Merhaba arkadaşlar, canım sıkıldı yeni arkadaşlarımız için biraz taktik söyleyeyim dedim..
Yazar : S4cuRiTy EneMy
Sizlere tavsiyem böyle forumda felan cok ögrenemessiniz bir süre sonra ögrenirsiniz ama cok uzun zaman alır 1.5 - 2 yıl gibi bir sürede anca yetişirsiniz bana göre ama ben gayret ederim diyenler ögrenir ama ben okadar zaman ayiramam ne yapmam gerek diyenler özel ders almalarını tavsiye ederim çünku surekli forumlari takip edemessin oyüzden özel ders veren kişileri bulursanız daha etkili ve kısa sürede ögrenirsiniz
Öncellikle şuna belirleyelim sizlerde nasil bir hacker olmak istersiniz ne tür ?
- White hat ( beyaz şapkalı ) = Misyonuna baglı bir şekilde hareket eden hacker türu
- Black hat ( siyah şapkalı ) = Misyon tanımayan zararlı güven olmayan hacker türu
Biz "white hat" seciyoruz tabiiki herşeyden önce anında bir hedef siteyi indiremessiniz yok ben şu siteyi hackliyecegim v.s olmaz herşeyden önce sistemi tanimalı ve alışmalıyız... Başlangıç olarak ne yapmalıyız
Basit açıklara yönelmeliyiz bunlar neler olabilir mesela ?
+ Hazır scriptlerde oluşan buglar , upload açıkları , v.b açıklardan yararlanarak açık oluşan siteyi hackleyebiliriz
Daha sonraki yolumuz "Brute force"
+ Basit şifrelemeler ile yapilmiş olan şifreleri tespit edip sitelere sızma taktigidir kolaylaştirmak için binlerce site ve onlarca şifreler denenir bunları programlarla yapariz ve kullanıcının bilgisine dayalı olarak daha cok site çıkar.
SQL İnjeciton
+ Genellik ile webmastercilerin yaptıkları eksik kodlama'dan oluşan ve dünyanin en tehlikeli acıkları arasında yer alan bir açık türudur yeni sistemler cıktıgında artık eskimeye ve yok olmaya başlıyor ama hala pöpüler ve devlet sitelerinde bile olabilen bir açık türudur
Blind SQL
+ Türkçe anlamıyla kör anlamına gelmektedir. Normal sql injection gibi site sonlarında rakam degil harf yazar pek tavsiye etmem ama bir açık türudur.
Xss
+ Genellikle arama , takvim gibi sayfalarında oluşan çapraz kod çaliştirma denilen bir yöntem xss sql gibi bir cok alt yapıya sahip yani sadece xss degil ( xss alert , xss sniffer gibi gibi )
Xss Sniffer
+ Xss sniffer, xss açıklarından yararlanıp admin'in sosyal mühendislik ile cooike bilgilerini çekmek için kullanilir örnek vericeksek diyelim bir sitede xss alert bulduk yani arama yerine xss kodumuzu verdigimizde alert kodumuz cikiyorsa xss vardır java kodlarımızı kullanarak oluşturdugumuz link'e hedef sitedeki admin tıklar ise onun cooike ( çerezler ) bize gelicektir bu sayede hedef hacking olabilir.
Shell
+ Sheller bir nevi casus yazılımda diyebiliriz.Sitelerin dizinlerine aticagımız shell dosyalarını kullanarak hedef siteyi hackleyebiliriz yada sunucuya geçmeyi deniyebiliriz.
Upload Açıkları
+ Webmaster ekibinin eksik yada hatalı kodlardan oluşan açık türu diyebilirim bu tür acıklara index veya shell atabilirsiniz. Yeni başlayanlar için ideal bir açık türudur.
Config Çekmek
+ Diyelim bir siteye erişim sagladınız shell attıgınızı varsıyorum config site ile sunucu araşındaki bilgileri taşir diyelim bu bilgilerin arasında mysql veritabanı bilgileri yer alır bu bilgilere erişim saglayabilirseniz shell üzerinden siteyi hackleyebilirsiniz ama config tek site için degil sunucudan çekebildigimiz tüm siteler için kullanmaktadır. Etc/passwd okuyarak cekicegimiz olan configleri okutarak mass ile indexleyebiliriz
Symlink İle Config
+ Bu yol normal configlerden daha etkilidir.Çünku 10 tane siteden config cekseniz 2-3 tane berki cıkar symlink ile çekerseniz daha verimli sonuç alabilirsiniz.Ama bunda bildigim kadarıyla hepsini çekemiyoruz yani tek tek
Sunucu Rootlamak
+ Burada iş genellikle exploittedir.Sunucunun sürümune uygun exploit deneyerek sunucuyu rootlayabilirseniz sunucudaki tüm siteleri hackleyebilirsiniz..
Evet arkadaşlar, bir makalemin daha sonuna geldik umarim biraz bişeler anlatabilmişimdir. Yazım hatalarım olduysa kusura bakmayin birdahaki konumda bu hack yöntemlerini detaylıca anlatıcagım..
// Bu konuyu kendi forumlarında yayınlamak isteyen arkadaşlar lütfen kendileri yapmiş gibi yazmasınlar Konuyu yazan S4cuRiTy EneMy yazısını kaldırmazlar ise sevinirim..
Yazar : S4cuRiTy EneMy
Sizlere tavsiyem böyle forumda felan cok ögrenemessiniz bir süre sonra ögrenirsiniz ama cok uzun zaman alır 1.5 - 2 yıl gibi bir sürede anca yetişirsiniz bana göre ama ben gayret ederim diyenler ögrenir ama ben okadar zaman ayiramam ne yapmam gerek diyenler özel ders almalarını tavsiye ederim çünku surekli forumlari takip edemessin oyüzden özel ders veren kişileri bulursanız daha etkili ve kısa sürede ögrenirsiniz
Öncellikle şuna belirleyelim sizlerde nasil bir hacker olmak istersiniz ne tür ?
- White hat ( beyaz şapkalı ) = Misyonuna baglı bir şekilde hareket eden hacker türu
- Black hat ( siyah şapkalı ) = Misyon tanımayan zararlı güven olmayan hacker türu
Biz "white hat" seciyoruz tabiiki herşeyden önce anında bir hedef siteyi indiremessiniz yok ben şu siteyi hackliyecegim v.s olmaz herşeyden önce sistemi tanimalı ve alışmalıyız... Başlangıç olarak ne yapmalıyız
Basit açıklara yönelmeliyiz bunlar neler olabilir mesela ?
+ Hazır scriptlerde oluşan buglar , upload açıkları , v.b açıklardan yararlanarak açık oluşan siteyi hackleyebiliriz
Daha sonraki yolumuz "Brute force"
+ Basit şifrelemeler ile yapilmiş olan şifreleri tespit edip sitelere sızma taktigidir kolaylaştirmak için binlerce site ve onlarca şifreler denenir bunları programlarla yapariz ve kullanıcının bilgisine dayalı olarak daha cok site çıkar.
SQL İnjeciton
+ Genellik ile webmastercilerin yaptıkları eksik kodlama'dan oluşan ve dünyanin en tehlikeli acıkları arasında yer alan bir açık türudur yeni sistemler cıktıgında artık eskimeye ve yok olmaya başlıyor ama hala pöpüler ve devlet sitelerinde bile olabilen bir açık türudur
Blind SQL
+ Türkçe anlamıyla kör anlamına gelmektedir. Normal sql injection gibi site sonlarında rakam degil harf yazar pek tavsiye etmem ama bir açık türudur.
Xss
+ Genellikle arama , takvim gibi sayfalarında oluşan çapraz kod çaliştirma denilen bir yöntem xss sql gibi bir cok alt yapıya sahip yani sadece xss degil ( xss alert , xss sniffer gibi gibi )
Xss Sniffer
+ Xss sniffer, xss açıklarından yararlanıp admin'in sosyal mühendislik ile cooike bilgilerini çekmek için kullanilir örnek vericeksek diyelim bir sitede xss alert bulduk yani arama yerine xss kodumuzu verdigimizde alert kodumuz cikiyorsa xss vardır java kodlarımızı kullanarak oluşturdugumuz link'e hedef sitedeki admin tıklar ise onun cooike ( çerezler ) bize gelicektir bu sayede hedef hacking olabilir.
Shell
+ Sheller bir nevi casus yazılımda diyebiliriz.Sitelerin dizinlerine aticagımız shell dosyalarını kullanarak hedef siteyi hackleyebiliriz yada sunucuya geçmeyi deniyebiliriz.
Upload Açıkları
+ Webmaster ekibinin eksik yada hatalı kodlardan oluşan açık türu diyebilirim bu tür acıklara index veya shell atabilirsiniz. Yeni başlayanlar için ideal bir açık türudur.
Config Çekmek
+ Diyelim bir siteye erişim sagladınız shell attıgınızı varsıyorum config site ile sunucu araşındaki bilgileri taşir diyelim bu bilgilerin arasında mysql veritabanı bilgileri yer alır bu bilgilere erişim saglayabilirseniz shell üzerinden siteyi hackleyebilirsiniz ama config tek site için degil sunucudan çekebildigimiz tüm siteler için kullanmaktadır. Etc/passwd okuyarak cekicegimiz olan configleri okutarak mass ile indexleyebiliriz
Symlink İle Config
+ Bu yol normal configlerden daha etkilidir.Çünku 10 tane siteden config cekseniz 2-3 tane berki cıkar symlink ile çekerseniz daha verimli sonuç alabilirsiniz.Ama bunda bildigim kadarıyla hepsini çekemiyoruz yani tek tek
Sunucu Rootlamak
+ Burada iş genellikle exploittedir.Sunucunun sürümune uygun exploit deneyerek sunucuyu rootlayabilirseniz sunucudaki tüm siteleri hackleyebilirsiniz..
Evet arkadaşlar, bir makalemin daha sonuna geldik umarim biraz bişeler anlatabilmişimdir. Yazım hatalarım olduysa kusura bakmayin birdahaki konumda bu hack yöntemlerini detaylıca anlatıcagım..
// Bu konuyu kendi forumlarında yayınlamak isteyen arkadaşlar lütfen kendileri yapmiş gibi yazmasınlar Konuyu yazan S4cuRiTy EneMy yazısını kaldırmazlar ise sevinirim..