güzel konu eline emeğine sağlık
Merhabalar bugün No Redirect ile nasıl site hackleriz ondan bahsedicem,
Lafı uzatmadan geçelim.
No Redireckt açığına temel bir login bypass açığı diyebiliriz. Admin panelde kullanıcı adı ve şifre girmeden siteye sızmamıza yarar bu açık, bu açığıda hackbar üzerinden sömürecez, Hadi geçelim
İlk olarak hedef bir site bulmamız lazım, hedef siteyi bulmak için google dork kullanabilirsiniz veya
kendiniz hedef sitesi bulup onda deneyebilirsiniz. Açığı iki farklı türde iki farklı sitede sömürecez
ben siteleri önceden buldum.
Evet site bu şekilde ve admin paneli login kısmındayız
şimdi bizim url'miz
"//admin.lyncpix.com/admin/login.php"
şeklinde ve şimdi bu url' yi tamamen hepsini kopyalayıp şu adımları yapacaz.
Hackbar'a geldik tools dedik (1), no redirect kısmına bastık (2)
add dedik (3), sitenin admin panel url'sini koyduk (4), ok dedik (5)
burdaki işlemler bu kadar geriye kalan son adım da ise hani url şu şekildeydi ya
"//admin.lyncpix.com/admin/login.php" biz no redirect kısmındaki işlemleri yapıp
en son ok dedikten sonra burdaki login.php kısmını, index.php veya dashboard.php olarak değiştirecez
ve enterlıcaz siteye sızarsa sızmış olacaz.
ve görüldüğü üzere index.php yaptığımda siteye girmiş bulunmaktayız, burdan sonrası size kalmış
gelelim ikinci türe;
Evet siteyi buldum ve admin sayfasını kontrol etmek için admin.php denedim
ve beni login.php' ye yönlendirdi, açıkta burda devreye giriyor.
bu sefer hackbarda aynı şeyi yapacaz ve no redirect kısmında add dediğimiz
ve url eklediğimiz kısma admin.php değil bizi yönlendirdiği url'yi yani login.php'yi
ekliyecez ve enterlıcaz bakalım girecek mi.
ve gördüğünüz gibi girişi sağladık url'de login.php'den admin.php'ye döndü
umarım anlaşılır ve yararlı olur okuyan herkese.
Teşekkürler.