Sızma Testleri SQL Açıklı Site Hackleme

OBT is HeRYerDe

OBT is HeRYerDe

Kıdemli Üye
11 Ara 2020
2,677
9
1,533
Hepinize Merhaba Değerli THT Üyeleri, Bir Konu Hakkında
Sizlere Danışmak İstedim. 'sqlmap' ile Hedef Sitelerin Veritabanına Sızıyorum Gerekli Bilgileri Alıyorum vs. Fakat Bir Türlü Admin Panelini Bulamıyorum. Bu Nedenle Öncelikle Admin Panelini Bulabildiğim Sitelere Sızmayı Deniyorum Fakat Bu Sefer De Veritabanına Sızma İşlemini Gerçekleştiremeyip THT Mührü Vuramıyorum, Sizce
Ne Yapmalıyım?
 
Tarihe göre sırala Oylara göre sırala
RasperPascal

RasperPascal

Katılımcı Üye
19 May 2020
445
4
290
Atatürk'ün İzinde
Merhaba Değerli Üye ;


GOOGLEYE GELİYORUZ VE AŞAĞIDAKİ DORKLARDAN BİRİNİ YAPIŞTIRIYORUZ

php?id=1
php?id=2
inurl:"/php?id="



Ygl1rl.png


DAHA SONRA BİRİNE GİRİYORUZ.


NZ4yEO.png




BAZI SİTELERDE SQL AÇIĞI OLMAYA BİLİR. BUNU ANLAMAK İÇİN LİNKİN SONUNA KISALTMA İŞARETİ YANİ (') EKLİYORUZ VE ENTER'A BASIYORUZ.


y0lyEj.png



BÖYLE VE BUNUN GİBİ SQL HATASI VERİRSE SQL AÇIĞI VARDIR. EĞER VERMEZSE VEYA SİTENİN KENDİSİ HATA VERİRSE YOKTUR.

DAHA SONRA "HAVİJ 1.16" PROGRAMIMIZI AÇIYORUZ.

HAVİJ 1.16 PRO İNDİRME LİNKİ:

HAVİJ 1.16 VİRÜS TARAMASI SONUCU:

PROGRAMI AÇINCA BUNUNLA KARŞILAŞIYORUZ.


Mdyz8k.png



TARGET KISMINA SİTENİN TAM LİNKİNİ YAPIŞTIRIYORUZ. (SQL HATASI VEREN SAYFANIN LİNKİ DEĞİL.)


4akdnY.png



JQ45GE.png



TARGET KISMINA YAPIŞTIRDIKTAN SONRA "Analyze" BUTONUNA BASARAK BAŞLATIYORUZ VE BEKLİYORUZ.
BİTİNCE DURUYOR..


PloRbQ.png



"Tables" KISMI AÇILIYOR VE GİRİYORUZ.
NOT: HER SİTEDE OLACAK DİYE BİŞEY YOK!!


m2zVm1.png



DAHA SONRA "Get Tables" BÖLÜMÜNE BASARAK TABLOLARI ÇEKİYORUZ.



vjL0k4.png



GELEN KUTUCUKLARDAN ADMİNLİ, USERLİ VEYA BENZERİ İSİMLERLE KARŞILAŞIRSANIZ KUTUCUĞU DOLDURUN VE "Get Columns"a BASIN.

BEN "Admin_user" KUTUCUĞUNU DOLDURDUM VE "Get Columns"a BASTIM VE ONUN ALTINA YENİ KUTUCUKLAR EKLENDİ!


y0R8nN.png



ADMİN PASSWORD VE USER NAME'YE BENZEYEN 2 KUTUCUĞU DOLDURUN.

BEN "Admin_user_name" VE "Admin_pass"ı SEÇTİM


rORBRz.png



KUTUCUKLARI DOLDURDUKTAN SONRA "Get Data" BUTONUNA BASARAK BULUYORUZ!!


gOyzXL.png



GÖRDÜĞÜNÜZ GİBİ 2 GİRİŞ BİLGİSİNDE ŞİFRE MD5 OLARAK GELDİ PEKİ BUNU NASIL KIRARIZ?;
MD5 KISACA ŞİFRENİN ŞİFRELENMİŞ HALİDİR.

MD5 KIRICI SİTELER;
MD5 Kırıcı
MD5 Kırıcı

BU 2 SİTEDEN BİRİSİNE GİRİN VE MD5'i YAPIŞTIRIN.
ŞİFREYİ KIRARSA ALTTA ÇIKACAKTIR VE O ŞİFRE ASIL ADMİN ŞİFRESİDİR.

DAHA SONRA TEK BİR İŞLEM KALDI ODA ADMİN PANELİNİ KIRMAK!

HAVİJE GERİ DÖNÜYORUZ VE "Find Admin" KISMINA GELİYORUZ.



lO92pQ.png



HAVİJ OTOMATİK OLARAK LİNKİ YAPIŞTIRMIŞTIR VE "Start" BUTONUNA BASARAK ADMİN PANELİNİ BULMAYA BAŞLIYORUZ.


lO92Dg.png


VE LİNKLERİMİZ GELİYOR. :RpS_biggrin:

BURADAN "200 OK" YAZAN YERİN LİNKİNİ ALIYORUZ VE GİRİYORUZ "301 Moved" VEYA "403 Forbidden" ÇIKARSA O PANELLER HATALI/GİRİLEMEZ DEMEK.


Vr657j.png



BUNLARI YAPTIĞIMIZDAN SONRA BULDUĞUMUZ GİRİŞ BİLGİLERİ İLE PANELDEN GEÇİYORUZ, YÖNETİCİ ALANINA GELİYORUZ ORADANDA İNDEXİMİZİ BASIYORUZ VEYA DEĞİŞTİRİYORUZ!!!!

UMARIM YARDIMCI OLABİLMİŞİMDİR!

İyi Forumlar Dilerim.
 
Oyla 0 Downvote
OBT is HeRYerDe

OBT is HeRYerDe

Kıdemli Üye
11 Ara 2020
2,677
9
1,533
RasperPascal' Alıntı:
Merhaba Değerli Üye ;


GOOGLEYE GELİYORUZ VE AŞAĞIDAKİ DORKLARDAN BİRİNİ YAPIŞTIRIYORUZ

php?id=1
php?id=2
inurl:"/php?id="



Ygl1rl.png


DAHA SONRA BİRİNE GİRİYORUZ.


NZ4yEO.png




BAZI SİTELERDE SQL AÇIĞI OLMAYA BİLİR. BUNU ANLAMAK İÇİN LİNKİN SONUNA KISALTMA İŞARETİ YANİ (') EKLİYORUZ VE ENTER'A BASIYORUZ.


y0lyEj.png



BÖYLE VE BUNUN GİBİ SQL HATASI VERİRSE SQL AÇIĞI VARDIR. EĞER VERMEZSE VEYA SİTENİN KENDİSİ HATA VERİRSE YOKTUR.

DAHA SONRA "HAVİJ 1.16" PROGRAMIMIZI AÇIYORUZ.

HAVİJ 1.16 PRO İNDİRME LİNKİ:

HAVİJ 1.16 VİRÜS TARAMASI SONUCU:

PROGRAMI AÇINCA BUNUNLA KARŞILAŞIYORUZ.


Mdyz8k.png



TARGET KISMINA SİTENİN TAM LİNKİNİ YAPIŞTIRIYORUZ. (SQL HATASI VEREN SAYFANIN LİNKİ DEĞİL.)


4akdnY.png



JQ45GE.png



TARGET KISMINA YAPIŞTIRDIKTAN SONRA "Analyze" BUTONUNA BASARAK BAŞLATIYORUZ VE BEKLİYORUZ.
BİTİNCE DURUYOR..


PloRbQ.png



"Tables" KISMI AÇILIYOR VE GİRİYORUZ.
NOT: HER SİTEDE OLACAK DİYE BİŞEY YOK!!


m2zVm1.png



DAHA SONRA "Get Tables" BÖLÜMÜNE BASARAK TABLOLARI ÇEKİYORUZ.



vjL0k4.png



GELEN KUTUCUKLARDAN ADMİNLİ, USERLİ VEYA BENZERİ İSİMLERLE KARŞILAŞIRSANIZ KUTUCUĞU DOLDURUN VE "Get Columns"a BASIN.

BEN "Admin_user" KUTUCUĞUNU DOLDURDUM VE "Get Columns"a BASTIM VE ONUN ALTINA YENİ KUTUCUKLAR EKLENDİ!


y0R8nN.png



ADMİN PASSWORD VE USER NAME'YE BENZEYEN 2 KUTUCUĞU DOLDURUN.

BEN "Admin_user_name" VE "Admin_pass"ı SEÇTİM


rORBRz.png



KUTUCUKLARI DOLDURDUKTAN SONRA "Get Data" BUTONUNA BASARAK BULUYORUZ!!


gOyzXL.png



GÖRDÜĞÜNÜZ GİBİ 2 GİRİŞ BİLGİSİNDE ŞİFRE MD5 OLARAK GELDİ PEKİ BUNU NASIL KIRARIZ?;
MD5 KISACA ŞİFRENİN ŞİFRELENMİŞ HALİDİR.

MD5 KIRICI SİTELER;
MD5 Kırıcı
MD5 Kırıcı

BU 2 SİTEDEN BİRİSİNE GİRİN VE MD5'i YAPIŞTIRIN.
ŞİFREYİ KIRARSA ALTTA ÇIKACAKTIR VE O ŞİFRE ASIL ADMİN ŞİFRESİDİR.

DAHA SONRA TEK BİR İŞLEM KALDI ODA ADMİN PANELİNİ KIRMAK!

HAVİJE GERİ DÖNÜYORUZ VE "Find Admin" KISMINA GELİYORUZ.



lO92pQ.png



HAVİJ OTOMATİK OLARAK LİNKİ YAPIŞTIRMIŞTIR VE "Start" BUTONUNA BASARAK ADMİN PANELİNİ BULMAYA BAŞLIYORUZ.


lO92Dg.png


VE LİNKLERİMİZ GELİYOR. :RpS_biggrin:

BURADAN "200 OK" YAZAN YERİN LİNKİNİ ALIYORUZ VE GİRİYORUZ "301 Moved" VEYA "403 Forbidden" ÇIKARSA O PANELLER HATALI/GİRİLEMEZ DEMEK.


Vr657j.png



BUNLARI YAPTIĞIMIZDAN SONRA BULDUĞUMUZ GİRİŞ BİLGİLERİ İLE PANELDEN GEÇİYORUZ, YÖNETİCİ ALANINA GELİYORUZ ORADANDA İNDEXİMİZİ BASIYORUZ VEYA DEĞİŞTİRİYORUZ!!!!

UMARIM YARDIMCI OLABİLMİŞİMDİR!

İyi Forumlar Dilerim.
Genişletmek için tıkla ...

Çok İyi Anlatım Olmuş Hocam, Elinize Emeğinize Sağlık.
 
Oyla 0 Downvote
mykerim

mykerim

Üye
29 Ocak 2012
86
5
Antalya
Güvenlik eklentileri olan wordpress te bu uygulama işe yaramaz demi. Denemediğim şey kalmadı kendi sitemi hackleyemedim Bu işin ehli bi yiğit özel den domain adı verebilirim elinizden geleni ardınıza koymayın :)
 
Oyla 0 Downvote
1wexter1

1wexter1

Katılımcı Üye
24 Eyl 2021
922
10
648
Uzayda1yer
RasperPascal' Alıntı:
Merhaba Değerli Üye ;


GOOGLEYE GELİYORUZ VE AŞAĞIDAKİ DORKLARDAN BİRİNİ YAPIŞTIRIYORUZ

php?id=1
php?id=2
inurl:"/php?id="



Ygl1rl.png


DAHA SONRA BİRİNE GİRİYORUZ.


NZ4yEO.png




BAZI SİTELERDE SQL AÇIĞI OLMAYA BİLİR. BUNU ANLAMAK İÇİN LİNKİN SONUNA KISALTMA İŞARETİ YANİ (') EKLİYORUZ VE ENTER'A BASIYORUZ.


y0lyEj.png



BÖYLE VE BUNUN GİBİ SQL HATASI VERİRSE SQL AÇIĞI VARDIR. EĞER VERMEZSE VEYA SİTENİN KENDİSİ HATA VERİRSE YOKTUR.

DAHA SONRA "HAVİJ 1.16" PROGRAMIMIZI AÇIYORUZ.

HAVİJ 1.16 PRO İNDİRME LİNKİ:

HAVİJ 1.16 VİRÜS TARAMASI SONUCU:

PROGRAMI AÇINCA BUNUNLA KARŞILAŞIYORUZ.


Mdyz8k.png



TARGET KISMINA SİTENİN TAM LİNKİNİ YAPIŞTIRIYORUZ. (SQL HATASI VEREN SAYFANIN LİNKİ DEĞİL.)


4akdnY.png



JQ45GE.png



TARGET KISMINA YAPIŞTIRDIKTAN SONRA "Analyze" BUTONUNA BASARAK BAŞLATIYORUZ VE BEKLİYORUZ.
BİTİNCE DURUYOR..


PloRbQ.png



"Tables" KISMI AÇILIYOR VE GİRİYORUZ.
NOT: HER SİTEDE OLACAK DİYE BİŞEY YOK!!


m2zVm1.png



DAHA SONRA "Get Tables" BÖLÜMÜNE BASARAK TABLOLARI ÇEKİYORUZ.



vjL0k4.png



GELEN KUTUCUKLARDAN ADMİNLİ, USERLİ VEYA BENZERİ İSİMLERLE KARŞILAŞIRSANIZ KUTUCUĞU DOLDURUN VE "Get Columns"a BASIN.

BEN "Admin_user" KUTUCUĞUNU DOLDURDUM VE "Get Columns"a BASTIM VE ONUN ALTINA YENİ KUTUCUKLAR EKLENDİ!


y0R8nN.png



ADMİN PASSWORD VE USER NAME'YE BENZEYEN 2 KUTUCUĞU DOLDURUN.

BEN "Admin_user_name" VE "Admin_pass"ı SEÇTİM


rORBRz.png



KUTUCUKLARI DOLDURDUKTAN SONRA "Get Data" BUTONUNA BASARAK BULUYORUZ!!


gOyzXL.png



GÖRDÜĞÜNÜZ GİBİ 2 GİRİŞ BİLGİSİNDE ŞİFRE MD5 OLARAK GELDİ PEKİ BUNU NASIL KIRARIZ?;
MD5 KISACA ŞİFRENİN ŞİFRELENMİŞ HALİDİR.

MD5 KIRICI SİTELER;
MD5 Kırıcı
MD5 Kırıcı

BU 2 SİTEDEN BİRİSİNE GİRİN VE MD5'i YAPIŞTIRIN.
ŞİFREYİ KIRARSA ALTTA ÇIKACAKTIR VE O ŞİFRE ASIL ADMİN ŞİFRESİDİR.

DAHA SONRA TEK BİR İŞLEM KALDI ODA ADMİN PANELİNİ KIRMAK!

HAVİJE GERİ DÖNÜYORUZ VE "Find Admin" KISMINA GELİYORUZ.



lO92pQ.png



HAVİJ OTOMATİK OLARAK LİNKİ YAPIŞTIRMIŞTIR VE "Start" BUTONUNA BASARAK ADMİN PANELİNİ BULMAYA BAŞLIYORUZ.


lO92Dg.png


VE LİNKLERİMİZ GELİYOR. :RpS_biggrin:

BURADAN "200 OK" YAZAN YERİN LİNKİNİ ALIYORUZ VE GİRİYORUZ "301 Moved" VEYA "403 Forbidden" ÇIKARSA O PANELLER HATALI/GİRİLEMEZ DEMEK.


Vr657j.png



BUNLARI YAPTIĞIMIZDAN SONRA BULDUĞUMUZ GİRİŞ BİLGİLERİ İLE PANELDEN GEÇİYORUZ, YÖNETİCİ ALANINA GELİYORUZ ORADANDA İNDEXİMİZİ BASIYORUZ VEYA DEĞİŞTİRİYORUZ!!!!

UMARIM YARDIMCI OLABİLMİŞİMDİR!

İyi Forumlar Dilerim.
Genişletmek için tıkla ...

Hocam direkt bunun konusu açmalısınız copy-paste yapıp.

Bu sorunu yaşayan birisine daha kolay ulaşmak adına.
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.