 |
|
C
Crysuder
Bakalım neler yapmış 
D
Deleted member 11195
bakak
Adamındibi
OROSPU EVLADIYIM
- Joined
- Aug 29, 2019
- Credits
- 0
Rating - 0%
saolView hidden content is available for registered users!
SQL'i gördünüz ve yine korkudan küçük kızlar gibi eliniz ayağınız titremeye başladı
Sıkıntı değil..
Biliyorum sql denince akla hep eksi tecrübeleriniz geliyor.
Admin panelini biliyorsunuz fakat admin bilgilerini bulamıyorsunuz..
Admin bilgilerini buluyorsunuz ama admin panelini bulamıyorsunuz..
Veya da her ikisini de buluyorsunuz fakat şifre md5 çıkıyor ve sizler bunu çözemiyorsunuz..
Bu sadece sizin değil herkesin başına gelmiş bir olay endişelenmeyin...
Bu konumdaki anlatacağım zaafiyetin adı post sql injection diye geçiyor..
Bir admin paneline denk geldiniz ilk deneyeceğiniz şey admin panel bypass olsun...
sitemizde www.hedefsite.com/admin/login.php olsun
kullanıcı ada ve şifre kısmına ' or 1=1# yapıştırın girmeyi deneyin..
Giremediniz mi ? Sıkıntı yok..
Şimdi harakiri yapacağız...
username password kısmına örneğin test yazıp girmeyi deneyin.
Girmeyeceksiniz..
Şimdi de test' şeklinde tırnak koyarak tekrar deneme yapınız..
Pencerede sql inject hatası aldığınızı göreceksiniz..
tamamdır...
Şimdi mozilladan http header live toolunu çalıştırıyoruz
İşaretlediğim yeri kopyalıyorsunuz ve şimdi sqlmapi açalım..
Code:python sqlmap.py -u "www.hedefsite.com/admin/login.php" --data "=submitted=true&username=admin%27&pass=admin%27" -p "username" --dbs
http header live aracından kopyaladığım metni sqlmape --data parametresi ile yerleştirdim.
ve daha sonrasında -p "username" parametresini ekledim.. gerisi bildiğiniz sqlmap gibi..
Eğer ki işiniz rast giderse, admin panelinin passwordunu md5siz bir şekilde alacaksınız ve zaten admin panelini de bildiğinizden dolayı panele girip shellinizi yükleyebilirsiniz..
Shellinizi yüklemek için bir upload ivmesi bulun ve upload edin..
Eğer ki gif png jpg formatları haricinde başka bir dosya türü kabul etmiyorsa, burp suite kullanın. Önceki konumda anşatmıştım..
TesekkurlerView hidden content is available for registered users!
SQL'i gördünüz ve yine korkudan küçük kızlar gibi eliniz ayağınız titremeye başladı
Sıkıntı değil..
Biliyorum sql denince akla hep eksi tecrübeleriniz geliyor.
Admin panelini biliyorsunuz fakat admin bilgilerini bulamıyorsunuz..
Admin bilgilerini buluyorsunuz ama admin panelini bulamıyorsunuz..
Veya da her ikisini de buluyorsunuz fakat şifre md5 çıkıyor ve sizler bunu çözemiyorsunuz..
Bu sadece sizin değil herkesin başına gelmiş bir olay endişelenmeyin...
Bu konumdaki anlatacağım zaafiyetin adı post sql injection diye geçiyor..
Bir admin paneline denk geldiniz ilk deneyeceğiniz şey admin panel bypass olsun...
sitemizde www.hedefsite.com/admin/login.php olsun
kullanıcı ada ve şifre kısmına ' or 1=1# yapıştırın girmeyi deneyin..
Giremediniz mi ? Sıkıntı yok..
Şimdi harakiri yapacağız...
username password kısmına örneğin test yazıp girmeyi deneyin.
Girmeyeceksiniz..
Şimdi de test' şeklinde tırnak koyarak tekrar deneme yapınız..
Pencerede sql inject hatası aldığınızı göreceksiniz..
tamamdır...
Şimdi mozilladan http header live toolunu çalıştırıyoruz
İşaretlediğim yeri kopyalıyorsunuz ve şimdi sqlmapi açalım..
Code:python sqlmap.py -u "www.hedefsite.com/admin/login.php" --data "=submitted=true&username=admin%27&pass=admin%27" -p "username" --dbs
http header live aracından kopyaladığım metni sqlmape --data parametresi ile yerleştirdim.
ve daha sonrasında -p "username" parametresini ekledim.. gerisi bildiğiniz sqlmap gibi..
Eğer ki işiniz rast giderse, admin panelinin passwordunu md5siz bir şekilde alacaksınız ve zaten admin panelini de bildiğinizden dolayı panele girip shellinizi yükleyebilirsiniz..
Shellinizi yüklemek için bir upload ivmesi bulun ve upload edin..
Eğer ki gif png jpg formatları haricinde başka bir dosya türü kabul etmiyorsa, burp suite kullanın. Önceki konumda anşatmıştım..
bakalımView hidden content is available for registered users!
SQL'i gördünüz ve yine korkudan küçük kızlar gibi eliniz ayağınız titremeye başladı
Sıkıntı değil..
Biliyorum sql denince akla hep eksi tecrübeleriniz geliyor.
Admin panelini biliyorsunuz fakat admin bilgilerini bulamıyorsunuz..
Admin bilgilerini buluyorsunuz ama admin panelini bulamıyorsunuz..
Veya da her ikisini de buluyorsunuz fakat şifre md5 çıkıyor ve sizler bunu çözemiyorsunuz..
Bu sadece sizin değil herkesin başına gelmiş bir olay endişelenmeyin...
Bu konumdaki anlatacağım zaafiyetin adı post sql injection diye geçiyor..
Bir admin paneline denk geldiniz ilk deneyeceğiniz şey admin panel bypass olsun...
sitemizde www.hedefsite.com/admin/login.php olsun
kullanıcı ada ve şifre kısmına ' or 1=1# yapıştırın girmeyi deneyin..
Giremediniz mi ? Sıkıntı yok..
Şimdi harakiri yapacağız...
username password kısmına örneğin test yazıp girmeyi deneyin.
Girmeyeceksiniz..
Şimdi de test' şeklinde tırnak koyarak tekrar deneme yapınız..
Pencerede sql inject hatası aldığınızı göreceksiniz..
tamamdır...
Şimdi mozilladan http header live toolunu çalıştırıyoruz
İşaretlediğim yeri kopyalıyorsunuz ve şimdi sqlmapi açalım..
Code:python sqlmap.py -u "www.hedefsite.com/admin/login.php" --data "=submitted=true&username=admin%27&pass=admin%27" -p "username" --dbs
http header live aracından kopyaladığım metni sqlmape --data parametresi ile yerleştirdim.
ve daha sonrasında -p "username" parametresini ekledim.. gerisi bildiğiniz sqlmap gibi..
Eğer ki işiniz rast giderse, admin panelinin passwordunu md5siz bir şekilde alacaksınız ve zaten admin panelini de bildiğinizden dolayı panele girip shellinizi yükleyebilirsiniz..
Shellinizi yüklemek için bir upload ivmesi bulun ve upload edin..
Eğer ki gif png jpg formatları haricinde başka bir dosya türü kabul etmiyorsa, burp suite kullanın. Önceki konumda anşatmıştım..
View hidden content is available for registered users!
SQL'i gördünüz ve yine korkudan küçük kızlar gibi eliniz ayağınız titremeye başladı
Sıkıntı değil..
Biliyorum sql denince akla hep eksi tecrübeleriniz geliyor.
Admin panelini biliyorsunuz fakat admin bilgilerini bulamıyorsunuz..
Admin bilgilerini buluyorsunuz ama admin panelini bulamıyorsunuz..
Veya da her ikisini de buluyorsunuz fakat şifre md5 çıkıyor ve sizler bunu çözemiyorsunuz..
Bu sadece sizin değil herkesin başına gelmiş bir olay endişelenmeyin...
Bu konumdaki anlatacağım zaafiyetin adı post sql injection diye geçiyor..
Bir admin paneline denk geldiniz ilk deneyeceğiniz şey admin panel bypass olsun...
sitemizde www.hedefsite.com/admin/login.php olsun
kullanıcı ada ve şifre kısmına ' or 1=1# yapıştırın girmeyi deneyin..
Giremediniz mi ? Sıkıntı yok..
Şimdi harakiri yapacağız...
username password kısmına örneğin test yazıp girmeyi deneyin.
Girmeyeceksiniz..
Şimdi de test' şeklinde tırnak koyarak tekrar deneme yapınız..
Pencerede sql inject hatası aldığınızı göreceksiniz..
tamamdır...
Şimdi mozilladan http header live toolunu çalıştırıyoruz
İşaretlediğim yeri kopyalıyorsunuz ve şimdi sqlmapi açalım..
Code:python sqlmap.py -u "www.hedefsite.com/admin/login.php" --data "=submitted=true&username=admin%27&pass=admin%27" -p "username" --dbs
http header live aracından kopyaladığım metni sqlmape --data parametresi ile yerleştirdim.
ve daha sonrasında -p "username" parametresini ekledim.. gerisi bildiğiniz sqlmap gibi..
Eğer ki işiniz rast giderse, admin panelinin passwordunu md5siz bir şekilde alacaksınız ve zaten admin panelini de bildiğinizden dolayı panele girip shellinizi yükleyebilirsiniz..
Shellinizi yüklemek için bir upload ivmesi bulun ve upload edin..
Eğer ki gif png jpg formatları haricinde başka bir dosya türü kabul etmiyorsa, burp suite kullanın. Önceki konumda anşatmıştım..
tesekkulerView hidden content is available for registered users!
SQL'i gördünüz ve yine korkudan küçük kızlar gibi eliniz ayağınız titremeye başladı
Sıkıntı değil..
Biliyorum sql denince akla hep eksi tecrübeleriniz geliyor.
Admin panelini biliyorsunuz fakat admin bilgilerini bulamıyorsunuz..
Admin bilgilerini buluyorsunuz ama admin panelini bulamıyorsunuz..
Veya da her ikisini de buluyorsunuz fakat şifre md5 çıkıyor ve sizler bunu çözemiyorsunuz..
Bu sadece sizin değil herkesin başına gelmiş bir olay endişelenmeyin...
Bu konumdaki anlatacağım zaafiyetin adı post sql injection diye geçiyor..
Bir admin paneline denk geldiniz ilk deneyeceğiniz şey admin panel bypass olsun...
sitemizde www.hedefsite.com/admin/login.php olsun
kullanıcı ada ve şifre kısmına ' or 1=1# yapıştırın girmeyi deneyin..
Giremediniz mi ? Sıkıntı yok..
Şimdi harakiri yapacağız...
username password kısmına örneğin test yazıp girmeyi deneyin.
Girmeyeceksiniz..
Şimdi de test' şeklinde tırnak koyarak tekrar deneme yapınız..
Pencerede sql inject hatası aldığınızı göreceksiniz..
tamamdır...
Şimdi mozilladan http header live toolunu çalıştırıyoruz
İşaretlediğim yeri kopyalıyorsunuz ve şimdi sqlmapi açalım..
Code:python sqlmap.py -u "www.hedefsite.com/admin/login.php" --data "=submitted=true&username=admin%27&pass=admin%27" -p "username" --dbs
http header live aracından kopyaladığım metni sqlmape --data parametresi ile yerleştirdim.
ve daha sonrasında -p "username" parametresini ekledim.. gerisi bildiğiniz sqlmap gibi..
Eğer ki işiniz rast giderse, admin panelinin passwordunu md5siz bir şekilde alacaksınız ve zaten admin panelini de bildiğinizden dolayı panele girip shellinizi yükleyebilirsiniz..
Shellinizi yüklemek için bir upload ivmesi bulun ve upload edin..
Eğer ki gif png jpg formatları haricinde başka bir dosya türü kabul etmiyorsa, burp suite kullanın. Önceki konumda anşatmıştım..
View hidden content is available for registered users!
SQL'i gördünüz ve yine korkudan küçük kızlar gibi eliniz ayağınız titremeye başladı
Sıkıntı değil..
Biliyorum sql denince akla hep eksi tecrübeleriniz geliyor.
Admin panelini biliyorsunuz fakat admin bilgilerini bulamıyorsunuz..
Admin bilgilerini buluyorsunuz ama admin panelini bulamıyorsunuz..
Veya da her ikisini de buluyorsunuz fakat şifre md5 çıkıyor ve sizler bunu çözemiyorsunuz..
Bu sadece sizin değil herkesin başına gelmiş bir olay endişelenmeyin...
Bu konumdaki anlatacağım zaafiyetin adı post sql injection diye geçiyor..
Bir admin paneline denk geldiniz ilk deneyeceğiniz şey admin panel bypass olsun...
sitemizde www.hedefsite.com/admin/login.php olsun
kullanıcı ada ve şifre kısmına ' or 1=1# yapıştırın girmeyi deneyin..
Giremediniz mi ? Sıkıntı yok..
Şimdi harakiri yapacağız...
username password kısmına örneğin test yazıp girmeyi deneyin.
Girmeyeceksiniz..
Şimdi de test' şeklinde tırnak koyarak tekrar deneme yapınız..
Pencerede sql inject hatası aldığınızı göreceksiniz..
tamamdır...
Şimdi mozilladan http header live toolunu çalıştırıyoruz
İşaretlediğim yeri kopyalıyorsunuz ve şimdi sqlmapi açalım..
Code:python sqlmap.py -u "www.hedefsite.com/admin/login.php" --data "=submitted=true&username=admin%27&pass=admin%27" -p "username" --dbs
http header live aracından kopyaladığım metni sqlmape --data parametresi ile yerleştirdim.
ve daha sonrasında -p "username" parametresini ekledim.. gerisi bildiğiniz sqlmap gibi..
Eğer ki işiniz rast giderse, admin panelinin passwordunu md5siz bir şekilde alacaksınız ve zaten admin panelini de bildiğinizden dolayı panele girip shellinizi yükleyebilirsiniz..
Shellinizi yüklemek için bir upload ivmesi bulun ve upload edin..
Eğer ki gif png jpg formatları haricinde başka bir dosya türü kabul etmiyorsa, burp suite kullanın. Önceki konumda anşatmıştım..