1. Ayyıldız Tim forumu Hariç Hiç Bir şekilde Rütbeli Oldugunu İddaa edenlere inanmayınız..⠀ Ayyıldız Tim Adına Sizden Bilgi Belge TC Kimlik Vb Evrak İsteyenlere Asla Bilgilerinizi Vermeyiniz.

2. Düzey Hack Dersleri #3-exploitler

'Web Hacking ve Güvenlik' forumunda ERVAH-I-EZEL tarafından 13 Temmuz 2017 tarihinde açılan konu

  1. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Selâmün Alayküm devrelerim ve komutanlarım. Hack derslerimizde 3. bölümdeyiz. Önceki dersimizde kriptolojinin bazı detaylarını incelemiştik, bu dersimizde ise Exploit kavramının ne anlama geldiğini detaylı bir şekilde inceleyeceğiz. Konumuza geçelim:

    1. Düzey Hack Dersleri #1-Başlangıç
    1. Düzey Hack Dersleri #2-Kriptoloji (Şifreleme)

    Exploit, genellikle C, Perl ve Pyhton dilleri ile ileri seviye programlama bilgisine sahip kullanıcılar tarafından yazılır. Exploit kavramı; Vulnerability kavramı ile de bir bağlantıya sahiptir.

    Vulnerability: "Hassasiyet" "Korumasızlık" "Savunmasızlık" anlamına gelir.
    Exploit: "Kullanmak" "Faydalanmak" "Sömürmek" anlamındadır.

    Yani bir sistemin zaafını, açığını kullanmak için Exploit adı verilen kod veya programcıkları kullanırız.

    Exploit
    Bildiğiniz gibi günlük yaşantımızda bilgisayar kullanımının oldukça fazla olduğu görülmektedir ve bu kullanım sayısı gittikçe artmaktadır. Ev, ofis gibi ortamlarda ise bir bilgisayarı birden fazla kullanıcı da kullanabilmektedir ve bu da işletim sistemleri tarafından kullanıcı-yönetici ilişkisi ile desteklenmektedir. Bir işletim sisteminde (Windows, Linux vs.) standart kullanıcı ve yönetici olarak iki yetki bulunmaktadır.

    Satandart kullanıcılar kişisel dosya ve ayarlarına erişim sağlayabilir, düzenleyebilir ancak o sistemi kullanan diğer kullanıcıların ayar ve dosyalarına herhangi bir erişim sağlayamazlar.

    Yönetici kullanıcı ise hem kendi dosya ve ayarlarını, hem de diğer kullanıcıların ayar ve dosyalarını değiştirebilir. İsterse o sistemi kullanan herhangi bir kullanıcıyı sistem üzerinden tüm dosyalarıyla birlikte silebilir. Hatta işletim sistemine ait bazı kritik dosyalarla da oynama yetkisine sahiptirler.

    Bir bilgisayarı kullanan birden fazla satandart kullanıcı olabilir ancak yönetici kullanıcı sadece bir tane bulunur ve bu yönetici de Windows sistemlerde "Administrator", Linux sistemlerde "Root" olarak isimlendirilir.

    Standart kullanıcılar da işletim sisteminde daha fazla yetki kazanmak için "Exploit" adı verilen küçük programcıklar yazmışlardır. (Exploitler her zaman program şeklinde de olmazlar, kod dizisi şeklinde de karşımıza çıkarlar. Bu durumda yapmamız gereken o exploiti derlemek yani program haline getirmektir. İleride exploit kullanımını öğrenirken bu adımın da üzerinden duracağız.) Exploitler ileri seviye programlama bilgisi gerektirdiği için herkes tarafından yazılamazlar. Exploitler işletim sisteminde bulunan küçük güvenlik açıklarından faydalanılarak yazılırlar ve bu güvenlik açığı, sisteme yüklenen küçük bir uygulamadan bile oluşabilirler.

    Peki bu Exploit kavramı işletim sistemiyle ilgili bir kavramsa bizim konumuzla (Web Hacking) ne bağlantısı var? Öncelikle bir web sitenin ayakta durmasını sağlayan yapıyı öğrenmeliyiz.

    Web Siteleri ->Sunucu -> İşletim Sistemi

    Yani buradan anlayacağımız; Web Siteleri içinde bulunur sunucuların, Sunucular da içinde bulunur işletim sistemlerinin.

    Not: Web Sitesi ve Sunucu arasında bir veri iletişimi uyumluluğu olması için o sitenin Php veya Asp gibi bir Sunucu Yorumlayıcı Dili ile kodlanmış olması gerekmektedir.

    Yani buradan da anlayacağımız internet sitelerine herhangi bir zarar verebilmek için Exploitler gereklidirler. Exploitler kullanım yönüyle de Local ve Remorate olarak ikiye ayrılırlar.

    Remorate Exploit: Sistemin dışındayken yapılan saldırılardır. Yani bu saldırıları yapmak için o sistemin bir kullanıcısı olmaya gerek yoktur. Kullanım amacı değişebilmekle beraber öncelik olarak sisteme dışarıdan zarar verme (RTE Exploiti ile siteye dosya yükleme örnek verilebilir.), sistemden bilgi çekme(SQL İnjection Açığı ile yazdığımız kodlar örnek verilebilir.) veya sistemin içerisine izinsiz giriş yapabilme gibi amaçları vardır.

    Local Exploit: Bu Exploit saldırılarını kullanabilmek için sistemin içine girilmiş olması gereklidir. (Mesela sitenin admin panelinden shell yüklenip ve sunucuya geçiş yapılması gibi.) Tek kullanım amacı yönetici yetkisi kazanmaktır. Zaten yukarıda bahsettiğimiz gibi işletim sistemlerinde yetki, bizim için çok önemlidir.

    Not: Önceki derslerimizde adını duyduğumuz şu "Server Rootlama" adlı işlemin de ne olduğunu böylece öğrenmiş olduk. "Root" Linux işletim sistemlerinde yöneticiye verilen isimdir. Yönetici yetkisini alma işlemini daha çok Linux sunucular için yapar ve Root oluruz. Çünkü Windows sunucular, Linux Sunuculara göre daha az kullanılırlar, daha doğrusu hack işlemlerimizi genellikle ve maalesef Brute-Force ile yaptığımızdan dolayı (Brute-Force ile düşürdüğümüz Wordpress, Joomla gibi hazır sistemler hep Linux sunucu kullanırlar.) daha çok Linux sistemlerle karşılaşırız.

    Peki Exploitleri nereden bulup kullanabiliriz?

    Her ne kadar çoğumuz Exploit yazmaya yetecek programlama yetkisinden yoksun olsak da programcılar ve siber güvenlik uzmanları yazdıkları exploitleri ilgili güvenlik platformlarında paylaşırlar. Yani pek çok sistem için hazır exploitler yazılmış durumdadır. Genellikle Script-Kiddie grupları o Exploitleri kullanarak sitelere zarar vermeye çalışırlar. Güvenliğine önem veren site sahipleri bu exploitlere karşı hazırlanan yamaları yükleyerek güvenlik açıklarını kapatmaya çalışırlar. (Bazı exploitler para karşılığı satılırlar ve exploitçiler bu şekilde çok önemli bir kazanç elde ederler. Gerçek bir hacker ise kendi exploitini kendisi yazmayı bilir ve sadece kendisi kullanır.) Exploit paylaşımı yapan sitelerden bazıları:

    https://www.exploit-db.com/
    https://cxsecurity.com/
    https://packetstormsecurity.com/
    https://www.securityhome.eu/
    https://blog.osvdb.org/
    http://www.remote-exploit.org/
    https://www.rapid7.com/db/modules/
    https://0day.today/

    0-Day Exploit Nedir?

    En tehlikeli Exploit türüdür, nedeni ise çok basittir. Exploit yazılmış, ancak Exploite karşı bir güvenlik yaması yazılmamıştır ve bu da hedef sistemde mutlak bir tehlike oluşturur. Kendi Exploitini yazabilenler için en büyük avantajlardan biridir çünkü Exploit yazılır, kullanılır, kimse tarafından paylaşılmaz, geride bir iz bırakılmaz, böylece o Exploite karşı bir güvenlik yaması da yazılamaz.

    Devrelerim bu dersimizin de sonuna geldik. Bu derste her yerden karşımıza çıkan şu "Exploit" kavramının ne olduğunu detaylı bir şekilde öğrendik. Kullanımını önümüzdeki derslerde öğreneceğiz, birkaç tane yöntemi bulunuyor ve bu konuda Türkçe kaynak bulmak zor ama ben elimden geldiğince bir şeyler anlatmaya çalışacağım. Konu size faydalı olduysa beğenir ve güzel bir yorum yapabilirseniz mutlu olacağım. İyi forumlar herkese... :)
     
  2. SWOPE Guest

    • Guest
    Katılım:
    30 Kasım 2016
    Mesaj:
    1,947
    Alınan Beğeniler:
    1,730

    Özel Mesaj
    Eline sağlık devrem. Linux konuları açamadığına göre linux konularını 2.Hack dersleri adıyla açabilirmiyim
     
  3. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Size Linux ile ilgili forum içi birkaç kaynak vereceğim yine. Öğrenirseniz iyi olacak çünkü yakında birkaç Linux Aracının kullanımını da öğreneceğiz. ;)
    Ghoul-X devremin konularıdır. Çok güzel anlatmış kendisi. :) Sırasıyla okursanız faydalı olacaktır:
    Linux Hakkında Sık Sorulan Sorular
    Linux'u Tanıyalım
    Dosya Sistemi'ni Tanıyalım
    İhtiyaçların Karşılanması
    Uçbirim 'e Giriş

    Linux Dağıtım Incelemesi 1 : Antergos Linux
    Linux Dağıtım Incelemesi 2 : Kali Linux
     
    Atilla-Han, SWOPE ve Flyingfinger bunu beğendi.
  4. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Linux kullanamasam da Linux ile ilgi konular açacağım devrem, zamanında SQL Map, Armitage, Nmap, Metasploit, Hydra gibi araçları çok araştırdım devrem. Bence en iyisi kendi serine başla, ben takip ederim. :)
    ______________________________________________________________________________________________________________________

    Konudaki link olmamış:
    1. Düzey Hack Dersleri #2-Kriptoloji (Şifreleme)
    ______________________________________________________________________________________________________________________

    TheMaraz BAYULKEN OguzKaganZulkarneyn Atilla-Han oyuncu_king :)
     
  5. BAYULKEN Atıldı

    • Guest
    Katılım:
    10 Aralık 2016
    Mesaj:
    1,682
    Alınan Beğeniler:
    4,542

    Özel Mesaj
    Eline koluna sağlık devrem.
    Bi önceki ders konusunu açtığını görmemiştim ona bakıyordum. Bir sonraki konuyu 4 gözle bekliyorum :)
     
    HARDEF, Flyingfinger, SWOPE ve 1 kişi daha bunu beğendi.
  6. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Allah Razı olsun devrem. :) Yeni konuyu göremezsen ben de yine etiketlerim. :cool::)
     
    SWOPE, BAYULKEN ve Flyingfinger bunu beğendi.
  7. Flyingfinger Atıldı

    • Guest
    Katılım:
    18 Şubat 2017
    Mesaj:
    5,094
    Alınan Beğeniler:
    10,545

    Özel Mesaj
    Eline koluna sağlık
     
  8. BAYULKEN Atıldı

    • Guest
    Katılım:
    10 Aralık 2016
    Mesaj:
    1,682
    Alınan Beğeniler:
    4,542

    Özel Mesaj
    Tamamdır devrem. :)

    Bide şey dicektim devrem, yüksek ihtimalle html dili biliyorsun.
    Bende biliyorum. Fakat bilmeyen çok devremiz var.
    Eğer video çekmek gibi bir şansın varsa ayrıyetten genel programlama bölümünde html dersleri de verebilirsin.
    Ondan sonra ise programlama dillerine geçersin :)
     
    HARDEF, SWOPE, Flyingfinger ve 1 kişi daha bunu beğendi.
  9. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Sağol canım devremim. :)
    Devrem, ayıp ettin. :D
    https://forum.ayyildiz.org/konu/htm...sh-ve-göstergeler-son-konu.95895/#post-805836
    (Konunun en başında önceki derslerin linkleri de var, mobildeyim tek tek atamıyorum. )

    Css Derslerim de var. 6. Konuya kadar geldim.
    https://forum.ayyildiz.org/konu/css-dersleri-6-listeler-ve-linkler.110661/

    Ancak bir sürelik ara verdim çünkü ilgi görmüyor artık. İlk Html konum 45 beğeni 2 sayfa yorum aldı, son Html konum 8 beğeni ve birkaç yorum aldı. Yine de iyi gidiyorum diye devam ettim Css ile ama artık tek tük yorum gelince ve insan emek verip karşılık alamayınca üzülüyor, devam etmek istemiyor. Yine de devam edeceğim ama bilgisayarım yaklaşık 1 ay önce bozuldu. Hack derslerine dışarıdan, internet kafeden, dışarıdan fırsatını bulup arada devam ettiriyorum ama hepsine birden devam etmek zor oluyor. Ama devam ettirmeye çalışacağım ileride, biraz inatçıyımdır da kafama koyduğumu yaparım. :D

    Son olarak bir sorunum daha var ama onu şimdi söylemiyorum üzülmeyin diye, zamanı geldiğinde söyleyeceğim. Şuan sadece TheMaraz ve birkaç devrem biliyor. :(
     
    akose, BAYULKEN, SWOPE ve 1 kişi daha bunu beğendi.
  10. SWOPE Guest

    • Guest
    Katılım:
    30 Kasım 2016
    Mesaj:
    1,947
    Alınan Beğeniler:
    1,730

    Özel Mesaj
    Ben de html ve css dersleri verdim uzun konu olarak 12 tane konu açtım
     
    BAYULKEN ve ERVAH-I-EZEL bunu beğendi.
  11. KasTanaTC Guest

    • Guest
    Katılım:
    31 Mayıs 2017
    Mesaj:
    2,110
    Alınan Beğeniler:
    1,155

    Özel Mesaj
    Eline koluna sağlık devrem.
     
    BAYULKEN, SWOPE ve ERVAH-I-EZEL bunu beğendi.
  12. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Biliyorum devrem görmüştüm, onlara da çok ilgi gelmemişti hatırladığım kadarıyla, garip bir durum. Söz var, icraat yok.
    Sağol devrem. :)
     
    BAYULKEN ve SWOPE bunu beğendi.
  13. oyuncu_king Atıldı

    • Guest
    Katılım:
    13 Ocak 2017
    Mesaj:
    133
    Alınan Beğeniler:
    135

    Özel Mesaj
    Eline sağlık devrem. :)
     
    ERVAH-I-EZEL ve SWOPE bunu beğendi.
  14. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Sağol devrem. :)
     
    oyuncu_king bunu beğendi.
    • Guest
    Katılım:
    10 Temmuz 2017
    Mesaj:
    13
    Alınan Beğeniler:
    14

    Özel Mesaj
    Eline sağlık devrem ama ben Exploit sitelerine girdim ne yapacağımı pek anlamadım. Yardımcı olur musun?
     
    ERVAH-I-EZEL bunu beğendi.
  15. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Sağol devrem. :) Bir şey yapmayacaksın şuan, ileride anlatacağım ben. ;)
     
  16. Atilla-Han Guest

    • Guest
    Katılım:
    30 Haziran 2017
    Mesaj:
    651
    Alınan Beğeniler:
    1,060

    Özel Mesaj
    Devrem eline emeğine sağlık. Gerçekten çok güzel anlatıyorsun. Paylaşımlarının devamını bekliyorum :)
     
    Ghoul-X ve ERVAH-I-EZEL bunu beğendi.
  17. ERVAH-I-EZEL Guest

    • Guest
    Katılım:
    30 Ocak 2017
    Mesaj:
    1,333
    Alınan Beğeniler:
    4,933

    Özel Mesaj
    Teşekkür ederim devrem. :)
     
    Atilla-Han bunu beğendi.
    • Guest
    Katılım:
    10 Temmuz 2017
    Mesaj:
    13
    Alınan Beğeniler:
    14

    Özel Mesaj
    Tamam devrem bekliyor olucam...
     
  18. Ghoul-X Atıldı

    • Guest
    Katılım:
    16 Haziran 2017
    Mesaj:
    455
    Alınan Beğeniler:
    417

    Özel Mesaj
    Eline sağlık devrem konuların çok güzel. Bu Lİnux konularını da yenileyecem :) Eksikleri var daha.. Gelecek hafta ayrıntılı konularıyla paylaşacağım :)
     
    ERVAH-I-EZEL bunu beğendi.

Bu Sayfayı Paylaş