- 18 Tem 2016
- 4,267
- 1,000
Merhabalar değerli TurkHackTeam üyeleri. Bu günkü konumuzda "Exploit Nedir?, Exploit Çeşitleri Nelerdir?"'e değineceğiz.
Exploit Nedir?
Exploit, kelime anlamı olarak faydalanmak anlamına gelmektedir. Dijital ortamda ise exploit bir kod hatasından faydalanarak planda olmayan bir hata oluşturmak için oluşturulan kod parçasıdır. Örnek vermek gerekiyorsa bir sistemin içerisinde bulunan bir kod yüzünden o sisteme zarar vermeye dayalı olan bir kod gibi düşünelim. Bu sisteme giriş yapmamıza yarayabilir, ekstradan kullanıcı açmamıza yarayabilir bir çok amacı olabilir. Tabi bu exploit'in bir çok çeşidi bulunmaktadır.
Exploit Çeşitleri
Local Exploits
Remote Exploits
Dos-Exploits
Command-Execution-Exploits
SQL-Injection-Exploits
Zero-Day-Exploits
6 adet temel exploit çeşidi bulunmaktadır. Şimdi sırasıyla bu exploit çeşitlerine bakalım.
Exploit Nedir?
Exploit, kelime anlamı olarak faydalanmak anlamına gelmektedir. Dijital ortamda ise exploit bir kod hatasından faydalanarak planda olmayan bir hata oluşturmak için oluşturulan kod parçasıdır. Örnek vermek gerekiyorsa bir sistemin içerisinde bulunan bir kod yüzünden o sisteme zarar vermeye dayalı olan bir kod gibi düşünelim. Bu sisteme giriş yapmamıza yarayabilir, ekstradan kullanıcı açmamıza yarayabilir bir çok amacı olabilir. Tabi bu exploit'in bir çok çeşidi bulunmaktadır.
Exploit Çeşitleri
Local Exploits
Remote Exploits
Dos-Exploits
Command-Execution-Exploits
SQL-Injection-Exploits
Zero-Day-Exploits
6 adet temel exploit çeşidi bulunmaktadır. Şimdi sırasıyla bu exploit çeşitlerine bakalım.
Local Exploits
Local Exploit sisteme bizim istediğimiz bir dosyanın çalışmasıyla vulnerable dediğimiz savunmasız bölgeyi kullanarak bizim istediklerimizi yapar. Örnek olarak sisteme .gif dosyasını sokmamız diyebilirim. Bunun sayesinde biz sistemde yüksek yetkilere sahip oluruz.
Remote Exploits
Remote Exploit, internet üzerinde hali hazırda çalışmakta olan bir sistemde güvenlik açığını kullanarak sisteme erişim sağlamaya denmektedir.
Dos-Exploits
Denial of Service anlamına gelen bu exploit bilinen en eski exploit türüdür. Sisteme yavaşlatır ve durmasına sebebiyet vermektedir. Günümüzde de hayla kullanılmaktadır.
Command-Execution Exploits
Command-Execution Exploit, saldırganın sisteme soktuğu program sayesinde sisteme uygulattığı kodların tamamına denir.
SQL-Injection Exploits
SQL-Injection Exploit, SQL bir database oluşturmamıza yarayan bir şablon dildir. SQL İnjection açığını tetiklediğimizde o sitenin yönetici hesap kayıtlarına ulaşabiliriz. Eğer bütün işlemleri doğru bir şekilde yaparsak ve bir dosyayı yükleyebildiğimiz bir hesaba girersek kendi oluşturmuş olduğumuz shell'i sisteme .php olarak sokabiliriz. Şimdi örnek vererek gideyim. Bir admin panelin'in içerisine girdim ve eronmay.php diye bir shell dosyasını sistemin içerisine yükledim. Şimdi benim bu dosyayı çalıştırmam için bu uzantıya gitmem gerek, eğer gidersem otomatik olarak bu shell çalışır ve ana host'a bağlanmam için bana bir kapı açılmış olur.
Zero-Day Exploits
Zero-Day Exploit, bir exploit açığına pareler zamanda yazılmış bir exploittir. Zaten 0 gün exploit anlamına gelir.