1. Ayyıldız Tim forumu Hariç Hiç Bir şekilde Rütbeli Oldugunu İddaa edenlere inanmayınız..⠀ Ayyıldız Tim Adına Sizden Bilgi Belge TC Kimlik Vb Evrak İsteyenlere Asla Bilgilerinizi Vermeyiniz.

1. Düzey Hack Dersleri #3-brute Force Ve Ilgili Hack Terimleri

'Web Hacking ve Güvenlik' forumunda ERVAH-I-EZEL tarafından 11 Mayıs 2017 tarihinde açılan konu

Konu Durumu:
Yanıtlara kapalı.
  1. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,873

    Özel Mesaj
    Selâmün Aleyküm. Hack Derslerinde 3. Bölümdeyiz. Önceki dersimizde hack alanında öğreneceğimiz genel terimlerin neler olduğunu incelemiştik.

    1. Düzey Hack Dersleri #1- Başlangıç
    1. Düzey Hack Dersleri #2- Temel Hack Terimleri

    Bu dersimizden itibaren Web Sitelerinin bilgilerini ele geçirmek için çalışmalar yapacağız. Bu derste "Brute Force" yani deneme yanılma yöntemi üzerinde duracağız.

    Ayrıca bu derste öğreneceğimiz tek şey Brute Force işlemi olmayacak, "TEMEL" dediğimiz bilgilerin gelişmesini de sağlayacak. Bu cümleyi başta ben olmak üzere diğer bilgili devrelerim de sık sık kullanıyorlar. Çünkü gerçekten öyle. Bu derste öğreneceğimiz şeylere göz atalım:

    1- Admin Panelinin Yapısı
    2- Admin Paneli için Kullanıcı Adı ve Parola Listesi (Püf Noktalar)
    3- Dork Nasıl Yazılır? Tam Olarak Ne İçin Kullanılır?
    4- Gerekli Programların Kullanımı


    Gördüğünüz üzere sadece Brute Force için başka neler öğreneceğiz? Umarım demek istediğimi anlamışsınızdır. Şimdi konumuza geçiş yapalım.

    İlk önce önceki derste gördüğümüz Brute Force alanındaki kavramları tekrar hatırlayalım.

    _______________________________________________________________________________________

    Admin Paneli:

    Bir web sitenin yönetim merkezidir. Siteye içerik yükleme, içerik silme, içerik düzenleme gibi ayarların yapıldığı yerdir. Sadece site yöneticisinin giriş yapabilmesi için kullanıcı adı ve şifre ile korunur. Admin paneline ulaşmak için farklı yollar
    vardır. Farklı sitelerin admin panelleri farklı türde olabilir. Bu yüzden bir Brute Force işlemi yaparken admin panelinin bilinmesi gereklidir. Bunu tespit etmek içinse "dork" kullanılır.

    Dork:

    Bazı kalıplaşmış kelime gruplarıdır. Herhangi bir arama motoruna bu kodlar yazıldığında sadece belli özellikteki siteler alınabilir. Dorklar el ile üretilip yazılabilir. İlerleyen derslerde detaylıca öğrenip kullanacağız.

    Wordlist:

    "Kelime Listesi" anlamına gelir. Bir sitedeki yöneticinin kullanıcı adı, şifresi gibi bilgilerini ele geçirmek için tahmin yoluyla listeler tutulur.

    Arama Motoru:

    Bunların bildiğimiz "Google,Yandex" gibi arama motorlarından farkı çıkan sonuçları listelemesidir. Arama Motoruna bir veya birden fazla dork yazılarak o dorka ait siteler bulunup listelenir. Böylece Brute Force işlemi ile kullanılabilir.

    _______________________________________________________________________________________

    Bu tanımlamalar gayet yeterli duruyor. Neyin ne olduğunu iyi bir şekilde anlayabiliyoruz. Bizim burada üzerinde duracağımız konu bu işlemin nasıl yapıldığıdır ancak öncelikle birkaç küçük önemli detaydan bahsetmeliyiz.

    1- Öncelikle her siteye Brute Force saldırısı yapamazsınız. Bunun nedeni Brute Force işleminde kullanıcı adı ve şifrenin admin paneli üzerinde tek tek denenmesidir fakat eğer admin panelinin ne olduğunu bilemezsek yaptığımız şey hiç bir işe yaramaz. Şu anda Web üzerinde yüzlerce admin paneli çeşidi bulunabilir ki admin paneli bulunamayan siteler de vardır.

    2- Admin paneline ulaşmak için site sonuna "/panel adı" şeklinde bir kod yazılır. Örnek vermek gerekirse; bizim "türkiye.com.tr" adlı bir sitemiz olsun. Admin paneline ulaşmak için:
    Kod:
    "türkiye.com.tr/panel adı"
    Şeklinde bir giriş yapmamız gereklidir. Dediğim gibi panel adları yüzlerce var. Panel şeklimiz:


    Kod:
    "türkiye.com.tr/admin"
     
    "türkiye.com.tr/controlpanel"
     
    "türkiye.com.tr/yönetici"
    gibi girişler olabilir.

    Admin paneli ile ilgili uygulamalı bir örnek:
    Site: http://www.easa.gr/
    Admin Paneli: http://www.easa.gr/admin/login.php

    3- Bir sitenin admin panelini hızlı bir şekilde bulmak için "Admin Panel Bulucu Programlar" kullanılır. Bu programların çalışma mantığı programın içinde
    kayıtlı bulunan panel listelerini deneme-yanılma yoluyla bulmaktır. Anladığınızı ümit ederek devam ediyorum.

    4- Peki bir siteye erişim sağlamak için gerekli kullanıcı adı ve parola listeleri nelerdir? Bunun için başlangıçta sakın büyük wordlistler kullanmayı denemeyin. Çok fazla zamanınızı alır. Bu konu için "Brute Force Püf Noktalar" şeklinde ayrı bir konu açmayı düşünüyorum. Şimdilik size hazır liste vereceğim. En önemlileri içinde bulunuyor zaten.

    Kullanıcı Adı Listesi:

    Kod:
    admin
    administrator
    root

    Parola Listesi:

    Kod:
    admin
    admin123
    demo
    demo123
    password
    password123
    qwerty
    qwerty123
    abc
    abc123
    qwerty123
    administrator
    administrator123
    root
    root123
    toor
    toor123
    pass
    pass123
    123admin
    user
    user123
    rootadmin
    123456789

    5- Şimdi asıl konumuza dönelim, o zaman Brute-Force her siteye uygulanmıyorsa hangi siteye uygulanacağını nereden bileceğiz? Bir internet sitesi oluşturmak için illeki kod bilgisine sahip olmaya gerek yoktur. Bazı siteler Wordpress, Joomla (Bunların neler olduğunu araştırabilirsiniz, şu an konumuz hack olduğu için bilgi vermiyorum.) gibi hazır temalı sistemlerle hiç kod yazmadan oluşturulabilir.
    İşte bu sitelerin kaynağı, kodlama yapısı hep aynı olduğu için admin panelleri ve admin panel içeriği de hep aynı olacaktır. Bu arada hafife almayın, sadece Wordpress temalı sitelerden milyonlarca var. Bu yüzden önemli bir konu yani.

    6- Elhasıl, bir Brute-Force saldırısı yapmak için bilmemiz gereken şey sitenin Wordpress gibi bir hazır sistem içerip içermediğidir. "Dork" adını verdiğimiz şeyleri bunun için kullanıyoruz. Yazacağımız dorklarla bir arama yaptığımızda karşımıza sadece Wordpress sitelerin çıkmasını sağlayabiliriz. Mantığı bu şekildedir. Şimdi ilk önce dorkların yapısını öğrenip sonra da dork yazma işine girişelim.

    7- Dork yazmak kolay bir iştir. Dork yazmak için bazı kalıplaşmış sözcük grubuna kendi kelimemizi ekliyoruz. Varsayalım ki bir Wordpress dork kalıbı yazdık. Bu dorka "elma" sözcüğünü eklersek "İçerisinde elma kelimesi geçen Wordpress temalı siteleri aratmış" oluruz.
    Ama bu şekilde karşımıza Türk siteleri çıkacağı için kelimeyi "Google Çeviri" kullanarak istediğiniz bir dile çevirmelisiniz.

    Wordpress Başlıca Dorklar:

    Çeşitli dork kalıpları var. Araştırark detaylı bir şekilde bulabilirsiniz. Şimdi başlıca kullanılan 2 dork kalıbını öğrenelim:

    Kod:
    ("Comment on Hello world!")
    > Bu dork yeni açılan Wordpress sitelerde Wordpress tarafından otomatik gelen mesajın başlığıdır.


    Kod:
    ("author/admin")
    > Bu dork sitede admin adlı kullanıcının paylaşım yaptığını gösteren siteleri bize gösterir. Bu dorkun avantajı Brute-Force yaparken kullanıcı adı bölümüne sadece "admin" yazmak yeterli olacağı için bize zaman kazandıracaktır.

    Hemen birkaç tane dork yazalım.

    Kod:
    ("Comment on Hello world!")apple
    ("author/admin")computer
    ("Comment on Hello world!")relax
    ("author/admin")blue
    Wordpress Dork Kalıpları: Benim konum değil ama güncel dorklar verilmiş. @DARKWOLF38 eline sağlık.

    İşte dork yazmak bu kadar kolay bir şeydir.


    Artık uygulama işlemine başlayabiliriz. Örnek bir Brute-Force saldırısı düzenleyeceğiz. İlk önce bize "arama motoru" ve "brute force" programları gereklidir. Bu programları hemen hemen her yerde görmüşsünüzdür.
    Bunlar için alternatif programlar da var ama en iyileri bunlar. Programları benim hack arşivimden (TIKLA) bulabileceğiniz gibi internette bulup da indirebilirsiniz. Program arayüzleri bu şekildedir:

    Arama Motoru:

    [​IMG]

    Brute Force:

    [​IMG]


    İlk önce arama motorunu açıp biraz önce yazdığımız dorkları "Arama Bölümü" kısmına ekliyoruz. (Farklı dorklar da ekleyebilirsiniz.) Daha sonra yandaki "Motor Listesi" bölümündeki "Tümünü İşaretle" butonuna basıyoruz. Böylece hata yapma olasılığımız azalacaktır.

    [​IMG]

    Sonra üstteki "Tarama" menüsüne girip "Taramaya Başla" butonuna tıklıyoruz. Program yazdığımız dorklarla ilgili siteleri bulup listeleyecektir. (Bazen liste içerisinde "Yandex" , "Google" , "Youtube" gibi siteler de görebilirsiniz. Kafaya takmayın.)

    [​IMG]

    Url Taraması bittikten sonra "Kaydet" butonundan bulduğumuz siteleri bir kenara kayıt ediyoruz.

    Şimdi Brute Force programımızı açıyoruz. İlk önce alttaki "All rights reserved. This program is designed to test the CMS" yazısına tıklıyoruz. Karşınıza bir pencere çıkacaktır. Böylece programı aktifleştirmiş olduk.

    Önce "Load sites list" butonuna tıklayıp az önce kaydettiğimiz siteleri programa yüklüyoruz. Daha sonra "Load login list" butonuna tıklayarak kullanıcı adı listemizi yüklüyoruz. Ondan sonra"Load pass list" butonuna tıklayarak şifre listemizi yüklüyoruz. (Eğer istiyorsanız yazma alanlarına elinizle tek tek yazabilirsiniz.)
    En sonunda da "Start Brute" butonuna tıklayıp siteleri taramaya başlıyoruz.

    [​IMG]

    Kullanıcı adı ve şifresi doğru bulunan siteler "Good accounts" bölümünde örnek olarak şu şekilde çıkacaktır.

    Kod:
    www.siteadı.com/paneladı.php :admin:abc123
    Buradan çıkardığımız sonuç:

    admin= Kullanıcı Adı (Login)
    abc123 = Parola (Password)

    Artık sitemizin kullanıcı adı ve şifre bilgilerini öğrendiğimize göre admin paneline giriş yapabiliriz. ;)

    Nihayetinde bu dersimizin de sonuna geldik. Uzun bir konu oldu ama güzel oldu. Emeğe saygı konuyu beğenmeyi ve güzel yorumlarınızı dile getirmeyi unutmayın. İyi forumlar... :)


     
  2. H3YA13T Guest

    • Guest
    Katılım:
    18 Ocak 2017
    Mesaj:
    27
    Alınan Beğeniler:
    9

    Özel Mesaj
    peki şifreleri nerden bilebiliriz yoksa program otomatikmi seçiyor.yoksa biz elle yazdıgımızdanmı buluyor
     
  3. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,873

    Özel Mesaj
    Sık kullanılan şifreler var. Özellikle web siteleri için yukarıda verdiğim gibi şifreler çok fazla kullanılıyor. Bunları kullanabilir, yeterli gelmezse forumdan ya da başka bir yerden araştırıp bulabilirsin. İyi forumlar... ;)
     
  4. ReDWolF1911 Guest

    • Guest
    Katılım:
    18 Mart 2017
    Mesaj:
    277
    Alınan Beğeniler:
    144

    Özel Mesaj
    Şifreleri kendin yazıyorsun. Sonuçta "İşte bu şifre çok basit, 123456, admin, password bunları kim kullanır ki?" diye düşündüğün şifreleri bile birsürü insan kullanıyor. Sen en çok kullanılan şifreleri giriyorsun programa. Program da siteler üzerinde teker teker deniyor. Eğer isim-şifre doğruysa sana siteyi verir. Doğru değilse de zaten vermez.
     
    yufuscuk ve ERVAH-I-EZEL bunu beğendi.
  5. ReDWolF1911 Guest

    • Guest
    Katılım:
    18 Mart 2017
    Mesaj:
    277
    Alınan Beğeniler:
    144

    Özel Mesaj
    Bu arada ERVAH-I EZEL devrem gerçekten çok güzel ve detaylı anlatmışsın ellerine sağlık.
     
    TRVipeR, Hingilim, Chrysaetos ve 3 kişi daha bunu beğendi.
  6. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,873

    Özel Mesaj
    Sağol devrem. :)
     
    ReDWolF1911 bunu beğendi.
  7. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,873

    Özel Mesaj
    Evet devrem, ama şuan yaptığımız web hacking içindir. Aynı yöntem facebook için de geçerli. ;)
     
    TRVipeR ve abdulsamet004 bunu beğendi.
  8. H3YA13T Guest

    • Guest
    Katılım:
    18 Ocak 2017
    Mesaj:
    27
    Alınan Beğeniler:
    9

    Özel Mesaj
    saol devrem peki face için nasıl kullanıyoruz
     
  9. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,873

    Özel Mesaj
    Sosyal medya hack ile ilgili paylaşım yapmıyorum. "Facebook Brute Force" yaz youtube'ye bir sürü video çıkar.
     
    mahozaka bunu beğendi.
  10. oyuncu_king Atıldı

    • Guest
    Katılım:
    13 Ocak 2017
    Mesaj:
    133
    Alınan Beğeniler:
    134

    Özel Mesaj
    Eline koluna sağlık devrem. Güzel ve detaylı bir anlatım tarzın var. Benzer konular olsa da çok emek verdiğin belli oluyor. Daha farklı konuları bekliyoruz. ;)

    Hemen hazıra konmayalım, biraz araştıralım devrem. ;)
     
    ERVAH-I-EZEL bunu beğendi.
  11. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,873

    Özel Mesaj
    Sağol devrem. Sıra sıra gidiyorum. Paylaşmam gerekiyor. Daha iyi konular gelecek. ;)
     
    oyuncu_king bunu beğendi.
  12. Conandai1925 Guest

    • Guest
    Katılım:
    10 Mayıs 2017
    Mesaj:
    3
    Alınan Beğeniler:
    2

    Özel Mesaj
    Sağol devrem . Yeni gelecek konu ve dersler için bekliyorum :)
     
    ERVAH-I-EZEL bunu beğendi.
  13. H3YA13T Guest

    • Guest
    Katılım:
    18 Ocak 2017
    Mesaj:
    27
    Alınan Beğeniler:
    9

    Özel Mesaj
    sağol devrem
     
    ERVAH-I-EZEL bunu beğendi.
  14. derkobaba Guest

    • Guest
    Katılım:
    28 Eylül 2016
    Mesaj:
    9
    Alınan Beğeniler:
    6

    Özel Mesaj
    Eline Koluna Sağlık Devrem Çok Başarılı Bir Şekilde Anlatmış Bulunmaktasın
     
    ERVAH-I-EZEL bunu beğendi.
  15. oyuncu_king Atıldı

    • Guest
    Katılım:
    13 Ocak 2017
    Mesaj:
    133
    Alınan Beğeniler:
    134

    Özel Mesaj
    ERVAH-I-EZEL devrem bir şey soracağım, ben biraz önden araştırarak gidiyorum da bu login ve password kısımlarına bypass kodları yazılabilir mi? Tek tek denemek yerine... Yardımcı olursan sevinirim. :)
     
    ERVAH-I-EZEL bunu beğendi.
  16. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,873

    Özel Mesaj
    Neden olmasın? ;) Site hem Wordpress, Joomla gibi bir hazır sisteme sahip, hem de Sql açıklı (Bypass) olabilir. Düşüncen güzel. :)
     
    oyuncu_king bunu beğendi.
  17. Crystal_0483 Guest

    • Guest
    Katılım:
    30 Kasım 2016
    Mesaj:
    1,638
    Alınan Beğeniler:
    2,094
    Meslek:
    ?-?

    Özel Mesaj
    Ellerine sağlık devrem :)
     
    ERVAH-I-EZEL bunu beğendi.
  18. Cyberstudent Atıldı

    • Guest
    Katılım:
    10 Kasım 2016
    Mesaj:
    3,132
    Alınan Beğeniler:
    4,848

    Özel Mesaj
    Yararlı konu . Ellerine sağlık :)
     
    ERVAH-I-EZEL bunu beğendi.
  19. TURANC1 Guest

    • Guest
    Katılım:
    12 Mayıs 2017
    Mesaj:
    132
    Alınan Beğeniler:
    71

    Özel Mesaj
    sağol devrem ellerine sağlık.
     
    ERVAH-I-EZEL bunu beğendi.
  20. TURANC1 Guest

    • Guest
    Katılım:
    12 Mayıs 2017
    Mesaj:
    132
    Alınan Beğeniler:
    71

    Özel Mesaj
    Devrem ayrıca bir sorum olacaktı bu büyük siteler çıkıyor. Nedenini biliyormusun ?
     
Konu Durumu:
Yanıtlara kapalı.

Bu Sayfayı Paylaş