açığı istekli bir şekilde portal adminleri tarafından bırakıldığı düşünülen ADP Forum Portalın hacklenme konusunu sizlere anlatacağım.
Yapacaklarınızı şimdi sıralıyorum beni iyi bir şekilde dinleyiniz;
1) Başlangıçta bu formu kullanan siteleri bulmamız gerekiyor. Bunu içinde her zaman kullandığımız bir site arama motorunu kullanmamız yeterli olacaktır. Arama motorlarında aratacağımız yazı "ADP Forum 2.0.3 is powered by VzScrpits" bu olmalıdır.
NOT: Bazen Google Bu sayfaları Gösterime Sunmuyor. Burayı Tıklayarak Hazır Google Sayfasına Geçiş Yapabilirsiniz.
2) Daha sonra açılan sayfalardan herhangi bir kurban seçiyoruz ve siteye giriş yapıyoruz.
3) Site açıldıktan sonra sitenin uzantısının sonunda bulunanları forum/ kadar siliyoruz ve forum/ sonuna users/ yazıp enterliyoruz. Sonuç www.siteadi/varsa uzantı/forum/users olacaktır. Burada users yazmamızın amacı konu başında da anlattığım gibi adminlerin basit açıklarından biri olarak görülen kullanıcıların kayıtlı olduğu liste ve bu listeden kullanıcılara ait bilgleri öğrenmemiz mümkündür.
4) Daha sonra açılan sayfada admin, webmaster gibi yönetim üyelerini belirten bir isim varsa tıklıyoruz, yoksa herhangi bir üyeyi tıklayarak önce onun daha sonra da adminin ismini öğrenmeye çalışıyoruz.
5) Kullanıcılardan bir tanesine tıkladıktan sonra karşımıza yeni bir sayfa açılacaktır.
Sayfada yapacaklarınızı belirtiyorum;
ü Açılan sayfa da karşınıza bir tarih modu çıkacak ve o tarih kullanıcının siteye ne zaman üye olduğunu belirtiyor olacak. Tarih modunu iki alt tarafında ki ise kullanıcının şifresidir. Şifre hashlenmiştir ( yani şifrelenmiştir.)
6) Daha sonra hash şifreyi ayıklamak için bilenler kendi programlarını bilmeyenler ise burayı Tıklayarak kullanıcının şifresini öğrenebilirler.
7) Şimdi yapmamız gereken ise öğrendiğimiz şifre ilen login olmak login olduktan sonra eğer user/ sayfasından admin kullanıcı adını öğrenemediysek login olduktan sonra üyeler sayfasından admin kullanıcı adını öğrenebilir. Yok eğer öğrendiysek artık hack işlemi sona ermiş ve artık sitenin yöneticisi olarak sisteme giriş yapmış bulunmaktasınızdır.
sorun ve yorum beklıyorum
Yapacaklarınızı şimdi sıralıyorum beni iyi bir şekilde dinleyiniz;
1) Başlangıçta bu formu kullanan siteleri bulmamız gerekiyor. Bunu içinde her zaman kullandığımız bir site arama motorunu kullanmamız yeterli olacaktır. Arama motorlarında aratacağımız yazı "ADP Forum 2.0.3 is powered by VzScrpits" bu olmalıdır.
NOT: Bazen Google Bu sayfaları Gösterime Sunmuyor. Burayı Tıklayarak Hazır Google Sayfasına Geçiş Yapabilirsiniz.
2) Daha sonra açılan sayfalardan herhangi bir kurban seçiyoruz ve siteye giriş yapıyoruz.
3) Site açıldıktan sonra sitenin uzantısının sonunda bulunanları forum/ kadar siliyoruz ve forum/ sonuna users/ yazıp enterliyoruz. Sonuç www.siteadi/varsa uzantı/forum/users olacaktır. Burada users yazmamızın amacı konu başında da anlattığım gibi adminlerin basit açıklarından biri olarak görülen kullanıcıların kayıtlı olduğu liste ve bu listeden kullanıcılara ait bilgleri öğrenmemiz mümkündür.
4) Daha sonra açılan sayfada admin, webmaster gibi yönetim üyelerini belirten bir isim varsa tıklıyoruz, yoksa herhangi bir üyeyi tıklayarak önce onun daha sonra da adminin ismini öğrenmeye çalışıyoruz.
5) Kullanıcılardan bir tanesine tıkladıktan sonra karşımıza yeni bir sayfa açılacaktır.
Sayfada yapacaklarınızı belirtiyorum;
ü Açılan sayfa da karşınıza bir tarih modu çıkacak ve o tarih kullanıcının siteye ne zaman üye olduğunu belirtiyor olacak. Tarih modunu iki alt tarafında ki ise kullanıcının şifresidir. Şifre hashlenmiştir ( yani şifrelenmiştir.)
6) Daha sonra hash şifreyi ayıklamak için bilenler kendi programlarını bilmeyenler ise burayı Tıklayarak kullanıcının şifresini öğrenebilirler.
7) Şimdi yapmamız gereken ise öğrendiğimiz şifre ilen login olmak login olduktan sonra eğer user/ sayfasından admin kullanıcı adını öğrenemediysek login olduktan sonra üyeler sayfasından admin kullanıcı adını öğrenebilir. Yok eğer öğrendiysek artık hack işlemi sona ermiş ve artık sitenin yöneticisi olarak sisteme giriş yapmış bulunmaktasınızdır.
sorun ve yorum beklıyorum
milw0rm.com dan bi hash kırmayı denedım ama karsıma sayfalar dolusu hash cıktı 