1. Ayyıldız Tim forumu Hariç Hiç Bir şekilde Rütbeli Oldugunu İddaa edenlere inanmayınız..⠀ Ayyıldız Tim Adına Sizden Bilgi Belge TC Kimlik Vb Evrak İsteyenlere Asla Bilgilerinizi Vermeyiniz.

Web Hacking Denemeleri #1

'Web Hacking ve Güvenlik' forumunda mehmettircim tarafından 4 Eylül 2020 tarihinde açılan konu

  1. mehmettircim Atıldı

    • Guest
    Katılım:
    5 Aralık 2019
    Mesaj:
    212
    Alınan Beğeniler:
    204

    Özel Mesaj
    "Sistemi kurduğumda tekrar buraya gelip başını ağrıtacağım :)"
    Estağfürullah devrem ne demek.
     
    Orion-Pax bunu beğendi.
  2. AKU7 Guest

    • Guest
    Katılım:
    19 Mayıs 2020
    Mesaj:
    68
    Alınan Beğeniler:
    117

    Özel Mesaj
    Eyvallah devrem
     
    mehmettircim ve Orion-Pax bunu beğendi.
  3. CASIRAY Guest

    • Guest
    Katılım:
    8 Eylül 2020
    Mesaj:
    3
    Alınan Beğeniler:
    4

    Özel Mesaj
    Bilgi toplaman tamamen yanlış gidiyor mod security zaten bir firewall web sitesini bulup konuya yazmana gerek yoktu biraz uzatmak istemişsin herhalde ayrıca whois bilgilerini paylaşınca sitenin hostingini buldun oradan ilerleme yapacaksın sandım fakat sadece ülkesini bulmak içinmiş yani konuyu gereksiz uzatmışsınız mehmettircim

    WordPress siteler için;

    1. /wp-admin/admin-ajax.php kontrol edin zafiyetli ise mysql bilgilerine erişerek user bilgilerini değiştirebilirsiniz. (Güncel sürümler de işe yaramayabilir.)
    2. Kullanılan eklentilerin herhangi bir zafiyeti var mı yok mu onu araştırın var ise zaten public edilmiştir çoktan eğer zerodaycıysanız kendiniz test edin.
    3. Sunucu da ki diğer siteleri inceleyin bing üzerinden sunucu da zafiyetli site var mı kontrol edebilirsiniz.
    4. WordPress sürümünü kontrol edin güncel olmayan eski sürümler de bir çok zafiyet bulunuyor.
    5. Sunucu da ki tüm siteler WordPress içeriyorsa siteleri grablayıp tek bir halde topladıktan sonra Brute-Force deneyin.
    6. Dorklar dan yararlanın düşük bir ihtimal de olsa admin bilgilerini bir log dosyasına herkese açık şekilde kaydetmiş olabilir.
    Bu yöntemleri deneyebilirsiniz fakat olayın o an ki gidişatına göre durumlar değişip daha farklı şeylerle karşılaşabilirsiniz.
    Karşılaştığınız web sitesi eğer WordPress ve benzeri değilse siteyi iyice scrapy edin iç-dış tüm linkleri kontrol edin, sunucu da ki tüm sitelere aynı şekil bakın, zaten bir ton güvenlik açığı var hangisine denk gelirseniz. WordPress sitenin admin panelini bulmak için taramana bir şey demiyorum zaten default olarak wp-admin veya wp-login.php yazabilirsin.

    Bu vesile ile forum da ki ilk mesajımı yazmış oldum.
     
    Orion-Pax ve ByLastKinG bunu beğendi.
  4. AKU7 Guest

    • Guest
    Katılım:
    19 Mayıs 2020
    Mesaj:
    68
    Alınan Beğeniler:
    117

    Özel Mesaj
    Casiray devrem hoş geldin.
    Anlattığın konuları biraz daha açıklayabilme şansın var mı ?
    Misal veriyorum sunucuya bağlanma olayı, yahut nedir bu dorklar ?
     
    Orion-Pax bunu beğendi.
  5. ByLastKinG Atıldı

    • Guest
    Katılım:
    16 Ağustos 2016
    Mesaj:
    1,215
    Alınan Beğeniler:
    694

    Özel Mesaj
    Xss ve sql durumlar için, size sql ve javascripti öneririm. :)
     
    Orion-Pax bunu beğendi.
  6. mehmettircim Atıldı

    • Guest
    Katılım:
    5 Aralık 2019
    Mesaj:
    212
    Alınan Beğeniler:
    204

    Özel Mesaj
    Amacım konuyu uzatmak istemek değildi.
    Bu konuda dikkat ettiysen hiç kali linux kullanmadım.
    Kalide bu iş için daha işlevsel toollar da var.
    Konuyu uzatmamak içinde hosting ile uğraşmadım.
    Arama sebebim ülke değildi.
    Admin panelinin wordpress 'te sabit olduğunu biliyorum.
    İlginç bir biçimde pc den yapınca ana sayfaya geri yönlendirilirken telefondan admin panelini açıyor.
    Denediğim yollar tutmayınca devam etmek istemedim.
    Hayırlı olsun yeni katılmışsın.
    Eğer bu kadar bilgilisin bu konuda sırtı nasıl yaptığını anlatarak hackle.
     
    Orion-Pax bunu beğendi.
  7. mehmettircim Atıldı

    • Guest
    Katılım:
    5 Aralık 2019
    Mesaj:
    212
    Alınan Beğeniler:
    204

    Özel Mesaj
    #berkoyo lütfen askeri hitap devrem.
     
    Orion-Pax bunu beğendi.
  8. CASIRAY Guest

    • Guest
    Katılım:
    8 Eylül 2020
    Mesaj:
    3
    Alınan Beğeniler:
    4

    Özel Mesaj
    Örneğin bir site üzerin de SQL Injection tespiti veya XSS tespit etmek için genellikle parametre ihtiyaç duyarız parametrenin oluşması veriyi GET üzerinden çağırmasıdır, site:eek:rnek.com php?id derseniz site üzerin de ki tüm x.php?id= görürsünüz. Sunucu üzerinden bağlanmak şudur; view-dns üzerinden sunucuda ki diğer siteleri görebilir yada bing üzerinden ip adresini girip sunucu da ki diğer sitelere yine dork yazarak zafiyetli site var ise eğer hackleyip symlink çekerek hedef siteye sunucu üzerinden index atabilirsiniz. Kısacası root olabilir olmazsa symlink çekebilir oda olmazsa public_html klasörünü kontrol edin site orada da barınıyor olabilir. Dediklerimi anlamanız hemen mümkün olmaz teorik kalmayın uygulamaya geçin.

    Sunucusu üzerinde ki diğer siteler de veya kendisin de ciddi sayılacak bir zafiyet yok her site hacklenseydi tüm siteler de nickim yazardı saygılarla en güzele emanet.
     
    Orion-Pax bunu beğendi.
  9. AKU7 Guest

    • Guest
    Katılım:
    19 Mayıs 2020
    Mesaj:
    68
    Alınan Beğeniler:
    117

    Özel Mesaj

    Devrem teoride kalmasını bende istemiyorum ama teoride kalması için az bile olsa anlamak icabeder ama ben anlamadım, sorun kavramların yabancı olması değil, sorun uzmanlık alanımın bu olmaması, yani sen symlink çekmek deyince ben öylece kala kalıyorum, biraz daha açık anlattan kastım bilmediğimiz kavramları bize anlattı. Ama sen daha da bilmediğim şeyleri anlattın, aklım karıştı.

    Bir uygulama yapmayı isterim ama bu şekilde yapmam mümkün değil, neredeyse siteye nasıl sızdığınızı dahi anlamadım.
    Müsaitseniz bir site belirler ve onun üzerinde bir uygulama gerçekleştiririz, tıpkı mehmettircim devrem gibi. Ne de olsa yazılım öğrenmenin en iyi yolu pratik yapmaktır, e madem siz de bu işleri biliyorsunuz, siz büyüklerinizden biz de sizden yaralanalım, zaten bu forumun amacı da bu değil mi ?
    Mesela ben mehmet devreme bir soru sormuştum o da bana güzelce izah etti birçok şeyi, ben ondan faydalandım, o benim C++ derslerimden faydalandı.
    Siz de bize bir şeyler katmak isterseniz biz öğrenmeye açız, siz verdikçe biz alırız.
    Derseniz ki "yok kardeşim ben kimseye bir şey öğretmem, böyle üstün körü yazar geçerim" eyvallah deriz. Lakin öğretirseniz ziyadesi ile mutlu oluruz.

    Dönüşünüzü bekliyorum.
     
    Orion-Pax ve CASIRAY bunu beğendi.
  10. CASIRAY Guest

    • Guest
    Katılım:
    8 Eylül 2020
    Mesaj:
    3
    Alınan Beğeniler:
    4

    Özel Mesaj
    AKU7 Açmak isterdim fakat Web Hacking bölümüne konu açma yetkimin olmadığını fark ettim.
     
    Orion-Pax bunu beğendi.
  11. AKU7 Guest

    • Guest
    Katılım:
    19 Mayıs 2020
    Mesaj:
    68
    Alınan Beğeniler:
    117

    Özel Mesaj
    Devrem sen konu açabildiğin herhangi bir yerde konunu aç, komutanlarımız gerekli görürse konuyu taşırlar,
    gerekli görmezlerse de bunu niye buraya açtın demezler, onlar da burada bilgi alış-verişi olmasını seviyorlar.
     
    Orion-Pax bunu beğendi.

Bu Sayfayı Paylaş