Arkadaşlar Bir Site var. Ve O Siteye Giriş Yapan Kullanıcıların Password Name Gibi vb. bilgilerine Ulaşmak İstiyorum. Bu Nasıl Olur??? Başından Sonuna Kadar Anlatırmısınız Lütfen
Reis ya
Web Site Nasıl Hacklenir ? Bir Saldırı SenaryosuBir saldırı , hack yapmamız için öncelikle bir Amacımızın olması lazım neden hackliyecez veya hackelemeyi neden istiyoruz ?
Neden bu site ve neden ben ?
Amacımız doğrultusunda belirli sitemizi öncelikle gözden geçirmemiz lazım.
Hacklemek için değilde normal gezinti , kullanıcı olarak keşif yapmamız lazım .
Bu site nasıl işliyor kullanıcıları var mı gerçekten hacklersek iyi birşey yapmış olacak mıyız ?
Duyulacak mı ?
Site sahipleri tepkimizi anlayacak mı ?
Bunlara cevap verebildikten sonra sitemize saldırı gözüyle bakalım
Whois bilgilerini kontrol edelim araştıralım.
Sitemiz neyle kodlanmış ?
-Html ,asp veya php .
Açık türleri nelerdir nelerle test edebiliriz ?
Bu açıkları nasıl kullanabiliriz ?
Sitemizi çeşitli Application Vulnerability programları ile taratalım.
Acunetix,Netsparker,Vega,Uniscan,Eebsecurify vs. vs.
(Bu senaryoyu okuyan değerli Cyber-Warrior Üyeleri Gerekli Araştırmayı Yaptıktan Sonra zaten bu programları kullanmayı bileceklerdir.)
Eveet taramalarımızı yaptık !
Sonuç ?
Ne SQL ne XSS ne LFI ne RFI ne RTE vs. Açık bulunamadı.
Kullandığı WordPress, Joomla gibi kullanılan yönetim araçlarının eklenti exploitlerini araştıracağız.
Sonuç ?
Yine yok
Pes mi edeceğiz ?
Tabi ki de hayır. Peki başka neler yapabiliriz ?
Nasıl bir yol izlemeliyiz ?
Whois bilgilerine geri dönelim hemen.
Domain ve hostingi nereden almış ? Hangi mail ile almış adı soyadı vs vs işimize yarayacak bilgileri alıyoruz .
Sıradaki işlemimiz MAIL .
Mail hesabını kontrol ediyoruz olabilecek güvenlik zaafiyetlerini tek tek deniyoruz .
Sosyal Mühendislik ile hedefimizi ele geçirebilir miyiz bu şekilde yapılabilecek bütün yöntemleri deniyoruz
Bundan da sonuç çıkmadı.
Peki ya şimdi ?
Sitenin Sunucusundaki bütün siteleri gözden geçiriyoruz . Serverde olan sitelerin hepsini tarıyoruz kurcalıyoruz ve bir sitede SQL bulduk !
Uğraşıyoruz ediyoruz hertürlü yolu deneyip shellimizi atıyoruz.
Iyi güzel attık atmasına da bizim bu siteyle alıp veremediğimiz yok o yüzden smylink i config çekmeyi uyguluyoruz sunucuyu geçmeye çalışıyoruz.
Beceremedik
Yılmıyoruz denemelere devam ediyoruz ve sonunda !
Configimizi çekiyoruz ve Mysql ile bağlanıyoruz hedef sitemize bağlanıyoruz işte Sitedeyiz !
Olabildiğince sert bir tepki verip zarara yol açacak dosyalarıda ortadan kaldırıp sitemizden çıkıyoruz.
İşte mutlu son işte bize yakışır bir saldırı !
Bu anlattıklarım illaki birgünde olacak diye birşey yok önemli olan amacımıza ulaşılması ve Sabirla işin içinden çıkmamız lazım.
Emek koktu eline klavyene sağlık
Web Site Nasıl Hacklenir ? Bir Saldırı SenaryosuBir saldırı , hack yapmamız için öncelikle bir Amacımızın olması lazım neden hackliyecez veya hackelemeyi neden istiyoruz ?
Neden bu site ve neden ben ?
Amacımız doğrultusunda belirli sitemizi öncelikle gözden geçirmemiz lazım.
Hacklemek için değilde normal gezinti , kullanıcı olarak keşif yapmamız lazım .
Bu site nasıl işliyor kullanıcıları var mı gerçekten hacklersek iyi birşey yapmış olacak mıyız ?
Duyulacak mı ?
Site sahipleri tepkimizi anlayacak mı ?
Bunlara cevap verebildikten sonra sitemize saldırı gözüyle bakalım
Whois bilgilerini kontrol edelim araştıralım.
Sitemiz neyle kodlanmış ?
-Html ,asp veya php .
Açık türleri nelerdir nelerle test edebiliriz ?
Bu açıkları nasıl kullanabiliriz ?
Sitemizi çeşitli Application Vulnerability programları ile taratalım.
Acunetix,Netsparker,Vega,Uniscan,Eebsecurify vs. vs.
(Bu senaryoyu okuyan değerli Cyber-Warrior Üyeleri Gerekli Araştırmayı Yaptıktan Sonra zaten bu programları kullanmayı bileceklerdir.)
Eveet taramalarımızı yaptık !
Sonuç ?
Ne SQL ne XSS ne LFI ne RFI ne RTE vs. Açık bulunamadı.
Kullandığı WordPress, Joomla gibi kullanılan yönetim araçlarının eklenti exploitlerini araştıracağız.
Sonuç ?
Yine yok
Pes mi edeceğiz ?
Tabi ki de hayır. Peki başka neler yapabiliriz ?
Nasıl bir yol izlemeliyiz ?
Whois bilgilerine geri dönelim hemen.
Domain ve hostingi nereden almış ? Hangi mail ile almış adı soyadı vs vs işimize yarayacak bilgileri alıyoruz .
Sıradaki işlemimiz MAIL .
Mail hesabını kontrol ediyoruz olabilecek güvenlik zaafiyetlerini tek tek deniyoruz .
Sosyal Mühendislik ile hedefimizi ele geçirebilir miyiz bu şekilde yapılabilecek bütün yöntemleri deniyoruz
Bundan da sonuç çıkmadı.
Peki ya şimdi ?
Sitenin Sunucusundaki bütün siteleri gözden geçiriyoruz . Serverde olan sitelerin hepsini tarıyoruz kurcalıyoruz ve bir sitede SQL bulduk !
Uğraşıyoruz ediyoruz hertürlü yolu deneyip shellimizi atıyoruz.
Iyi güzel attık atmasına da bizim bu siteyle alıp veremediğimiz yok o yüzden smylink i config çekmeyi uyguluyoruz sunucuyu geçmeye çalışıyoruz.
Beceremedik
Yılmıyoruz denemelere devam ediyoruz ve sonunda !
Configimizi çekiyoruz ve Mysql ile bağlanıyoruz hedef sitemize bağlanıyoruz işte Sitedeyiz !
Olabildiğince sert bir tepki verip zarara yol açacak dosyalarıda ortadan kaldırıp sitemizden çıkıyoruz.
İşte mutlu son işte bize yakışır bir saldırı !
Bu anlattıklarım illaki birgünde olacak diye birşey yok önemli olan amacımıza ulaşılması ve Sabirla işin içinden çıkmamız lazım.
Merhaba değerli üye :Arkadaşlar Bir Site var. Ve O Siteye Giriş Yapan Kullanıcıların Password Name Gibi vb. bilgilerine Ulaşmak İstiyorum. Bu Nasıl Olur??? Başından Sonuna Kadar Anlatırmısınız Lütfen
siteyi atda bakalım birArkadaşlar Bir Site var. Ve O Siteye Giriş Yapan Kullanıcıların Password Name Gibi vb. bilgilerine Ulaşmak İstiyorum. Bu Nasıl Olur??? Başından Sonuna Kadar Anlatırmısınız Lütfen
ya kardeşim sql bizde biliyoruz ama detaylı anlatım istiyorumMerhaba değerli üye :
Siteyi baya bir incele sql açığı varmı diye bak eğer SQL açığı var ise yapabilirsin.
Umarım yardımcı olmuşumdur iyi forumlar
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.