Androidturk.net


    web hack yöntemleri:D

    Paylaş

    Misafir
    Misafir

    default web hack yöntemleri:D

    Mesaj tarafından Misafir Bir Cuma Ağus. 07, 2009 5:23 pm

    KURALLAR

    1. KURAL : BİR HACKER YADA SALDIRGAN YADA CRACKER KESİNLİKLE SİHİRBAZ YADA BÜYÜCÜ
    DEĞİLDİR.HACKER EĞER SİSTEMDE AÇIK VARSA O SİSTEME GİREBİLİR.
    2. KURAL : GÜVENLİK İÇİNDE GARANTİ YOKTUR.
    3. KURAL : TAMAMEN GÜVENLİ SİSTEM DİYE BİR ŞEY YOKTUR.
    4. KURAL : EĞER HACKER OLMAK İSTİYORSANIZ EN UFAK BİLGİYİ BİLE OKUYUN. BU BİLGİ GÜNÜN BİRİNDE GELİR ÇOK İŞİNİZE YARAR.
    5. ALTIN KURAL : SİSTEM HAKKINDA KESİNLİKLE BİLGİ EDİNİN.

    WEB SİTESİ HACKLEMENİN YOLLARI
    A.DDOS
    B.FLOOD
    C.DOMAİN HACK
    D.HOST HACK
    E.FTP HACK
    F.KOD AÇIKLARI
    G.DB HACK
    H.ŞİFRE KIRMA
    İ.PROGRAMLAR

    WEB HACKİNG DÖKÜMANIMIZA BAŞLIYORUZ…
    İsterseniz dokümanımıza en kolay web hack yöntemleri olan hat da hack
    yöntemi olarak değil de siteyi yayından düşürme görevini üstlenmiş DDos
    ile başlayalım.

    DDos: DDos un amacı herhangi bir sitenin yayınına engel olmaktır.DDos
    veri tabanı kullanan sitelerde daha fazla etki yapar.Örneğin site php
    ise mysql site asp ise mdb veri tabanını kullanır.DDos siteye her
    saniye de bir kullanıcı sokarak veritabanı nın sesionlarını karıştırır
    ve site iner.Burada ufak bir şey söyleyeyim bu bir yöntem örneğin siz
    herhangi bir siteye DDos saldırı yapacaksınız.DDos un etkili olabilmesi
    için sizin bağlantı hızınızın iyi olması gerekir.Bağlantı hızınız iyi
    değilse siz de DDos yaparken [Only Registered Users Can See Links] gibi
    bir uzantı kullanırsanız daha iyi olur.Bu durumda sitenin index ini
    sapıttırırsınız.Sitedeki index bozulur.Şöyle bir hata veriyordu yanlış
    hatırlamıyorsam “Genel hata” gibi bir hata veriyor..

    FLOOD: Veritabanı kullanan bir sitenin veritabanını doldurarak
    bozulmasına ve sitenin çalışmamasına yol açar. Örneğin ***** ile bir
    foruma sürekli üye kaydı yaparak veritabanının bozulmasına yol
    açabilirsiniz. (Çok Zordur Söyleyim)

    DOMAİN HACK: Domain hack ikin genel olarak iki yol vardır.Bunlardan
    birisi Siteye whois çekerek admin mailini öğrenmek ve maili çalmak
    tır.Diğeri ise sitenin kayıtlı olduğu domain şirketinin db sini
    elegeçirmektir.
    a.Admin mail hack: Admin mail hack için sakın gizli soru tahmini
    kullanmayın. Çünkü eğer gizli soru tahmin ettiğin zaman eğer şifreyi
    değiştiriyorsanız bunun hiçbir önemi yok.Zaten bizim mail hackteki
    amacımız mail şifresini mailinin sahibinin koyduğu şekilde
    bulmaktır.Bunun bir çok yolu var önce bir whois le admin in mailini
    öğreneceğiz. Sonra eğer edinebiliyorsak admin hakkında bilgi
    edineceğiz. Admin eğer fake yiyecek kadar *****sa (hiç sanmam) ben
    olsam fake yollardım. Ama yollayacağım fake domain şirketinin üye giriş
    sayfası gibi olmalı ve mail aracılığı ile uygun bir mail adresi ile
    yollanmalı. Buna admin inanmalı.
    Eğer admin hakkında bilgi toplayabildiyseniz kendinize göre bir
    dictionary oluşturun. Ve saldırı yapın. Dictionary admin hakkında
    topladığımız bilgilere göre yapacağız ama nasıl? Admin hakkında nerede
    oturduğunu felan altık hangi şehir kaç yaşında doğmuş vb vb vb.
    Admin zannediyorum oturduğu apartmanın adını koymaz. Sizde dictionary
    hazırlarken buna dikkat ediniz adam çocuğunun adını koyabilir büyük
    küçük harfle karışık koymuş olabilir ve benzeri. Siz böyle bir
    dictionary hazırlamalısınız.
    Brute force : Bu yöntem genellikle bana göre pek başarılı olmamıştır.
    Gine de şifre kombineleri ile saldırıp kırabiliriz. Eğer şanslıysan
    kısa zamanda kırabilirsin.
    b.Ayrıca başka bir yöntemde domainin kayıtlım olduğu sitenin db sini ele geçirmektir.

    HOST HACK : Eğer hotsu hack etmek istiyorsak öncelikle sistemin nasıl
    çalıştığını ve sistem hakkında bilgiler edinmemiz gerekir. Sistemin
    çalışma şekli zaten genelde iki şekildedir. Windows ve Linux.

    a. Windows : şimdi burada ufak bir ayrıntıya değinmek istiyorum. Eğer
    site asp ise Windows server ISS üzerine kuruludur. Eğer site php ise o
    zaman Linux da apache üzerine kuruludur. Eğer sitenin server i ISS 4.0
    yada bunun altı ise o zaman sitede msdac.dll açığı vardır. O zaman perl
    de whisker exploitini derleyip çalıştıralım sonuca ulaşacağız. Eğer
    server ISS 4.0 ın üstünde bir serverse o zaman sitede kod açıkları
    bulmamız gerekecektir. Bunu n-stealth adlı programla yapabiliriz.Eğer
    açık bulursanız dalarsınız.Eğer dalınacak gibi bir açık değilse ve risk
    seviyesi yüksek ise o zaman o açığın exploiti vardır. Explotiti bulup
    derleyin çalıştırın sonuca ulaşacaksınız. Eğer risk seviyesi yüksek bir
    açık bulamadı iseniz o zaman domain hackte olduğu gigib bir wordlist
    hazırlayıp admin şifresini kırmaya çalışınız yada ftp şifresini kırmaya
    çalışınız.
    b. Linux : Sitede bu durumda php oluyor. Eğer site php ise o zaman eski
    yöntemlerden yeni yöntemlere doğru bir deneme yapın eski bir yöntem
    olan / /ETC açığına bakın. Eğer varsa içinde mutlaka password.bak
    dosyası vardır onu alın ve kırın.

    Başka Yöntem

    Bu yöntem çok hoşunuza gidecek Gerekli Programlar : Internet Explorer
    haricinde bir web browser, Cracker Jack ve tabiki Meliksah Ozoral's Dict Maker.
    --------------------------------------
    Mantık : phf sistemlerde bulunan bir açıktır ve bu acık sayesinde sisteme
    web uzerinden baglanip shellde bazi komutlari calistirabilirsiniz...
    Not : Calistirdiginiz komutlar cd, ls, cat gibi komutlar silme islemlerini
    phf uzerinden yapamiyorsunuz...
    --------------------------------------
    Ozellikler : phf sayesinde her hangi bir serverdan elinizde acc olmadan
    passwd dosyasini alabilir ve kirabilirsiniz...Bu olay web uzerinden
    olur ve hizli olur |~ eNJOy!
    --------------------------------------
    Kullanim : phf nin kullanimi basitdir, sizi fazla zorlamaz. browsera girdiginiz adresin sonu asagidaki
    satiri yazarsaniz "passwd" dosyasini browser penceresinde gorursunuz...
    /cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd Bu satirin mantigi sudur...
    Asagidaki satir phf olayini acar.../cgi-bin/phf?Qalias=x%0a
    Bu satirdan sonra yazacaginiz komutlarsistem uzerinde calistirilir...
    ornegin :
    cat%20/etc/passwd
    etc dizinin altindaki passwd dosyasini goruntuler burda %20 bosluk oldugunu
    belirtir yani :/cgi-bin/phf?Qalias=x%0als yazarsaniz bulundugunuz dizindeki dosyalar
    goruntulenir.../cgi-bin/phf?Qalias=x%0als%20pass*
    yazarsaniz bulundugunuz dizinde pass ile baslayan butun dosyalari listeler...
    Komutun Kullanimi Kolay!
    Simdi Biraz Ornek Cozelim!
    --------------------------------------

    Eğer bu açık yoksa sizde cgi/phf?qalias (cgi açıkları) yollarını
    deneyin. Açığı bulursanız bu yollarsa siteye girebilirsiniz. Cgi
    açıkları bulun. Eğer giremediyseniz brute force kullanın buda olmadı
    ise gine n-stealth ile bi açık taraması yaptırın ve risk seviyesi
    yüksek bir açık bulursanız exploit ini bulun ve derleyip çalıştırın.
    Sonuca ulaşın.

    FTP HACK : Sitenin ftp adresini bulun ve bir brute yada dictionary ile
    saldırın belki kırarsınız. Ben böylelikle site hackledim.

    KOD AÇIKALRI : Siteyi n-stealth la taratın ve açık arayın gine risk
    seviyesi yüksek açık bulursanız exploitini bulun. Cgi açıkları deneyin.
    Cgi açıkları html siteler içinde işe yarar. Programlama dili öğrenin.
    Siteler için her zaman bulunan açıklardan haberdar olun. Kendi
    açığınızı kendiniz bulmaya çalışın. Deneyin. Ör asp sitelerde or açığı
    bunun gibi açıklar bulun. Fso açıkları bunları deneyin.

    DB HACK : Sitenin herhangi bir yolla db sine ulaşmaya çalışın ve db ye
    ulaşınca şifreyi kırın hiç denemedim ama bir deneyin siteyi herhangi
    bir programla pc nize indirin ve belki içinde db vardır bulursunuz.
    Google ile hack yapabilirsiniz. Site hakkında bilgi topladınız bu
    önemli idi aynı siteden sizde kurun ve db sinin yerini öğrenin buda iyi
    bir hacking yöntemidir..
    ======google======
    İnurl:”db.mdb” gibi googlede aratın
    ======google======

    ŞİFRE KIRMA : Herhangi bir programla yada mantığınız la admin mailini
    db nin şifresini admin giriş panelinin şifresini ve bunun gibi şeylerin
    şifresini kırın. Örnek verecek olursak unsecure ile şifre
    kırabilirsiniz.

    PROGRAMLAR : Herhangi bir programla örneğin mass scanner ile herhangi bir hotsa bağlanın ve teker teker siteleri indirin. !

      Similar topics

      -

      Forum Saati Perş. Ara. 13, 2018 8:46 am