
Konular:
1179
Ticaret:
(0) %
paylaşımın için teşekkürler..bunu word de okuyacagım..
07-07-2009 16:10
#3
Üyelik tarihi:
07/2009
Mesajlar:
100
Teşekkür (Etti):
0
Teşekkür (Aldı):
5
Konular:
5
Ticaret:
(0) %
Bunu Hatırlıyacam Ama Dur Bakalım Ty Paylaşım
Kullanıcı İmzası
Bizim Rahat Edemediğimiz Yerde , Kimse Istraat Edemez !

Ben Hüsrana Komşuyum

ByUndisputeD


RiseOfRise
14-03-2010 08:23
#4
Agent_oo7 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2010
Nereden:
Urfa
Yaş:
26
Mesajlar:
27
Teşekkür (Etti):
63
Teşekkür (Aldı):
6
Konular:
9
Ticaret:
(0) %
Sagol Abicim. Cok Yardimci Oldun
Alıntı:
BeN Hackerligi Azeri Oldgum Icin Ermeni Siteleri Yk Ediyim Diye Ogreniyorum Ve Seve Seve Yapiyorum!
14-03-2010 08:37
#5
Üyelik tarihi:
01/2010
Mesajlar:
46
Teşekkür (Etti):
0
Teşekkür (Aldı):
1
Konular:
2
Ticaret:
(0) %
arkadasım emegıne saglık cok saglam paylasım eline emeğine sağlık çok beğendim iyi olmuş güzel...
14-03-2010 09:24
#6
Cyber00t - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2009
Nereden:
bypass :~#
Mesajlar:
1.337
Teşekkür (Etti):
103
Teşekkür (Aldı):
218
Konular:
511
Ticaret:
(0) %
Eyvallah
Kullanıcı İmzası
Uçurtmalar rüzgar gücü ile değil, o güce karşı koydukları için yükselirler.#



Eski Deface Team Liderlerinden 2010-2011

Eski nick "bastard31"
14-03-2010 09:48
#7
hackedpasa - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2009
Mesajlar:
125
Teşekkür (Etti):
0
Teşekkür (Aldı):
15
Konular:
7
Ticaret:
(0) %
Emeğine sağLık atLas...GüseL ßir payLaşım oLmuş...
Kullanıcı İmzası
Hacked_ßy_P@Ş@

Ya Sev Ya Terk Et...

www.TurkHackTeam.net

Mezarlar Arasında Mezar.Mezarın İçinde Tabut .Tabutun İçinde Kefen.Kefenin İçinde BEN. Benim Yüreğimde Hala SEN...
14-03-2010 10:22
#8
pisc0x - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2009
Mesajlar:
720
Teşekkür (Etti):
50
Teşekkür (Aldı):
196
Konular:
170
Ticaret:
(0) %
saol kardes
22-10-2011 00:02
#9
Darkpaw - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2011
Nereden:
Dubai
Mesajlar:
289
Teşekkür (Etti):
325
Teşekkür (Aldı):
37
Konular:
48
Ticaret:
(0) %
Tesekkurler.Faydalı bir döküman
Kullanıcı İmzası
Try a New Things To This Life
01-12-2011 23:42
#10
teador61 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2011
Nereden:
Sanal alemden
Mesajlar:
426
Teşekkür (Etti):
11
Teşekkür (Aldı):
39
Konular:
57
Ticaret:
(0) %
emegine saglık çok güzel olmuş [gözlerim agırdı okumaktan ama değdi ] )
Kullanıcı İmzası
Emeğe saygı için Bir teşekkür yeter

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı