İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

hedef sitedeki açıklar

05-06-2009 10:28
#1
atlas_tr - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2008
Nereden:
NErDe OLsam BEğeNİRsin
Mesajlar:
2.383
Teşekkür (Etti):
19
Teşekkür (Aldı):
189
Konular:
389
Ticaret:
(0) %
Size bugün elimden geldiğince bir servera girmeyi anlatmaya çalışacağım.
genelde bakıyorum çoğu kişi hacklemeyi falan anlatmış,ama servera girmekte zorlanan çok kişi görüyorum.Googleda
akşama kadar server arayanları duyuyorum.
Hedef siteye nasıl girebiliriz?serverı nasıl hackleyebiliriz?

[-]Önce bilgisayarınıza nikto’yu indirin.Sonra xss ve rfi scanerları indirin.


http://www.cirt.net/ nikto/ nikto-current.tar.gz =>nikto 2


----------------------------
Başlat-çalıştır-cmd
ping
www.hedefsite.com
(ıp adres çıkacak)örnek:219.15.75.4 (dursun bi kenarda)
----------------------------
şimdi bu komutları uygulayın;
cd (dizine git)
cd desktop (masaüstüne git)
cd nikto (nikto klasörüne git)
perl nikto.pl (nikto.pl dosyasını perlde çalıştır)
perl nikto.pl -h
www.hedefsite.com -C all (güvenlik açıklarını tarar,sistem bilgisini verir..)
buradan çıkarsa açıkları kullanacağız,çıkmazsa server türü ve sürümünü
örnek: Linux karnel 2.6.19.4
bunu
http://www.hotscripts.com/ ’dan indirip masaüstündeki xss ve rfi kalsörlerine kopyalayıp yapıştırııyoruz.
şimdi o serverdaki açıkları tarayacağız.
cd
cd desktop
cd xss
perl xss.pl
(bizden taramak için server dosyalarını istiyor,örnek lib klasöründeyse, lib ->enter )
[xss taradık birşey çıkmadımı,üzülmeyin rfi bakalım birde]
----------------------------
cd
cd desktop
cd rfi
perl rfi.pl
(yine bizden indirdiğimiz server dosyalarını isticek,lib ->enter)
tarayacak ve bulursa bize bildirecek...
[xss ve rfi klasörlerinde yeni bir html dosya oluşacak,açıklar burada sergilenecek(:]
----------------------------
Çok büyük ihtimal buraya gelen bir kişinin sitede bir açık bulması lazım.Bulamadınız mı? (gözlük takıp bir daha bakın)
Olmadıysa,
----------------------------
Who is çekeceğiz.
http://whois.webhosting.info ’dan ister hedef siteye isterseniz serverdaki başka bir siteye who is çekip operasyona başlayın.
serverdaki diğer sitelere nasıl bakacaz?
http://whois.webhosting.info/ip _adresi örnek:http://whois.webhosting.info/219.15.75.4
Sosyal mühendislik yaparak servera girecez.Eğer hedef sitenin sahibi şüphelenmesin,çok çakal biri diyorsan serverdan diğer
sitelere bak,gözüne bu işlerden fazla anlamayan birini kestirin.Ona who is çek , reg. mailini alın.
sonra bu iş için bir msn açmanızı tavsiye ederim.Örnek: domain&host şirketi adı geçen,webmaster ile ilgili vs. olabilir.
sonra ister sm’ne güveniyorsan sonuna kadar dayan,ister keylogerına güveniyorsan onu yuttur
Yada adama uygun bir shell bul ve ona yuttur.sitesine kursun
Kullanıcı İmzası

05-06-2009 17:19
#2
mali311 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2008
Mesajlar:
740
Teşekkür (Etti):
13
Teşekkür (Aldı):
90
Konular:
53
Ticaret:
(0) %
teşekkürler çok güzel bilgiler paylaşmışsın
Kullanıcı İmzası

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı