Dönüşüm üzerine bi ctf'e tek atayım izninizle
Bu arada şunuda ekliyeyim eğer virustotal.com'un bilgisayarlarınada tek atmamı istiyorsanız söyleyin.
tek atacağım ctf bu olsun : http://ctf.infosecinstitute.com/ctf2/
sol üsttten level'i seçip ilerleyebilirsiniz fotoraflar ve açıklamalarla ctf'in içinden nasıl geçtiğimi tek tek anlatacağım.
Uyarı : Firefox mozilla browserinde yapın gidip chromede yaparsanız chromenin kurucusu tek atar size.
Öncelikle level 1'de şöyle bir ekranla karşılaşıyoruz :
bu levelimizi geçmek için site name'in altındaki input alan yere yani name of site yazan yere 10 harften başka birşey yazamıyoruz bunu düzeltmek için öğeyi denetleye tıklıyoruz alttaki resimde işaretledigim yere ve karşımıza böyle bir ekran çıkıyor burada maxsize="10" değerini 100 yapıyoruz ve birde pattern="[A-Za-z]+" yerini unutmak lazım patternin içinde alan komutlar küçük harf ve büyük harf dışında hiçbirşey yazmayalım diye herşeyi filtreliyor bizde bunu geçmek için bilgisayar dilinde herşey cümlesini belirleyen bu işareti A-Za-z'yi silip pattern'e ekliyoruz işaretimiz geliyor hazırmısınız : *
Bu arada sol tarafta biraz bişeyler karaladım canım sıkıldı diye k.b.Herneyse ilk işaretlediğim yere öğeyi denetleyi çakıyorsunuz brolar verdiğim talimatları uygulamak içinde 2. işaretlediğim yani en alttaki input ile başlayan yeri deşiyorsunuz ve o sırada firebug eklentisini firefox'a ekliyorsunuz ve öğeyi denetleyi bide firebug ile yapıyorsunuz çünkü bu yaptıklarımız xss'i tetiklemeye yetmez arkada saklı olan bir javascript dosyası daha oluyor genelde o javascript dosyasınıda bypass etmeyi anlatıcam hemen firebug eklentisi ile açtığımız öğeyi denetleye bakalım bi alttan bu arada aynı yeri yani name of siteyi firebug ile açıyorsunuz :
VE ODA NE /js/ex1.js adında bir dosya buluyoruz aceba filtrelemeler bu js dosyası içindemi diye bi meraklanıyorum tabi ben solda artı işaretine basıp açıp kodları okuyorum ve okurken şu alttaki fotorafta gördüğünüz işaretlediğim yeri farkediyorum ve umduğumuz bulduğumuz oluyor bir filtrelemede bu js dosyasından çıkıyor :
Bizde sihirbazlık bitermi filtrelemeyide bypass ediyoruz tabi normal öğeyi denetleyi açarak console'a geçiyorsunuz ve sonrada alttaki replace bypass javascript kodlarını tek tek giriyorsunuz arkadaşlar
Ve babacım ilk levelimizi başarıyla geçiyoruz umarım xss konusunda yardımcı olmuşumdur.Eğer konuya fazla ilgi gelirse her gün kendim 1 level daha atlıyacam ve türkçe olarak sizlere sunacağım.
Bu arada şunuda ekliyeyim eğer virustotal.com'un bilgisayarlarınada tek atmamı istiyorsanız söyleyin.
tek atacağım ctf bu olsun : http://ctf.infosecinstitute.com/ctf2/
sol üsttten level'i seçip ilerleyebilirsiniz fotoraflar ve açıklamalarla ctf'in içinden nasıl geçtiğimi tek tek anlatacağım.
Uyarı : Firefox mozilla browserinde yapın gidip chromede yaparsanız chromenin kurucusu tek atar size.
Öncelikle level 1'de şöyle bir ekranla karşılaşıyoruz :
bu levelimizi geçmek için site name'in altındaki input alan yere yani name of site yazan yere 10 harften başka birşey yazamıyoruz bunu düzeltmek için öğeyi denetleye tıklıyoruz alttaki resimde işaretledigim yere ve karşımıza böyle bir ekran çıkıyor burada maxsize="10" değerini 100 yapıyoruz ve birde pattern="[A-Za-z]+" yerini unutmak lazım patternin içinde alan komutlar küçük harf ve büyük harf dışında hiçbirşey yazmayalım diye herşeyi filtreliyor bizde bunu geçmek için bilgisayar dilinde herşey cümlesini belirleyen bu işareti A-Za-z'yi silip pattern'e ekliyoruz işaretimiz geliyor hazırmısınız : *
Bu arada sol tarafta biraz bişeyler karaladım canım sıkıldı diye k.b.Herneyse ilk işaretlediğim yere öğeyi denetleyi çakıyorsunuz brolar verdiğim talimatları uygulamak içinde 2. işaretlediğim yani en alttaki input ile başlayan yeri deşiyorsunuz ve o sırada firebug eklentisini firefox'a ekliyorsunuz ve öğeyi denetleyi bide firebug ile yapıyorsunuz çünkü bu yaptıklarımız xss'i tetiklemeye yetmez arkada saklı olan bir javascript dosyası daha oluyor genelde o javascript dosyasınıda bypass etmeyi anlatıcam hemen firebug eklentisi ile açtığımız öğeyi denetleye bakalım bi alttan bu arada aynı yeri yani name of siteyi firebug ile açıyorsunuz :
VE ODA NE /js/ex1.js adında bir dosya buluyoruz aceba filtrelemeler bu js dosyası içindemi diye bi meraklanıyorum tabi ben solda artı işaretine basıp açıp kodları okuyorum ve okurken şu alttaki fotorafta gördüğünüz işaretlediğim yeri farkediyorum ve umduğumuz bulduğumuz oluyor bir filtrelemede bu js dosyasından çıkıyor :
Bizde sihirbazlık bitermi filtrelemeyide bypass ediyoruz tabi normal öğeyi denetleyi açarak console'a geçiyorsunuz ve sonrada alttaki replace bypass javascript kodlarını tek tek giriyorsunuz arkadaşlar
Ve babacım ilk levelimizi başarıyla geçiyoruz umarım xss konusunda yardımcı olmuşumdur.Eğer konuya fazla ilgi gelirse her gün kendim 1 level daha atlıyacam ve türkçe olarak sizlere sunacağım.
