1)Siteden Vazgeçmeyin: İndex bas geç yapacağınız en son iş olmalı.Sitenin altını üstüne getirin.Tüm yöntemleri kullanarak siteden olabildiğince fazla bilgi elde edin.
2)Mass Deface: Bir siteye girdiğinizde ilk önce dizinleri gezin.Subdomain veya site üzerinde bulunan başka sitelerde var mı inceleyin.Genelde /vhost, /public_html gibi dizinlerde başka sitelerde olur.Bu siteleri de mass deface gibi yöntemlerle indexleyin.(Bu yöntem ile 198 site aynı anda hacklemiştim.)
3)Config Çekme: Config çekme konusu forumda defalarca paylaşıldı,videolu anlatımları yapıldı.Girdiğiniz siteye config çekin.Bazen site çıkmaz tabi ama şanslı gününüzdesinizdir tek configten 98 site çıkar.Evet 98 site benim çektiğim bir configten 98 site çıkmıştı.
4)Reverse İp: Girğiniz siteye reverse ip yapın serverdeki diğer siteleri görmüş olursunuz.Siteye girdiğiniz açık yöntemini bu siteler üzerinde de deneyin.Bazılarında aynı açıklar olabilir.
5)Symlik Yöntemi: Bazen configteki her siteye index atamazsınız.Symlink yaparak configteki sitelerin database bilgilerini elde edebilirsiniz.Wordpress ve Joomla admin reset password yöntemi ile configteki diğer sitelerin admin şifresini değiştirebilirsiniz.
6)Sql İnjector: Adı ile müsemma bu yöntem ile her zaman mutlaka bir site hackleyebilirsiniz.Mesela brute force yaparken beklemek yerine kendinize bir hedef site seçip sql injector yapabilirsiniz.Benim favorimdir.
7)Server Root: Bu yöntem ile 1000 li sayılara bile ulaşabilirsiniz fakat yöntem artık zorlaşıyor.Root olmak işin %20 lik kısmı, işin %80lik kısmı ise exploit bulmak.Günümüzde çalışır exploit bulmak oldukça zorlaştı.Özellikle 2014-2013 çalışan exploit bulmak gerçekten zor.[ByDoldis]Tabi girdiğiniz sitenin serveri 2012-2011 ise oto root yapan exploitler bile mevcuttur.Serverde root olmaya çalışın.Root olabilirseniz güzel sayılara ulaşabilirsiniz.
8)Bilgilerinizi Güncelleyin: Sürekli yeni yöntemleri araştırın.Yeni upload açıkları,yeni dorklar,yeni sql bypass teknikleri, yeni exploitler v.b.Eski yöntemlere takılıp kalmayın.
9)Araştırma Yapın: Örnek vererek anlatıyım bu maddeyi: Wordpress bir siteye girdiniz ama sayfa editleme hakkınız yok.Sizde izin[ByDoldis] olmadığı görüp Alt+F4 yapmayın.Başka ne yöntemler varmış bir sorun arama motorlarına.Tema yükleme yöntemi ile gayet güzel shellinizi siteye upload edebiliceğinizi öğrenin.
10)Nankör Olmayın : Sizin üzerinizde hakkı olan insanları unutmayın.Sorduğunuz, onlara aptalca gelen sorulara, zaman ayırıp cevap veren insanlara nankörlük edip aradan zaman geçince havalara girip küfür edecek, saygısızlık yapacak duruma düşmeyin.Tabiki takıldığınız yerde yardım[ByDoldis] isteyeceksiniz.Tabiri caizse kimse bu işleri anasının karnında öğrenmedi öğrenemezde.Saygı herzaman sizi yüceltir.Saygı duyulacak birey yapar.
Not: Bahsettiğim yöntemleri, materyallari konumda sunmadım.Siz araştıp kendiniz bulursanız daha yararlı olacağını düşündüm.Balık vermek yerine balık tutmayı öğretmek gibi düşünebilirsiniz.
Çok konuştum ama umarım bir nebze yararı dokunur sizelere.
************************************************** *****************
Ayrıntılı Anlatımlar 1: Siteden Vazgeçmeyin!
Genellikle bir çok arkadaşımız bir siteyi hackleme yolunda sorunlarla karşılaştığında bir kaç yöntem denedikten
sonra siteyi çöpe atıyor.Bu site hacklenmez çok zor düşüncesine kapılıyor.Bu şekilde siteden siteye atlıyor, her siteden birkaç bilgi alıyor
bir sitenin admin paneli, başka bir sitenin admin bilgileri v.b bilgiler yığılıyor da yığılıyor fakat bu bilgiler tek başlarına
mutlu sona ulaşmamıza yetmiyor.Daha tutarlı ve kesin bilgilere ihtiyacımız olduğu aşikar.
Peki neden hacker adayı arkadaşımız siteden çabucak vazgeçiyor.Site hacklenemez olduğu için mi, hiç bir yöntemin işe yaramadığı için mi,
sitede aşırı güvenlik olduğu için mi?[ByDoldis]Yoksa kolay olanı seçtiğiniz için mi? Vazgeçmek...
Şimdi bir düşünelim.Bir çok siteden kolayca alınmış pek işe yaramayan bilgiler mi işimize daha çok yarar yoksa üzerinde zaman harcanmış,
kafa patlatılmış tutarlı,kesin ve net bilgiler mi siteyi ele geçirmede işe yarar?
Hepiniz ikinci maddeyi kabul edersiniz büyük ihtimal.Kabul etmede bir sıkıntı yok asıl sıkıntı bu maddeyi hayata geçirmekte.Çoğunuz biliyorsunuz
bir şeyler elde edebilmek için çok çalışmak gerektiği o halde çok çalışın.Çabalayın,uğraşın.
"Çok çalışın"ı biraz açalım;
Çok çalışından kastım, aynı yöntemleri defalarca aynı sistem üzerinde deneyin manasında değil.Yöntemin her türlüsünü site üzerinde deneyin uğraşın zaman harcayın.Sonuç alamadığınız zaman farklıbir yöntemi aynı şekilde tüm yönleriyle hedef site üzerinde denemeye başlayın.Yöntemi uygularken tek kaynağa bağlı kalmayın.
Farklı konular,faklı kişilerin bilgileri, farklı bakış açıları ve en önemlisi kendinize özgü yeni bir yöntem bulmaya çalışarak defalarca denemeniz gerekse bile tümüyle yöntemi siteye uyguladıktan sonra bir diğer yönteme geçin.Sistem üzerinde uygulanabilecek bilindik yöntem kalmayana kadar bu döngüyü devam ettirin.
Site ile uğraşırken edindiğiniz tüm bilgileri düzenli bir şekilde not edin.Kağıt kalem alıp yazın demiyorum.(Ben gerekli yerleride yazarım bazen size kalmış).
Not edinden kastım mesela site adını taşıyan bi klasör oluştup site hakkındaki tüm verileri işe yarayacak bilgileri,exploitleri,bu klasöre depolayın.[ByDoldis]Gerektiğinde ulaşmanız gereken bilgi elinizin altında olur.Pratik olmak diyebiliriz.Daha sonra bilgi sahibi olduğunuz yeni yöntemler olduğunda arşivinizde bulunan bu site verileri ile karşılaştırma yaparak hedefinize ulaşabilirsiniz. Tekrar site açığını bulup verileri tespit etmenizede gerek kalmayacaktır.
Buraya kadar hep vazgeçmeyin odaklı konuştum.Sıra vazgeçmekte.Vazgeçeceğimiz yerde mutlaka olacaktır.Bir sistem için 1 haftanızı harcamak mantıklı bir iş değildir.Vazgeçmeyi düşündüğünüzde bulunduğunuz durumu bir düşünün, sitenin admin paneli elinizde,admin kullanıcı adı elinizde geriye kalan tek şey md5'in kırılması ise vazgeçmek mantıklı olmaz.Md5'i kırmak için yapmanız gerekenleri yaptınız; sitelerde tarattınız, manuel programlarla kırmayı denediniz kıramadınız işlem bu aşamaya geldiyse tekrar bir düşünüyoruz.Akıl akıldan üstündür atasözümüzden yola çıkarak md5'imizi kıralabilecek bir arkadaşımızdan yardım istiyoruz.Buraya dikkat!!!Elimizden geleni[ByDoldis] yaptıktan sonra son çare olarak başkalarından yardım istiyoruz.Md5'i bulur bulmaz önümüz gelen herkese abi şunu kırıver abi bunu buluver demeye başlamıyoruz. Önce kendimiz bi cebelleşiyoruz, ardından yardım istiyoruz.Yine bir sonuç alamamışsak vazgeçmek herkese mantıklı gelecektir.Vazgeçiyoruz ama hakkını vererek vazgeçiyoruz. Olmadı ya bu siteyi hacklemek çok zormuş demiyoruz.Site gerçekten sağlammış denemediğim yöntem kalmadı adamlar taş gibi site yapmış diyebiliyorsan vazgeçmeyi haketmiş ve
mantıklı görünen yolu seçmiş oluruyosun.
Web Attack #1
Web Güvenlik Açıkları'nın paylaşıldığı bölüm.
-
ArgonNoyan
- Onbaşı
- Mesajlar: 9
- Kayıt: 14 Tem 2020, 00:34
- Been thanked: 6 time
“WEB GÜVENLİK AÇIKLARI” sayfasına dön
Geçiş yap
- ANKA NEFERLER TİM
- ↳ DUYURULAR
- ↳ KENDİNİZİ TANITIN (YENİ ÜYELER)
- ↳ FORUM KURALLARI
- SİBER GÜVENLİK
- ↳ WEB GÜVENLİK AÇIKLARI
- ↳ BANKA VE MAİL GÜVENLİĞİ
- ↳ SOSYAL MÜHENDİSLİK
- ↳ SERVER GÜVENLİĞİ
- ↳ ŞİFRELEME
- ↳ TROJAN VE VİRÜSLER
- ↳ NETWORK GÜVENLİĞİ
- ↳ EXPLOİTLER
- GÖVDE GÖSTERİSİ
- ↳ GÖVDE GÖSTERİSİ
- YARDIM MERKEZİ
- ↳ YARDIM MERKEZİ
- GRAFİK VE VİDEO TASARIM
- ↳ GRAFİK TASARIM
- ↳ VİDEO TASARIM
- ↳ TASARIM PROGRAMLARI
- ↳ PHOTOSHOP
- ↳ ILLUSTRATOR
- ↳ FIREWORKS
- ↳ AFTER EFFECTS
- ↳ PREMİERE PRO
- ↳ YARDIM
- İŞLETİM SİSTEMLERİ
- ↳ WİNDOWS İŞLETİM SİSTEMLERİ
- ↳ PARDUS
- ↳ LİNUX
- ↳ MAC OS X
- ↳ DİĞER İŞLETİM SİSTEMLERİ
- WEBMASTER HAZIR SİSTEMLER VE ŞABLONLAR
- ↳ JOOMLA
- ↳ WORDPRESS
- ↳ VBULLETİN
- ↳ SMF(SİMPLE MACHİNES FORUM)
- ↳ MYSQL
- ↳ LOCALHOSTLAR; WAMPSERVER VE XAMPP
- PROGRAMLAMA
- ↳ GENEL DİLLER
- ↳ PHP,HTML
- ↳ ASP-ASP.NET-C#
- ↳ PHYTON
- ↳ JAVA
- MOBİL CİHAZLAR
- ↳ ANDROİD
- ↳ İOS,APPLE,İPAD
- ↳ TABLETLER
- ↳ WİNDOWS PHONE
- TEKNOLOJİ
- ↳ E-TİCARET
- ↳ YAPAY ZEKA
- GENEL
- ↳ HABERLER
- ↳ TÜRK TARİHİ
- ↳ İSLAMİYET
- ↳ SORU/CEVAP
- ↳ ŞİKAYETLER
- ↳ KONU DIŞI
