-
1.
+7 -1dünden bu yana 50'ye yakın mesaj aldım. kodlama öğrendikten sonra siteye nasıl sızıcaz? şeklinde. öncelikle en baştaki sorunumuz bu. aceleci davranıyoruz. hemen sonuca gitmek istiyoruz ve birçok iş gibi bu da zütümüzde patlıyor. yazılımda öğrenemiyoruz, hackte savunma sistemide. her neyse gelen mesajlara cevap niteliğinde başlıyorum. iki üç part sürecektir.
öncelikle sitenin hangi dilde yazıldığını bulmalısınız. (php, asp vs) bu çok basit bir işlemdir. genelde httml kısmında .php .asp olarak yazar. ikinci bir işlem olarak kaynak kodları için sitenin scriptini indirmeniz gerekir. bunun için google'dan yararlanabilirsiniz. veya başka yöntemlerle bulabilirsiniz.
uygulamanın kaynak kodlarından yararlanma:
(xss) ve sql enjeksiyonu)
en basit ve en yararlı olan yöntemdir. basit dediğime bakmayın oldukça uğraştırır amk. nedenine gelince bazen bu sistemlerin hangi uygulamaları kullandığını bulmak oldukça zordur ve eğer public bir uygulama değilse örneğin (phpnuke, postnuke gibi) bu yöntemi denemenizi tavsiye etmem.
kaynak kodunu ele geçirdiğiniz uygulamayı önce yerel bir sunucudaki kendi sisteminize bu uygulamayı destekleyen bir sunucu kurmalısınız (php tabanlı uygulamalar için: phptriad, apachetriad gibi sunucu paketleri sizin için idealdir, asp ve frontpage tabanlı sistemler için pws sizler için idealdir ve pws windows ile gelir) bu sunucuyu kurdukdan sonra uygulamayı sunucunuz üzerinde çalıştırın.
sonra birebir bütün heryerini önce kurcalayın ve bir hata ile karşılaştığınızdaki bu uygulamada var olan açığın ilk adımını bulmuşsunuz demekdir ki,
bu hata mesajı bazen debug output olarak karşınıza çıkarsa ve alttaki örnek gibiyse
kod:
you have an error in your sql syntax; check the manual that corresponds to your mysql server version for the right syntax to use near 'or' at line 1
1. satırdaki kodu inceleyin mevcut hatamız sql ile ilgili gördüğünüz gibi burdaki fonksiyonu ve mevcut sql sorgusuna dikkat edin ve neler yapılabileceğinizi deneyin.
edit: bazı kodlar yazmaya çalıştım örneklerle açıklamaya çalıştım fakat sözlük tabanı izin vermedi bunları düzenleyip devam ediyorum. -
2.
+2okumayın sızdım
-
-
1.
0Inceyi gördüm rezimi aldi.
-
1.
-
3.
+1bazen hata mesajı almasanızda bir tuhaflık gözünüze çarpar örneğin uygulamamıza yerel sunucumuzdan şöyle eriştiğimizi varsayalım;
eğer read.php bize normalde mesaj yazması gereken yerde hiç birşey göstermediyse.
read.php dosyasını bir metin düzenleyicisi yardımıyla örnek: notepad açın, sonra tek tek bütün kodları inceleyin özellikle read.php'nin sunucudan "get" yöntemi ile gelen sorgulara hangi fonksiyon ile nasıl yanıt verdiğine bakmalısınız. eğer fonksiyonda bir terslik gözünüze çarpar ise örnek bir hatalı fonksiyon yazalım.
kod:
buraya örnek bir kodla gösterecektim fakat inci sözlük veritabanı hiçbir şekilde kod kabul etmiyor. kod yazdığımızda entry yollayamıyoruz.
tam olarak düzenli yazılmamış bir sql sorgusu bu sorguya get yöntemi ile gelen sıp sorgusundaki bir dikkatsizlik sayesinde çok kolay bir şekilde sql sorgusu enjekte edebiliriz.
hatta uzaktan kod çalıştırma dahi yapabiliriz beyler.
uygulamaları yazan kişiler genelde print (yazdırma) ve view (görüntüleme) sistemlerine ne yazikki dizayndan başka bir önem vermezler ve genelde bütün açıklar bu sayfalarda çıkar.
eğer uygulamanın kaynak kodlarına erişemezseniz, mevcut uygulamaya ulaştığınız web sunucusundan en yukarda bahsettiğim metodları kullanarak az kafasını kurcalamaya çalışarak bir çok açık bulabilirsiniz.
genelde büyük ve özel sunuculardaki açıklar böyle bulunmuştur. bir çok büyük firmanın sistemine girdiğimde bu tarz açıklar bulmuştum.
çerezlerle oynamak:
çerezler aslında http requestte cookie: headerıyla sunucuya yolladığımız ve sistemin bizi kolayca hatırlamasını sağlayan değerler.Bu değerlerle ufak oynamalar yaparak kendimizi sistem adminiymiş gibi gösterebiliriz
burada yapmamız gerekenler, serverde geçiş varsa geçiş yapmak, yoksa serveri rootlamak.
işte bu yüzden, size kod bilgisi öğrenin diyorum. kod öğrenin, site yazın üstünde çalışın. herşeye aşina olun. ve yine söylüyorum hack işlerine bulaşmayın. daha legal olan bir şekilde kod açıklarını bulduğunuz yerleri ilgili sitelere bildirin.
kalın sağlıcakla. -
4.
0Rezerved
-
5.
0Kalktı .
-
6.
0Herkes heçkır ben mi değilim bi tek amk
-
7.
0Memen güzelmiş kardeş bi fırt alıyorum müsadenle
-
8.
0Yaşasın sızcaz
-
9.
0Tutacak rez
-
10.
0Heçkır mı
-
11.
0tak tutar amk bu saatte
-
12.
0Yerlesiyim. Bu arada Her Kod Yazan Hacker Oluyor XD
-
13.
0Who am I 5 kere izledim bende heykırım
-
-
1.
0Tamam kardesim
-
1.
-
14.
0Tutar bu
-
15.
0Rezerved
-
kayra üye alımının açılmasını bekliyor capsli
-
gelecekteki karınızı şu an biri gibiyor dendiğinde
-
beyler adam delikanlı
-
31sporkulubu senin ben
-
mottogirl en son puberteyle böyle konuşanın
-
560 sen yine de evliliğe kapıları kapatma
-
bakircan sen
-
sonu mutlu masaja gideceğime muşlu masaja gitmişim
-
la serkan bizi unuttun
-
aga neden komunizm istemiyosunuz
-
bakir değilim ananla münasebetim olmuştu
-
cikarilmak istenen alevi sunni kavgasi
-
hayatım karardı amq
-
yav sokacam senin faiz gelirine
-
türklere sokağa çıkmak yasak yabancılara serbest
-
insanlar iki yerde eşittir
-
lan bugün 55 online vardı
-
ırkçılık insanlık suçudur altincisi kaldırılsın
-
polat alemdari dövebilecek tek kişi capsli
-
560 bin gibi başlık açıyorum
-
hani asalayi bitirmistin memduh basgan
-
hz aliyi öldürenler hariciler olmasına rağmen
-
sabrina karpenter gibi
-
mkultravictim31 ne haber dost
-
telefonda f5 atmaya ne diyorsunuz
-
isteyip sevgili yapamiyonuz mu la
-
birader sokacam sizin baba travmanıza
-
30 yaşında kimin kingsize yatağı var
-
dogalgaz faturam 10 245 tl gelmis
-
pazar gününü millet ailesiyle geçirir
- / 2