Ana içeriğe atla
Ara
Bu Blogda Ara
İsimsiz Kullanıcı Hack Ve Siber Güvenlik
Paylaş
Bağlantıyı al
Facebook
Twitter
Pinterest
E-posta
Diğer Uygulamalar
Ağustos 08, 2017
SQL İnjection ve Hacklenecek Site Bulmak
Cümleten Selamün Aleyküm arkadaşlar bugün sizlere SQL İnjection ve bu açıkla hacklenecek site bulmayı göstereceğim.
Not: Yazı Alıntılar içermektedir kaynakça en alttadır. Videolu Anlatım gelecektir.
SQL İnjection Nedir?
SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan,veritabanı içeriğini kendisine aktarabilir).
SQL İnjection Hacklenecek Site Bulmak
Bu açıkla hacklenecek site bulmak için Google dorklarını kullanacağız. Google dorkları,Google Hacking metodlarındandır. Dork bulmak için Google'ye "sql dork 2017" yazabiliriz. Yazdığımızda karşımıza çıkan ilk siteye girelim.
Sitede karşımıza çıkan yazılara dork deniyor. Bu dorklardan istediğiniz bir tanesini seçebilirsiniz ben mesela "pages.php?id=" seçiyorum ve kopyalıyorum.
Sonra Google'ye girip arama kısmına "inurl:" yazıp sonrasında kopyaladığım dorku yapıştırıyorum yani aramamız şu şekilde olacak "inurl:KopyalanmışDork" böyle olacak ben pages.php?id= seçtiğim için benim "inurl:pages.php?id=" böyle. Sonra yukarıdaki Araçlar sekmesine basalım.
Sonra üzerinde "Herhangi bir zaman" yazılı olan sekmeye basalım.
Buradan "Son 24 saat " yazılı butona basalım ve arayalım. Bunu yapmamızın nedeni direk dork yazdığınızda karşınıza çıkan sitelerin eski ve çoğunun hacklenip şifresinin değiştirilmiş olmasıdır. Bu yöntemle hiç dokunulmamış siteleri bulabilirsiniz.
Şimdi sitelerde teker teker SQL açığı olup olmadığını incelememiz lazım. Bunun için siteye girdikten sonra sitenin URL sinin sonuna tırnak işareti (') koyuyoruz. Eğer resimdeki gibi bir yazı görüyorsak bu sitede SQL İnjection uygulanabilicek zaafiyet var demektir.
Son olarak sitenin admin panelini bulmalıyız. Sitenin ana URL sinin sonuna /admin bir şey yoksa /cpanel olmuyorsa /wp-admin yazıları giriyoruz. Admin paneli bulmak için programlar var ama bu yazımda ondan bahsedmeyeceğim. Bunlar olmuyorsa sadece sitede olan bazı verileri ele geçirebilirsiniz ama siteye yönetici olarak giriş yapamazsınız. (Sadece SQL İnjection ile)
Sonra SQL İnjection işlemine geçebilirsiniz. Kendinize iyi bakın Allah'a emanet.
Kaynakça:https://tr.wikipedia.org/wiki/SQL_Injection
Yorumlar
Popüler Yayınlar
Ağustos 31, 2017
Brute Force İle İnstagram Hesap Saldırıları
Ağustos 12, 2017
Linux Sistemlere Discord Kurulumu
Yorumlar
Yorum Gönder