İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Zehir ve Zehir3 ile Web Sitesi & Server Hackleme

07-10-2010 16:43
#1
~Mc-KoRkU~ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2009
Nereden:
Payitaht
Mesajlar:
1.209
Teşekkür (Etti):
69
Teşekkür (Aldı):
454
Konular:
563
Ticaret:
(0) %
Simdi size bir sitenin ve o sitenin bulundugu server'i nasil hacklencegi hackkinda
bilgi verecegim.
Ilk olarak kulllanacagimiz tools bir ASP kod dan ibarettir.Bu asp kodu ile server
içinde rahatlikla gezebilirsiniz ama bu gezme içi server içindeki yetkilere

göre degisir..Bunlardan bahsedecegim teker teker...

Kullanacagimiz ASP kodunun adi Zehir.asp 'dir. CW üyelerinden Zehir in yazdigi bir
asp code dur.
Birde baska biri tarafindan yapilmis Zehir3.asp vardir o da Forever5pi tarafindan
yazilmistir..

Bunlari bulacaginiz yer :
savsak.com sitesinde sol menude Hack & java &program diye bir link var onun içinde
Web bölümünde Zehir ve Zehir3 diye...

Simdi bunlarin ortak amaci server içinde gezme, download etme, edit lemek, upload
gibi özelliklere sahipler..

Bunlari nasil kullanacagim?
Bunlari kullanmaniz için ilk önce bir sitede açik bulmaniz gerek.Nasil bir açik?
UPLOAD sistemi. Birçok sitede webmasterlar kendi ftp lerine dosya göndermek

için küçük bir upload sistemi (bu 2 Asp kodundan olusur belli bir klasöre dosya
göndermek için biçilmis kaptan) vardir. O isstemi bulup ve nereye dosyayi

gönderdigini takip etmeliyiz..
Mesela savsak.com 'u siz hacklemek istiyorsunuz.Ve
savsak.com/admin/upload/upload.asp diye gizli bir upload bölümü var.Siz burayi
ugrastini ve

buldunuz diyelik.Siteyi hacklemek için en kolay yöntem ZEHIR ASP kodunuzu buraya
upload etmektir.(simdi sorarsiniz nasil upload edecegim söyle savsak taki

upload.asp sayfasinda bir browser bölümü ve birde gönder butonu vardir.Siz browser
dan kendi PC deki zehir i tiklayip gönder diyeceksiniz)
Simdi zehir i gönderdiniz. Ama bitmedi.Onu çalistirmaniz gerek. Onun içinde
zehir.asp nin nereye gittigini bilmeniz gerek.

savsak.com/admin/upload/upload.asp upload ettiginiz dosya hep bir üst dizinlerde
olmak zorundadir.(Genelde böyledir) Siz onu bulacaksiniz. Mesela ben

sitemde upload edilen dosyalari savsak.com/admin/upload/ejder/ diye dizin altina
göndertmis olayim.Siz buraya gittiini biliyorsaniz.Islem tamamdir.

Hemen savsak.com/admin/upload/ejder/zehir.asp yazip benim site sizin ellerinizin
altinda artik.Herseyi yapabilirsiniz. Birde server gerekli önlemleri

FSO (file sistem object) önlemini almadiysa siz server içindeki tüm sitelere
ulasabilir, server i göçeltebilirsiniz. Ama siz server in C: D: E: veya diger

sitelerin bulundugu yerlere ulasamiyosaniz orda Server in Permission (yetki )
kisitlama ölümüne girmek istemenizdir.

Dikkat edin ki böyle yollarla girdiginiz server ve siteler de LOG lar tutulur.
Bunlar sitede ve server daki hareketleri not alir.

bilir bunu. Sitenin log lari gnelde surdadi:mesela savsak iç.in örnek. savsak_com/w
ww/ deneme_com/db/ deneme_com/log/ burda görüyorsunuzki benim sitenin

asp kodlari ww w root dizini içinde. Siz ordan bir geri giderk LOG dizinine
girebilir ve log lari silebilirsiniz..
Eger server in log lari ise C:/log/ içinde dir. Bu bazen degisebiliyor....


Zehir.asp kullanmasinda ise A: c: d: e: gibi sürücüleer gözükür ve onlara tiklayarak
asagida içeriligini gösterir(ama listelenmis halini). Göstermesse

yetkiniz yoktur . Birde orda baslarda sitedeki zehirin yerini gösteririr.
c:/domain/deneme/deneme.com/w ww/upload/deneme/zehir.asp diye. Burda siz

c:/domain/deneme/deneme.com/ww w/ buraya olan kismi HIZLI erisim kismina
yazdiginizda direk
http://www dizini karsiniza gelir.Buda kolay yönüdür...
Kullanıcı İmzası
Kod:
Eskilerden Kim Kaldı?

21-02-2012 00:00
#2
Üyelik tarihi:
02/2012
Nereden:
Denizli
Mesajlar:
4
Teşekkür (Etti):
0
Teşekkür (Aldı):
0
Konular:
1
Ticaret:
(0) %
Gayet güzelde nedense bir okumada anlamıyom bunları yaparken pcme bi zarar gelir mi ?
Kullanıcı İmzası
Her Hacker Türk Doğar
21-02-2012 15:38
#3
S1mPL3 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2012
Mesajlar:
190
Teşekkür (Etti):
20
Teşekkür (Aldı):
8
Konular:
17
Ticaret:
(0) %
Bir çok zaman bunu kullanıyordum teşekkürler bilgi için

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı