slm tht ailesi site hacklemek için ne yapabilirim yardımcı olur musunuz?
Hedef Sitenizi Belirleyin
Şimdi 4 Tane Sormamız Gereken Soru Vardır;
İlk Sorumuz Hedef Sitenin Scripti Hangi Dil ile Yazılmış ?
Html ile oluşturulmuşsa açık olma ihtimali Php ve asp ye oranla çok Daha Düşüktür.
Hedef Sitemizin php ile Yazıldığını Farzedelim.
Eğer Script php ile Yazılmış ise %80 SQL Açığı Mevcuttur.
Kategoriler Arasında Gezmeye Başlayalım Eğer Sitemiz hedefsite.com/konu.php?id=12 Gibi Biçimde ise Linkin Sonuna 'a Ekliyoruz ve Enter ile giriyoruz
Eğer Websitesi MySql Hatası Verdi İse SQL Açığı Mevcuttur Diyebiliriz.
Sql Açığı Mevcut ise : jSQL Java Sql İnjection Programı / Havij Benzeri Program
Konumdaki Programı Kullanarak Admin ID - Şifre , Admin Paneli Öğrenebilirsiniz.
Tabi Mysql Hatası Vermeyebilir de SQL açığı Mevcut Değil ise Diğer Sorumuzu Sorarak Devam Edelim.
Hedef Site Hangi Scripti ve Scriptin Hangi Sürümünü Kullanıyor ?
Mesela Benim Hedef Sitem Mybb 1.6.12 Kullanıyor
Yapmam Gereken Daha Önce Scriptin İnceleyip Açık Bulan Kişi Olmuş mu Araştırmak Bunun için SCRİPT + SÜRÜM + EXPLOİT yazıp Google 'da Arıyorum.
Mybb 1.6 Exploit
Ben Arama Sonucunda SQL ve XSS açıklarının Mevcut Olduğunu Öğrendim Bu Açıkları Kullanabilirim.
Peki Exploit 'te Bulamadım Şimdi Ne Yapacağım Pes Mi Edeceğim ?
Kesinlikle Hayır !
Sitede Kullanılan Script'te Üye Olmak İçin Panel Mevcut ise Üye Olurum
Üye Panelimde Profil Resmi Upload Edebilmem İçin Yer Mevcut ise Shell Upload Etmeye Çalışırım
Bundanda Bir Sonuç Alamadıysam
Server 'da Başka Hangi Siteler Var ?
Reserve IP Lookup İle Sitenin Bulunduğu Serverdaki Diğer Sitelerde Aynı İşlemleri Uygulayarak Server'a Shell Sokmaya Çalışırım Eğer Serverdaki Herhangi Bir Siteye Shell Upload Edebilirsem Serverda Root olup
Hedef Siteme Ulaşabilirim
Web ve Server Güvenliği Kategorimizde her şey mevcut.Fakat temel bir yol çizmek gerekirse, Brute Force
yöntemi kulanabilirsiniz.En basit yoldur.
Bunları geçtiğinizi düşünüyorsanız SQL açıklarıyla devam edebilirsiniz.
Bunun için size iki temel önerim olacak.Üzerlerine tıklayarak daha geniş anlatımlara ulaşabilirsiniz.
1-) SQLMAP
2-) Havij
Fakat yukarıdakileri uygulamadan önce SQL açığı olma ihtimali olan siteleri taratmalısınız bunun için de iki yol var.
1-) Acunetix
2-) Safe
Merhaba,
bir çok yolu var ancak kesin bir yöntem bulunmamakta. Bunlardan en kolayı paneli ele geçirmek. Paneli ele geçirebilmek için de bir çok yol var. En çok bilinen 2 yöntem Brute-Force ve SQL injection. Brute-Force ile pek sonuç alabileceğini sanmıyorum çünkü bu genelde hedef site üzerinde denenmez. Hedef site için SQL Injection deneyebilirsin fakat ne yazık ki artık o da yavaş yavaş işlevini yitiriyor yazılımcılar bilinçleniyor. Bunların dışında sosyal mühendislik bulunmakta. Admin yetkisine sahip birisinden SM ile bilgileri alabilirsin.
Havij kullanması kendisini belli bir yere hapseder ve kendisini geliştiremez.
Havij ile site hackleyen bi zahmet site hackledim demesin.
Bir de safe 3 her zaman doğrusunu vermiyor.
Açık olmadığı halde açık varmış gibi gösteriyor.
Düzeltmek istedim.
Bir çok yolu var,
Çeşitli açıklar ile (SQL, XSS, vb.) açıkları Linux üzerinde çeşitli araçlar kullanarak yapabilirsin.
Manuel olarak açık aramayı öğrenirsen daha kolay olacaktır senin için.
Web programla üzerine kendini geliştirirsen sana web site hacklemede çok kolaylık Sunacaktır.
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.