İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Nasıl Yüzlerce Site Hackleyebiliriz? [ByDoldis Anlatıyor]

29-01-2014 02:37
#1
ByDoldis - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2012
Nereden:
/dold.htm
Mesajlar:
1.150
Teşekkür (Etti):
275
Teşekkür (Aldı):
842
Konular:
144
Ticaret:
(0) %
Öncelikle okuyan herkese selam olsun.Arkadaşlar bildiğiniz gibi 1 2 hafta önce deface tim'e girdim.Daha önceleri beni coğu kişi tanımazdı yalan yok.Hala tanımayanlar da var tabi, onları buradan kınıyoruz hep birlikte şaka tabi neyse bunlar konumuzla alaklı değil.

Şimdi gelelim asıl mevzuya.Gövde gösterisinde görüyorsunuz genelde 3 basamaklı konular açıyorum.230-215-152 vb. Site hacked gibi.Şimdi bu yazıyı okuyup bende 100lerce site hack yapıcam diye hayal kurmayın.Hemen olmaz ama 100lerce site hacklemenizde mutlaka faydalı olucaktır.Dostlar ben işe sql ile başladım, upload açıkları ile devam ettim sonra da xss ve brute force ile karşılaştım.İlk hacklerim sql injector ile oldu bu arada.Sonra brute force yapmaya başladım.Brute force iyidir uğraşmazsınız programa verirsiniz siteleri bir kaç saat sonra bakarsınız 1 2 site düşmüş.Önemli olan yer sürekli tek yöntem kullanmayın.Sql de yapın brute forcede yapın.Ama hepsinin hakkını vererek yapın ve güncel açıklar ile uğraşın.Asıl mevzu burada başlıyor.İşin hakkını vererek yapmak.


İşte kendimce anlatmaya çalıştığım bazı püf noktalar:

1)Siteden Vazgeçmeyin: İndex bas geç yapacağınız en son iş olmalı.Sitenin altını üstüne getirin.Tüm yöntemleri kullanarak siteden olabildiğince fazla bilgi elde edin.

2)Mass Deface: Bir siteye girdiğinizde ilk önce dizinleri gezin.Subdomain veya site üzerinde bulunan başka sitelerde var mı inceleyin.Genelde /vhost, /public_html gibi dizinlerde başka sitelerde olur.Bu siteleri de mass deface gibi yöntemlerle indexleyin.(Bu yöntem ile 198 site aynı anda hacklemiştim.)

3)Config Çekme: Config çekme konusu forumda defalarca paylaşıldı,videolu anlatımları yapıldı.Girdiğiniz siteye config çekin.Bazen site çıkmaz tabi ama şanslı gününüzdesinizdir tek configten 98 site çıkar.Evet 98 site benim çektiğim bir configten 98 site çıkmıştı.

4)Reverse İp: Girğiniz siteye reverse ip yapın serverdeki diğer siteleri görmüş olursunuz.Siteye girdiğiniz açık yöntemini bu siteler üzerinde de deneyin.Bazılarında aynı açıklar olabilir.

5)Symlik Yöntemi: Bazen configteki her siteye index atamazsınız.Symlink yaparak configteki sitelerin database bilgilerini elde edebilirsiniz.Wordpress ve Joomla admin reset password yöntemi ile configteki diğer sitelerin admin şifresini değiştirebilirsiniz.

6)Sql İnjector: Adı ile müsemma bu yöntem ile her zaman mutlaka bir site hackleyebilirsiniz.Mesela brute force yaparken beklemek yerine kendinize bir hedef site seçip sql injector yapabilirsiniz.Benim favorimdir.

7)Server Root: Bu yöntem ile 1000 li sayılara bile ulaşabilirsiniz fakat yöntem artık zorlaşıyor.Root olmak işin %20 lik kısmı, işin %80lik kısmı ise exploit bulmak.Günümüzde çalışır exploit bulmak oldukça zorlaştı.Özellikle 2014-2013 çalışan exploit bulmak gerçekten zor.[ByDoldis]Tabi girdiğiniz sitenin serveri 2012-2011 ise oto root yapan exploitler bile mevcuttur.Serverde root olmaya çalışın.Root olabilirseniz güzel sayılara ulaşabilirsiniz.


8)Bilgilerinizi Güncelleyin: Sürekli yeni yöntemleri araştırın.Yeni upload açıkları,yeni dorklar,yeni sql bypass teknikleri, yeni exploitler v.b.Eski yöntemlere takılıp kalmayın.

9)Araştırma Yapın: Örnek vererek anlatıyım bu maddeyi: Wordpress bir siteye girdiniz ama sayfa editleme hakkınız yok.Sizde izin[ByDoldis] olmadığı görüp Alt+F4 yapmayın.Başka ne yöntemler varmış bir sorun arama motorlarına.Tema yükleme yöntemi ile gayet güzel shellinizi siteye upload edebiliceğinizi öğrenin.

10)Nankör Olmayın : Sizin üzerinizde hakkı olan insanları unutmayın.Sorduğunuz, onlara aptalca gelen sorulara, zaman ayırıp cevap veren insanlara nankörlük edip aradan zaman geçince havalara girip küfür edecek, saygısızlık yapacak duruma düşmeyin.Tabiki takıldığınız yerde yardım[ByDoldis] isteyeceksiniz.Tabiri caizse kimse bu işleri anasının karnında öğrenmedi öğrenemezde.Saygı herzaman sizi yüceltir.Saygı duyulacak birey yapar.

Not: Bahsettiğim yöntemleri, materyallari konumda sunmadım.Siz araştıp kendiniz bulursanız daha yararlı olacağını düşündüm.Balık vermek yerine balık tutmayı öğretmek gibi düşünebilirsiniz.

Çok konuştum ama umarım bir nebze yararı dokunur sizelere.

************************************************** *****************



Ayrıntılı Anlatımlar 1: Siteden Vazgeçmeyin!




Genellikle bir çok arkadaşımız bir siteyi hackleme yolunda sorunlarla karşılaştığında bir kaç yöntem denedikten
sonra siteyi çöpe atıyor.Bu site hacklenmez çok zor düşüncesine kapılıyor.Bu şekilde siteden siteye atlıyor, her siteden birkaç bilgi alıyor
bir sitenin admin paneli, başka bir sitenin admin bilgileri v.b bilgiler yığılıyor da yığılıyor fakat bu bilgiler tek başlarına
mutlu sona ulaşmamıza yetmiyor.Daha tutarlı ve kesin bilgilere ihtiyacımız olduğu aşikar.

Peki neden hacker adayı arkadaşımız siteden çabucak vazgeçiyor.Site hacklenemez olduğu için mi, hiç bir yöntemin işe yaramadığı için mi,
sitede aşırı güvenlik olduğu için mi?[ByDoldis]Yoksa kolay olanı seçtiğiniz için mi? Vazgeçmek...

Şimdi bir düşünelim.Bir çok siteden kolayca alınmış pek işe yaramayan bilgiler mi işimize daha çok yarar yoksa üzerinde zaman harcanmış,
kafa patlatılmış tutarlı,kesin ve net bilgiler mi siteyi ele geçirmede işe yarar?

Hepiniz ikinci maddeyi kabul edersiniz büyük ihtimal.Kabul etmede bir sıkıntı yok asıl sıkıntı bu maddeyi hayata geçirmekte.Çoğunuz biliyorsunuz
bir şeyler elde edebilmek için çok çalışmak gerektiği o halde çok çalışın.Çabalayın,uğraşın.

"Çok çalışın"ı biraz açalım;
Çok çalışından kastım, aynı yöntemleri defalarca aynı sistem üzerinde deneyin manasında değil.Yöntemin her türlüsünü site üzerinde deneyin uğraşın zaman harcayın.Sonuç alamadığınız zaman farklıbir yöntemi aynı şekilde tüm yönleriyle hedef site üzerinde denemeye başlayın.Yöntemi uygularken tek kaynağa bağlı kalmayın.

Farklı konular,faklı kişilerin bilgileri, farklı bakış açıları ve en önemlisi kendinize özgü yeni bir yöntem bulmaya çalışarak defalarca denemeniz gerekse bile tümüyle yöntemi siteye uyguladıktan sonra bir diğer yönteme geçin.Sistem üzerinde uygulanabilecek bilindik yöntem kalmayana kadar bu döngüyü devam ettirin.


Site ile uğraşırken edindiğiniz tüm bilgileri düzenli bir şekilde not edin.Kağıt kalem alıp yazın demiyorum.(Ben gerekli yerleride yazarım bazen size kalmış).
Not edinden kastım mesela site adını taşıyan bi klasör oluştup site hakkındaki tüm verileri işe yarayacak bilgileri,exploitleri,bu klasöre depolayın.[ByDoldis]Gerektiğinde ulaşmanız gereken bilgi elinizin altında olur.Pratik olmak diyebiliriz.Daha sonra bilgi sahibi olduğunuz yeni yöntemler olduğunda arşivinizde bulunan bu site verileri ile karşılaştırma yaparak hedefinize ulaşabilirsiniz. Tekrar site açığını bulup verileri tespit etmenizede gerek kalmayacaktır.


Buraya kadar hep vazgeçmeyin odaklı konuştum.Sıra vazgeçmekte.Vazgeçeceğimiz yerde mutlaka olacaktır.Bir sistem için 1 haftanızı harcamak mantıklı bir iş değildir.Vazgeçmeyi düşündüğünüzde bulunduğunuz durumu bir düşünün, sitenin admin paneli elinizde,admin kullanıcı adı elinizde geriye kalan tek şey md5'in kırılması ise vazgeçmek mantıklı olmaz.Md5'i kırmak için yapmanız gerekenleri yaptınız; sitelerde tarattınız, manuel programlarla kırmayı denediniz kıramadınız işlem bu aşamaya geldiyse tekrar bir düşünüyoruz.Akıl akıldan üstündür atasözümüzden yola çıkarak md5'imizi kıralabilecek bir arkadaşımızdan yardım istiyoruz.Buraya dikkat!!!Elimizden geleni[ByDoldis] yaptıktan sonra son çare olarak başkalarından yardım istiyoruz.Md5'i bulur bulmaz önümüz gelen herkese abi şunu kırıver abi bunu buluver demeye başlamıyoruz. Önce kendimiz bi cebelleşiyoruz, ardından yardım istiyoruz.Yine bir sonuç alamamışsak vazgeçmek herkese mantıklı gelecektir.Vazgeçiyoruz ama hakkını vererek vazgeçiyoruz. Olmadı ya bu siteyi hacklemek çok zormuş demiyoruz.Site gerçekten sağlammış denemediğim yöntem kalmadı adamlar taş gibi site yapmış diyebiliyorsan vazgeçmeyi haketmiş ve
mantıklı görünen yolu seçmiş oluruyosun.



Son olarak Hz.Mevlana'nın çok sevidiğim, konumuzla alakalı bir sözünü paylaşmak istedim.

“Asla ümidini kaybetme.Belki de elindeki son anahtar kilidi açacaktır.” Hz.Mevlana



Dipnot: Bu yazımı 1.Maddenin gelişmiş hali olarak düşünebilirsiniz.Fırsat buldukça diğer maddeleride elimden geldiğince anlatmaya çalışacağım.
Videolu anlatımlar,hedef site üzerinde uygulamalı anlatımlar, materyal paylaşımıda yapmayı düşünüyorum.
Konuyu daha yararlı hale getirmek için düşünlerinizi paylaşırsanız sevinirim.

Dipnot2: Bir sayısalcı olarak makele yazmak zor bir iş benim için.Hatalarım varsa mazur görün.


Copyright ByDoldis



************************************************** ************



Ayrıntılı Anlatımlar 2: Mass Deface



Bu yazımda basit ama etkili bir yöntem olan mass deface konusunu inceliyoruz.Öncelikle mass deface kendi başına bir hack yöntemi değildir.Mass deface pratik olmamızı sağlar.Bu yöntem shell attığımız herhangi bir site üzerinde bulunan ve yazma izni olan sitelere yeni dosya oluşturma mantığı ile index kodlarımızı atmamızı sağlayan bir yöntemdir.Bu yöntemde olmazsa olmaz kural yazma iznidir.Eğer yazma izni yok ise bu yöntemi kullanamayız.Bir diğer kural ise mod_security güvenlik yazılımdır.Site mod_security verirse bu yöntemi yine kullanamayız.Fakat mod_security bypass yöntemleri ile bu güvenliği aşmakta mümkündür.Bkz.(.htaccess editleyerek mod_security bypass).Bunun gibi değişik yöntemler ile mod_security bypass ederek siteye mass deface uygulayabiliriz.

Mass deface ile anasayfaya index atmak mümkün.Farklı sayfalara index kodlarımızı atabildiğimiz gibi sitelerin anasayfasını editlemekte mümkün.Bunu için index.php,default.asp gibi sitenin anasayfa uzantısını file name bölümüne yazmamız yeterlidir.

Mass deface için, injector ve 3spi0n en çok kullanılan shellerdir.Bu yöntem site üzerinde bulunan sitelere index attığı gibi yine site üzerinde bulunan ve yazma izni olan subdomainlere de index atabilir.

Notlar: Diğer yöntemleri de zaman buldukça ayrıntılı olarak anlatmaya devam edicem.
Videoda ve konu anlatımda kullanıdığım shelleri konumda paylaşmıyorum.Kendiniz arayıp kolayca bulabilirsiniz.
Materyallari hazır sunmak istemiyorum.Eğer bişeyler yapmak istiyorsanız biraz araştırma yapmak sizin yararınıza olacaktır.
2.Ayrıntılı anlatımı okuduğunuz için teşekkürler ve iyi çalışmalar.

Copyright ByDoldis






************************************************** *******************************




Ayrıntılı Anlatımlar 3 : Mass Defacer Yöntemi



(720p Önerilir)



Defacer Shell İndirmek İçin Tıklayın
(Shell Logsuzdur Fakat Mesuliyet Kabul Etmiyorum.)


Bu bölümde mass deface tekniğinin faklı bir yöntemini göstermeye çalıştım.

Öncelikle bu yöntemi uygulayabilmek için defacer shelle ihtiyacımız olacak.Webroot shellin special edit sürümünde de mass özellği mevcuttur.Herhangi birini kullanabilirsiniz.

Mass deface yapabilmek için olmazsa olmaz kural named.conf ve passwd dosyalarının okunabilir olmasıdır.Bu iki dosyanında okunabildiği durumlarda mass deface etkili bir yöntem olabilir.Shellin kullanımı videoda anlatmaya çalıştım o yüzden yazımda
tekrar değinmeyeceğim.Config çektikten sonra hiçbir site çıkmadığı durumlarda bile mass defacer yöntemi işe yarayabilir.Girdiğiniz sistemlerde mass defacer yöntemini uygulamayı gözardı etmeyin.

Videoyu izleyin, uygulama yapmaya çalışın.Herhangi bir sorununuz olduğu zaman konu altından sorabilirsiniz.
İyi çalışmalar.


Copyright ByDoldis

Kullanıcı İmzası

Ben geleceği düşünüyorum ve süprizleri hiç sevmem.
Konu Black Turtle tarafından (28-01-2019 14:04 Saat 14:04 ) değiştirilmiştir.
Like A G6, mokankagan, mahmutarici, DeneyimsizDenek, GhostLeader, macgyver, Rival, WhooLe, Oğuz~#>, 'Black-Dios, furkan259, CaDaBRa, Moyré, HackerEmin12, Gr££D, 'BozKurt, NegativeBoy, Kloasy, 'Black-Ghost, VATAN22, strkaos, karamaske11, Altıok, negative0000, black real, The Clash, [NEO], JackSprow, Black Power, omrumuzrap, mhhck, FuRKaN KinG, abrakadabra, Mercames, Dexterli, virus46, co admir, Komega, ask ve gurur, Deathangel01, zeushkmt, batuhan0088, feyzullahxlo, freealper36, HeNKeR, By-JonJonX, emrah55, DaRKLoRDCM, TAYLAN13, AviReaL, tgrl5000, K37 King, StJoUsAmA, USTABARBAROS, maxvolume1, Denemecibaba, oleeeeeey, Synbars, DataProtector, Hakim Bey, tolqayucel, COP COP 2011, xsinan123x, yangs, anonim222, mutaba123, M3T4, JackSwift, mltnlck, sicillihacker, TerkosLu, gokmen202, xSympatic, Shackover, SCORPİON*, muki1580, Pirschu, quespy, agem, Letitbe, 44MLT44, omer4287, Shadow Hunter, umutlik, 'DECCAL, Anypomonos, CruiserVaqabond, ahmetqqqq, TheHacker45, 'Black-ProFix, Kurt4310, asicorumlu, 'CaptainKanka, Captain MacTavish, StarGamer57, DarkmeteR, 'RuLing, Elmar2001, xxxHamsterBoldxxx, ErtanHacker, NetLuis, Azurianlight, Copenhag, mandal3552, Cave-Man, PlayStatione, exlord06, droppod, SoNS@MuR@Y, T3RMiN4TOR, 'Süvari, Wep, asmahot333, filozofkopat, PleaseAttackMeTR, AyberkTG, ByLordG, DarkCasteil, byislam, mervansahin, HAML3T, Kenawors, 61hack, Lejyonn, Hck3r, MENTAL ATTACK, zekibb18, KORSAN HACK, SpaceTR, TheREDKIT, BarlasX, 'DilsizCellat, jakoba99, Fesaye, KVACI, HackeRLorD29, Cutekatil, kadirnergiz03, TR Clay, ShuJaira, sleeplexs, kiyak, Hierro, dostayewski, abadan, DemonDamage, stallking46, crazy to man, 35Sinan35, dodojke and 172 others Teşekkür etti.

29-01-2014 02:39
#2
strkaos - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2013
Nereden:
C:\Windows\
Mesajlar:
2.922
Teşekkür (Etti):
565
Teşekkür (Aldı):
724
Konular:
118
Ticaret:
(0) %
kardeşim tanımamak mı forumda konu açsınlar en cok site hackleyen uye kim diye başta sen sonra scrabble kardeşimiz war
Kullanıcı İmzası
Strkaos [T]ürk [H]ack [T]eam
===>>> Bugüne Kadar Açtığım Tüm Yararlı Konular(Buyrun) <<<===
===>>> Günün sözü(Kop Gel) <<<===
29-01-2014 03:17
#3
Üyelik tarihi:
07/2013
Nereden:
KKTC
Mesajlar:
325
Teşekkür (Etti):
99
Teşekkür (Aldı):
70
Konular:
43
Ticaret:
(0) %
Yönlendirme çok güzel, yararlı paylaşım...
Kullanıcı İmzası
Hacktivist

THT'ye geri dönüş!

ONLINE
Beklentiler sadece üzer.
azer07 Teşekkür etti.
29-01-2014 03:33
#4
DeneyimsizDenek - ait Kullanıcı Resmi (Avatar)
İstihbarat Ekibi Co-Admin
Üyelik tarihi:
02/2011
Nereden:
Gökyüzü
Yaş:
29
Mesajlar:
12.125
Teşekkür (Etti):
2187
Teşekkür (Aldı):
8444
Konular:
2306
Ticaret:
(0) %
Seni sevmeyen ölsün
Burada yapmayı bildiğim halde yapmadığım bazı şeyleri farkettim.Bir deneyelim bakalım.Alt+F4 derken tam benden bahsetmişsin Gece gece uğraşıp yazmışsın.Bunları internette detaylı araştıracağım.Takıdlığım yerde sendeyim.

//Deface Ekibinin shadow-mavi si geldi bee heyt

Çok yağ çektim gece gece.Kısa ve güzel bir makale olmuş.
Kullanıcı İmzası

ATATÜRK'LE KALIN...

CUMHURİYETLE KALIN...
SAĞLICAKLA KALIN...



BLOGUMA GİTMEK İÇİN TIKLA!
info@caglar-celik.com
Twitter : @ddenekk


ByDoldis, azer07, CAKE5841, mdm456244, Sqrush Teşekkür etti.
29-01-2014 04:12
#5
'Victory - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2013
Nereden:
MetropoL
Mesajlar:
1.072
Teşekkür (Etti):
336
Teşekkür (Aldı):
204
Konular:
182
Ticaret:
(0) %
Dostum Gayet İyisin Bu İşte Dikkatimi Çeken Sen Nankör Deilsin Bizle Yöntem Vs Paylaşıyorsun Teşekkürler Kardeşm
Kullanıcı İmzası
Detaylara Önem Ver Hayat Bir Tasarımdır
-Deviantart
ByDoldis, azer07, spulaction Teşekkür etti.
29-01-2014 12:35
#6
figuran - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2013
Mesajlar:
178
Teşekkür (Etti):
15
Teşekkür (Aldı):
17
Konular:
24
Ticaret:
(0) %
Çok saol makaleyi kaydettim yeni başlayan ve site defaced etmek isteyenler için güzel
azer07 Teşekkür etti.
29-01-2014 12:41
#7
co admir - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2013
Mesajlar:
1.872
Teşekkür (Etti):
468
Teşekkür (Aldı):
718
Konular:
473
Ticaret:
(0) %
Defacer Seti yaparsın yakında
azer07 Teşekkür etti.
29-01-2014 12:50
#8
macgyver - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2012
Mesajlar:
2.866
Teşekkür (Etti):
249
Teşekkür (Aldı):
435
Konular:
92
Ticaret:
(0) %
Dostum sen işinin hakkını verenlerdensin bazıları bir yorum atmaya üşenirken sen bizim için bi makale yazıyorsun genelde makale okumaktan nefret ederim ama bu makalede sıkılmadım ellerin dert görmesin dostum
Kullanıcı İmzası
Ben iyi bir adam olamadım ama kimsenin de adamı olmadım!
azer07, TheR3D Teşekkür etti.
29-01-2014 12:53
#9
Rival - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
10/2013
Mesajlar:
7.307
Teşekkür (Etti):
743
Teşekkür (Aldı):
1071
Konular:
2439
Ticaret:
(0) %
Eline Sağlık Tam bir yol gösterici bir makale olmuş
Kullanıcı İmzası
azer07, HACKERTHT Teşekkür etti.
29-01-2014 13:24
#10
Üyelik tarihi:
04/2013
Mesajlar:
2.326
Teşekkür (Etti):
598
Teşekkür (Aldı):
667
Konular:
247
Ticaret:
(0) %
Makaleci arkadaşlarla çalışırsan ortaya inanılmaz şeyler çıkar,aslında ben görevde olsam direk bu tür bi fikirle sana gelirdim ama ellerine sağlık
azer07 Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı